Microsoftが月例セキュリティ情報を公開、IEの脆弱性は直ちに修正を

[鈴木聖子，ITmedia]

　米Microsoftは10月8日（日本時間9日）、予告通りに8件の月例セキュリティ情報を公開し、計26件の脆弱性に対処した。日本などで攻撃が発生しているInternet Explorer（IE）の脆弱性を修正する更新プログラムも含まれており、できるだけ早く適用するよう呼び掛けている。

　IEの脆弱性は、深刻度が最も高い「緊急」に指定した4件のセキュリティ情報のうちの1件（MS13-080）で対処した。既に情報が公開され、攻撃が発生している脆弱性に加えて、非公開で報告された9件の脆弱性を修正している。

　脆弱性はIE 6〜11の全バージョンに存在し、特にクライアント版が極めて深刻な影響を受ける。既にこの脆弱性を突くコードが出回り、日本のWebサイトの改ざんやマルウェア感染も報告されている。

　Microsoftはまた、Windowsカーネルモードドライバの脆弱性を修正する更新プログラム（MS13-081）と、Windowsコモンコントロールライブラリの脆弱性を修正する更新プログラム（MS13-083）についても最優先で適用を促している。

　Windowsカーネルモードドライバの脆弱性は7件あり、細工を施したOpenTypeまたはTrueTypeフォントを含む不正なWebページを表示すると、任意のコードを実行される恐れがある。この脆弱性は、Windows 8.1／Windows Server 2012 R2／Windows RT 8.1を除く全Windowsが極めて深刻な影響を受ける。

　また、Windowsコモンコントロールライブラリの脆弱性は、64ビット版の全Windowsが深刻な影響を受ける。攻撃者がASP.NET Webアプリケーションに細工を施したリクエストを送り付け、任意のコードを実行できてしまう恐れがある。

　もう1件の緊急レベルのセキュリティ情報（MS13-082）では、.NET Frameworkに存在する3件の脆弱性に対処した。うち1件は既に情報が公開されていたが、Microsoftは現時点で攻撃の発生は確認されていないとしている。

各セキュリティ情報の適用優先度

　残る4件のセキュリティ情報の深刻度は、いずれも上から2番目の「重要」レベル。SharePoint Server、Excel、Wordに存在するリモートコード実行の脆弱性と、Silverlightの情報流出の脆弱性に対処している。

　ExcelとWordの脆弱性については、Microsoftの深刻度評価は「重要」だが、Officeソフトの脆弱性は攻撃経路として利用されるケースが多いことから、セキュリティ企業などは早急な対応を促している。Excelの脆弱性はOffice for Mac 2011も影響を受ける。