Microsoft、7件のセキュリティ情報を公開 「緊急」は3件

12月のセキュリティ情報7件のうち、最大深刻度が最も高い「緊急」は3件。これとは別に、11月に公開したIEの更新プログラムとSchannelの更新プログラムも再リリースした。

[鈴木聖子，ITmedia]

　米Microsoftは12月9日（日本時間10日）、予告通りに7件の月例セキュリティ情報を公開し、Internet Explorer（IE）やWindowsなどの深刻な脆弱性を修正した。これとは別に、11月に公開したIEの更新プログラムとSchannelの更新プログラムも再リリースした。

　12月のセキュリティ情報7件のうち、最大深刻度が最も高い「緊急」は3件ある。このうちIEの累積的な更新プログラム（MS14-080）では14件の脆弱性に対処した。いずれも現時点で攻撃の発生は確認されていないものの、悪用される可能性が高い危険な脆弱性が多数を占める。脆弱性はIE 11までの全バージョンに存在し、特にクライアント版が深刻な影響を受ける。

　WordおよびOffice Web Appsのリモートコード実行の脆弱性（MS14-081）は、細工を施したWordファイルを開かせる手口で悪用される恐れがある。影響を受けるWord 2007／2010／2013／2013 RT、Office 2010、Office for Mac 2011、Office Web Appsなどの全バージョンで緊急の対応を要する。

　VBScriptスクリプトエンジンの更新プログラム（MS14-084）も緊急レベル。脆弱性は、VBScriptスクリプトエンジンがIEで処理された際にメモリ内のオブジェクトを処理する方法に存在する。細工を施したWebサイトをユーザーが閲覧すると、任意のコードを実行される恐れがある。特にWindows VistaとWindows 7上のVBScriptは危険度が高い。

　残る4件は、いずれも最大深刻度が上から2番目に高い「重要」の位置付けとなる。このうちExchange Serverの特権昇格の脆弱性に対処した更新プログラム（MS14-075）は11月に公開を予定していたものの、直前に問題が発覚して公開が延期されていた。

　このほかにOfficeのリモートコード実行の脆弱性（MS14-082）とExcelのリモートコード実行の脆弱性（MS14-083）、Graphicsコンポーネントの情報流出の脆弱性（MS14-085）がそれぞれ修正された。

　一方、再リリースされた11月のIEの更新プログラム（MS14-066）では、一部のWebサイトが表示されなかったり特定の状況下でアプリケーションがクラッシュするといった問題を修正。Schannelの更新プログラム（MS14-066）ではTLS 1.2接続が途切れてプロセスがフリーズしたりサービスが反応しなくなるなどの問題が報告されていた。

概要

セキュリティ情報	最大深刻度と脆弱性の影響	再起動の必要性	影響する製品
MS14-075	重要／特権昇格	必要な場合あり	Exchange
MS14-080	緊急／遠隔でのコード実行	必要あり	Windows、IE
MS14-081	緊急／遠隔でのコード実行	必要な場合あり	Office
MS14-082	重要／遠隔でのコード実行	必要な場合あり	Office
MS14-083	重要／遠隔でのコード実行	必要な場合あり	Office
MS14-084	緊急／遠隔でのコード実行	必要な場合あり	Windows
MS14-085	重要／情報漏えい	必要な場合あり	Windows