Microsoft、8件のセキュリティ情報を公開 攻撃発生の脆弱性も

IEの脆弱性やWindowsのカーネルモードドライバの脆弱性は、悪用を試みる限定的な攻撃が確認されているという。

» 2014年10月15日 07時01分 公開
[鈴木聖子,ITmedia]

 米Microsoftは10月14日(日本時間15日)、8件のセキュリティ情報を公開し、WindowsやInternet Explorer(IE)などに存在する計24件の脆弱性に対処した。事前通知段階では9件と予告していたが、比較的深刻度の低い1件は公開を見送ったと思われる。

 セキュリティ情報8件のうち、最大深刻度が最も高い「緊急」に指定した3件では、Windows、IE、.NET Frameworkの脆弱性に対処した。Microsoftはこの3件の更新プログラムを最優先で適用するよう勧告している。

 IE用の累積的なセキュリティ更新プログラム(MS14-056)では14件の脆弱性を修正した。脆弱性はIE 11までの全バージョンと全Windowsの組み合わせに存在し、特にクライアント版のIEが深刻な影響を受ける。14件とも非公開で報告された脆弱性だが、権限昇格の脆弱性1件については、悪用を試みる限定的な攻撃が確認されている。

 .NET Frameworkの脆弱性(MS14-057)は3件あり、最も重大な脆弱性では国際文字を含んだURIリクエストを.NET Webアプリケーションに送りつける方法で、リモートからコードを実行される恐れがある。

 Windowsのカーネルモードドライバの脆弱性(MS14-058)は、Windowsの全バージョンが深刻な影響を受ける。修正された脆弱性は2件とも、悪用を試みる限定的な攻撃が確認されている。

 残る5件のセキュリティ情報では、ASP.NET MVCのセキュリティ機能バイパスの脆弱性(MS14-059)、Windows OLEのリモートコード実行の脆弱性(MS14-060)、WordとOffice Web Appsのリモートコード実行の脆弱性(MS14-061)、メッセージキューサービスの特権昇格の脆弱性(MS14-062)、FAT32ディスクパーティションドライバの特権昇格の脆弱性(MS14-063)をそれぞれ修正した。最大深刻度はいずれも上から2番目の「重要」となっている。

 このうちWindows OLEの脆弱性は限定的な攻撃が確認されている。Wordの脆弱性は現時点で攻撃は確認されていないものの、悪用される可能性は高いとされる。脆弱性はOffice 2007/2010、Office for Mac 2011、SharePoint Server 2010、Office Web Apps 2010などに存在する。

セキュリティ情報の適用優先順位

関連キーワード

脆弱性 | Microsoft | Windows | Internet Explorer | Office


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ