Microsoft、月例セキュリティ情報を公開 IEなどに深刻な脆弱性
IEやEdgeなどの脆弱性に対処する「緊急」の更新プログラム4件、OfficeやWindowsなどを対象とする「重要」の更新プログラム8件が公開された。
米Microsoftは11月10日(米国時間)、11月の月例セキュリティ情報を公開した。内訳はInternet Explorer(IE)やEdgeなどの脆弱性に対処する「緊急」の更新プログラムが4件、OfficeやWindowsなどを対象とする「重要」の更新プログラムが8件となっている。
同社のセキュリティ情報によると、IE用の累積的な更新プログラム(MS15-112)では25件、Edge用の累積的な更新プログラム(MS15-113)では4件の脆弱性に対処した。
IEの脆弱性は、Windows 10上のIE 11を含めてサポート対象の全バージョンで深刻な影響が確認されている。IE、Edgeの脆弱性とも特にクライアント版で危険度が高く、細工を施したWebページを表示すると任意のコードを実行される恐れがある。
Windows Journal用の更新プログラム(MS15-114)は、Windows Vista/7、およびWindows Server 2008/2008 R2が対象。細工を施したJournalファイルを使って悪用される恐れがあり、深刻度はいずれも「緊急」に分類されている。
もう1件の緊急レベルのWindows向け更新プログラム(MS15-115)は、Vistaから10までサポート対象の全Windowsが深刻な影響を受ける。特に組み込みフォントの不適切な処理に起因する脆弱性は、細工を施した文書やWebページを使って悪用される恐れがある。
一方、重要に分類された8件の更新プログラムでは、Officeに存在するリモートでのコード実行の脆弱性のほか、Windows NDISと.NET FrameworkおよびWinsockの権限昇格の脆弱性、IPSecのサービス妨害の脆弱性、Schannelのなりすましの脆弱性、Kerberosのセキュリティ機能バイパスの脆弱性、 Skype for BusinessとMicrosoft Lyncの情報流出の脆弱性がそれぞれ修正された。
関連記事
- Adobe、Flash Playerで脆弱性17件を修正
特にWindowsとMac版では差し迫った危険があるとされ、直ちにFlash Playerを最新版に更新する必要がある。 - SHA-1廃止を前倒し? MicrosoftやMozillaが検討
SHA-1を使った証明書の受け入れ廃止時期を早ければ2016年6月〜7月に前倒しすることを検討している。 - Google、Nexus向け月例パッチ公開 Androidの脆弱性を修正
7件の脆弱性のうち2件は、電子メールやWebブラウザ、MMSなどを使ってメディアファイルを処理させることによって、リモートでコードを実行される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.