Microsoft、11月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された脆弱性のうち2件は事前に情報が公開され、1件については既に攻撃が発生している。
米Microsoftは11月13日(日本時間14日)、11月の月例セキュリティ更新プログラムを公開し、Internet Explorer(IE)やEdge、Windowsなどの脆弱性を修正した。
Microsoftによると、更新プログラムの対象となるのは、IEとEdge、Windowsのほか、Office/Office Services/Web Apps、ChakraCore、.NET Core、Skype for Business、Azure App Service on Azure Stack、Team Foundation Server、Dynamics 365(オンプレミス)バージョン8、PowerShell Core、Microsoft.PowerShell.Archive 1.2.2.0の各ソフトウェア。
米セキュリティ機関SANS Internet Storm Centerによれば、今回修正された脆弱性のうち2件は、事前に情報が公開されていた。
このうちBitlockerのセキュリティ機能が迂回される問題は11月上旬に発覚し、Microsoftがセキュリティ情報を公開して対策を紹介していた。もう1件の、Windows ALPCに関する権限昇格の脆弱性は、Twitterを通じて情報が出回っていたという。
さらに、Win32kの権限昇格問題については、既に脆弱性を突く攻撃の発生が確認されている。
いずれも最大深刻度はMicrosoftの4段階評価で上から2番目の「重要」に分類されている。
一方、深刻度が最も高い「緊急」に指定されている脆弱性は12件。特にChakraスクリプティングエンジンには、緊急度の高い脆弱性が多数存在している。
関連記事
- 自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響
悪用されればドライブの暗号が解読される恐れがある。Crucial(Micron)やSamsungのSSD、そしてWindowsのBitLockerなどが影響を受ける。 - Microsoftの月例更新プログラム公開、IEやWindowsに深刻な脆弱性
IEやEdge、Windows Hyper-Vの脆弱性など12件が「緊急」に指定されている。 - Microsoft、9月の月例セキュリティ更新プログラム公開 計61件の脆弱性を修正
深刻度が「緊急」の脆弱性は18件。悪用される危険性が大きく、事前に情報が公開されていた脆弱性も複数ある。 - Microsoftが月例セキュリティ更新プログラムを公開 既に悪用されているIEの脆弱性も
IEやWindows Shellの脆弱性については、現時点で攻撃が確認されていることから、優先的に対応する必要がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.