Microsoft、9月の月例更新プログラム公開 IEやEdgeに深刻な脆弱性

[鈴木聖子，ITmedia]

　米Microsoftは9月12日（日本時間13日）、月例セキュリティ更新プログラムを公開し、Internet Explorer（IE）やEdge、Windowsなどの深刻な脆弱（ぜいじゃく）性に対処した。

　Microsoftによると、9月の更新プログラムはIE、Edge、Windows、Office／Office Services／Web Apps、Skype for Business／Lync、.NET Framework、Exchange Serverが対象となる。また、Adobe Systemsが同日公開したFlash Playerの更新版も配信する。

9月の月例セキュリティ更新プログラムを公開

　セキュリティ企業Trend Micro傘下のZero Day Initiative (ZDI）によれば、今回は合計81件の脆弱性が修正された。このうち26件について最大深刻度が4段階で最も高い「緊急」に分類されており、Edge、IE、Exchange Serverの更新プログラムは最優先で適用するようZDIは勧告している。

　また、.NET Frameworkのリモートコード実行の脆弱性については現時点で攻撃が発生しているという。最大深刻度は上から2番目の「重要」の分類だが、ZDIではこの脆弱性に対処する更新プログラムも優先する必要があると指摘する。

　Bluetoothドライバに存在するスプーフィングの脆弱性は、攻撃者が通信に割り込む中間者攻撃に利用される恐れがある。この脆弱性は「BlueBorne」と呼ばれ、Windows以外のOSも含む広範な影響が指摘されている。

　NetBIOSのリモートコード実行の脆弱性は、Windows 7〜10、Windows Server 2008〜2016の全バージョンで「緊急」に分類されている。攻撃者が細工を施したNetBT Session Serviceパケットを送り付けることにより、任意のコードを実行できてしまう可能性がある。

　ZDIでは「HoloLens」に搭載されているBroadcom製チップセットの脆弱性にも着目する。MicrosoftがHoloLens向けの更新プログラムを公開するのは7月に次いで2度目になるという。

Zero Day Initiativeでは、26件を「緊急」に分類