米Microsoftは9月12日(日本時間13日)、9月の月例セキュリティ更新プログラムを公開し、Internet Explorer(IE)やEdge、Windowsなどの深刻な脆弱性に対処した。8月下旬に発覚したWindowsタスクスケジューラの脆弱性も修正されている。
Microsoftによると、9月の月例セキュリティ更新プログラムの対象となるのは、IEとEdge、Windows、Office/Office Services/Web Apps、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NETの各製品。
このうちWindowsタスクスケジューラ「Advanced Local Procedure Call(ALPC)」に存在する権限昇格の脆弱性(最大深刻度:重要)については、8月下旬に悪用コードが公開され、この問題を突くマルウェアの出現も報告されていた。
米セキュリティ機関SANS Internet Storm Centerによると、今回の月例セキュリティ更新プログラムでは、計61件の脆弱性が修正されている。このうち深刻度が4段階で最も高い「緊急」に指定されているのは18件。中でもIEにおけるメモリ破損の脆弱性などは、悪用される危険性が大きいとされる。
特に、Windowsのリモートコード実行の脆弱性(CVE-2018-8475)や、スクリプティングエンジンのメモリ破損の脆弱性(CVE-2018-8457)については、事前に情報が出回っていたという。
月例セキュリティ更新プログラムには、Microsoft製品のほか、Adobeが同日公開したFlash Playerのセキュリティアップデートも含まれる。
これとは別に、「FragmentSmack」と呼ばれる未解決の脆弱性(CVE-2018-5391)に関するアドバイザリーも公開された。Windowsでこの問題を悪用された場合、サービス妨害(DoS)攻撃を仕掛けられ、CPUが100%消費されてシステムが反応しなくなる恐れがある。
Microsoftは現在、この脆弱性を解決する更新プログラムの開発を進めているという。アドバイザリーでは当面の対策も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR