Microsoft、11月の月例セキュリティ更新プログラム公開 53件の脆弱性を修正

ZDIによると、今回の更新プログラムでは計53件の脆弱性が修正された。中でもEdgeとIEおよびJavaScriptエンジンのChakra Coreには深刻な脆弱性が多数ある。

[鈴木聖子，ITmedia]

　米Microsoftは11月14日（日本時間15日）、月例セキュリティ更新プログラムを公開し、WindowsやInternet Explorer（IE）、Edgeなどの深刻な脆弱性に対処した。

　Microsoftによると、更新プログラムの対象になるのはWindowsとIE、Edgeのほか、Office、Office Services、Web Apps、ASP.NET Core、.NET CoreおよびChakra Coreの各製品。

　セキュリティ企業Trend Micro傘下のZero Day Initiative（ZDI）によると、今回の更新プログラムでは計53件の脆弱性が修正され、うち20件が危険度の最も高い「緊急」に分類されている。中でもEdgeとIEおよびJavaScriptエンジンのChakra Coreには深刻な脆弱性が多数あり、優先的に更新する必要があるとしている。

更新プログラムの対象になるのはWindowsとIE、Edgeのほか、Office、Office Services、Web Apps、ASP.NET Core、.NET CoreおよびChakra Coreの各製品

　53件のうち、3件の脆弱性については事前に情報が公開されていたものの、現時点で攻撃の横行は確認されていないという。ただ、マルウェアに利用される可能性のある脆弱性も多数含まれるとZDIは解説している。

　脆弱性修正の更新プログラムとは別に、Officeに関するセキュリティ情報（ADV170020）も公開され、深層防護としてのセキュリティを強化するOffice向けのアップデートについて解説している。

　ZDIではこれについて、Officeでアプリケーション間のデータ転送に使われる「Dynamic Data Exchange」（DDE）プロトコルの悪用を何らかの形で制限するためのアップデートではないかと推測している。Microsoftは11月9日のセキュリティ情報で、DDEを悪用する攻撃について注意を呼び掛けていた。