Microsoftの月例更新プログラム公開、IEやWindowsに深刻な脆弱性:計49件の脆弱性を修正
IEやEdge、Windows Hyper-Vの脆弱性など12件が「緊急」に指定されている。
米Microsoftは10月9日(日本時間10日)、10月の月例セキュリティ更新プログラムを公開し、Internet Explorer(IE)やWindowsなどに存在する深刻な脆弱性に対処した。
Microsoftのセキュリティ情報によると、更新プログラムの対象となるのはIEとEdge、Windows、Office/Office Services/Web Apps、ChakraCore、SQL Server Management Studio、Exchange Serverの各製品。
セキュリティ企業Trend Micro傘下のZero DayInitiative(ZDI)によれば、今回の更新プログラムでは計49件の脆弱性が修正された。このうちIEやEdge、Windows Hyper-V、Chakra Scripting Engineの脆弱性など12件は、最大深刻度がMicrosoftの4段階評価で最も高い「緊急」に指定されている。
事前に情報が公開されていた脆弱性は3件、現時点で悪用が確認されている脆弱性は1件。いずれも最大深刻度は上から2番目の「重要」となっている。
このうちWin32kの特権昇格の脆弱性についてZDIでは、「マルウェアによって利用されているのはほぼ間違いない」と推定している。
なお、今回のMicrosoftの月例更新プログラムには、Adobe Flash Playerの更新は含まれていない。Adobeは同日、Flash Playerの不具合を修正するセキュリティアップデートを公開したが、脆弱性の修正は盛り込まれていなかった。
関連記事
- Microsoft、9月の月例セキュリティ更新プログラム公開 計61件の脆弱性を修正
深刻度が「緊急」の脆弱性は18件。悪用される危険性が大きく、事前に情報が公開されていた脆弱性も複数ある。 - Microsoftが月例セキュリティ更新プログラムを公開 既に悪用されているIEの脆弱性も
IEやWindows Shellの脆弱性については、現時点で攻撃が確認されていることから、優先的に対応する必要がある。 - Microsoftなど34社が「セキュリティ協定」、国家によるサイバー攻撃支援せず
「攻撃の動機に関係なく、世界の全てのユーザーを守る」「政府が仕掛けるサイバー攻撃は支援しない」などの基本原則を打ち出した。 - Microsoftのマルウェア対策エンジンに重大な脆弱性、定例外で更新プログラム公開
細工を施したファイルをマルウェア対策エンジンがスキャンすると、リモートで攻撃コードを実行される可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.