深刻度が最大の「緊急」は5件。IEやEdge、Officeでは既に脆弱性の悪用も確認されている。
米Microsoftは10月11日、10件の月例セキュリティ情報を公開し、WindowsやInternet Explorer(IE)、Edgeに存在する深刻な脆弱性に対処した。Windows 7/8.1では複数の修正プログラムを1つにまとめて提供する「ロールアップモデル」に変更されている。
10件の月例セキュリティ情報のうち、最大深刻度が最も高い「緊急」には5件が指定された。中でもIEおよびEdge向けの累積的なセキュリティ更新プログラムでは、リモートからのコード実行につながる多数の脆弱性が修正されたが、一部の脆弱性については既に悪用が確認され、最優先での適用が推奨されている。
WindowsのGraphicsコンポーネントに存在する脆弱性は、サポート対象の全Windowsと Office、Skype for Business、Silverlight、Lyncが影響を受ける。また、WindowsのMicrosoftビデオコントロールに存在する脆弱性は、ユーザーにWebサイトやメールから細工したファイルやアプリを開かせるなどの手法を通じて悪用されることで、リモートからのコード実行が可能になる。
この他、Adobe Systemsが同日公開したFlash Playerの更新版も、Windows 8.1/RT 8.1/10とWindows Server 2012/2012 R2向けに配信された。
残る5件のセキュリティ情報は、4件が最大深刻度「重要」に、1件が「警告」に分類され、Office、Windowsカーネルモードドライバ、Windowsレジストリ、診断ハブ、Microsoft Internet Messaging APIに存在するリモートからのコード実行、情報漏えい、権限昇格などの脆弱性を修正した。Officeの脆弱性についても既に悪用が確認されているという。
Microsoftは今回の月例セキュリティ情報から、Windows 7/8.1およびとWindows Server 2008 R2/2012/2012 R2で、品質改善などを含む全ての修正プログラムを1つにまとめて提供する「月例ロールアップモデル」と、セキュリティの修正プログラムだけを1つにまとめて提供する「セキュリティのみの更新プログラム」に移行した。また.Net Frameworkも「月例ロールアップモデル」に変更されている。
ロールアップモデルはWindows 10で既に導入され、同社は今回の変更によってWindows 7/8.1でも最新のセキュリティ更新プログラムを適用しやすくなると説明する。ただ、更新プログラムを個別には選択できないため、万一の問題発生などの場合に、以前のような問題のあった更新プログラムのみを適用除外にするといった対応は難しくなるとされている。
Copyright © ITmedia, Inc. All Rights Reserved.