Microsoft、14件のセキュリティ情報を公開

[鈴木聖子，ITmedia]

　米Microsoftは11月11日（日本時間12日）、14件のセキュリティ情報を公開し、WindowsやInternet Explorer（IE）などの深刻な脆弱性に対処した。事前通知段階では16件と予告していたが、2件については直前で公開を見送ったもようだ。

　14件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」に指定されているのは4件。このうちWindows OLE（Object Linking and Embedding）の脆弱性（MS14-064）については、10月の時点でPowerPointを使ったゼロデイ攻撃が確認され、Microsoftは緩和策を自動的に適用する「Fix IT」を公開していた。OLEの脆弱性は2件あり、サポート対象のWindowsの全バージョンが影響を受ける。

　IEの累積的なセキュリティ更新プログラム（MS14-065）では、IEに存在する17件の脆弱性を修正した。いずれも非公開で報告された脆弱性だが、悪用される可能性が高いとされる。脆弱性はIE 11までの全バージョンに存在し、特にクライアント版が深刻な影響を受ける。

　WindowsのセキュリティパッケージであるMicrosoftセキュアチャネル（Schannel）の更新プログラム（MS14-066）には、1件の脆弱性修正に加えて、顧客情報を保護するためより強力な暗号化を提供する新しいTLS暗号スイートが含まれる。

　また、XMLコアサービスの更新プログラム（MS14-067）では、非公開で報告された1件の脆弱性に対処した。脆弱性はサポート対象の全Windowsに存在し、特にクライアント版が深刻な影響を受ける。

　残る10件の内訳は、最大深刻度が上から2番目の「重要」が8件、下から2番目の「警告」が2件。Office、TCP/IP、Windowsオーディオサービス、.NET Framework、SharePoint Foundation、リモートデスクトッププロトコル、インターネットインフォメーションサービス（IIS）、Active Directoryフェデレーションサービス、IME日本語版、カーネルモードドライバの脆弱性にそれぞれ対処した。

　このうちIME日本語版に存在する特権昇格の脆弱性（MS14-078）は、悪用を試みる限定的な攻撃が確認されている。また、TCP/IPの特権昇格の脆弱性（MS14-070）は事前に情報が公開されていたが、悪用される可能性は低いとMicrosoftは判断している。

　一方、事前通知段階で予告していた残る2件の更新プログラム（MS14-068／MS14-075）については「リリース日未定」となった。