Microsoft、14件の月例セキュリティ情報を公開 「緊急」は6件
14件のうち6件が「緊急」の分類。Googleに情報を公開された脆弱性も含め、攻撃の発生が確認された複数の脆弱性にも対処している。
米Microsoftは11月8日、14件の月例セキュリティ情報を公開してWindowsやInternet Explorer(IE)、Edgeなどの深刻な脆弱性を修正した。Googleに情報を公開された脆弱性も含め、攻撃の発生が確認された複数の脆弱性にも対処している。
セキュリティ情報14件のうち6件は、Microsoftの4段階評価で深刻度が最も高い「緊急」に分類されている。このうちEdgeとIEの累積的な更新プログラムでは、多数の深刻な脆弱性が修正された。悪用されれば細工を施したWebページを使ってリモートでコードを実行される可能性がある。
Edgeの更新プログラム(MS16-129)はWindows 10とWindows Server 2016に対応する。IEはIE 9(Windows Vista SP2とWindows Server 2008 SP2向け)、IE 10(Windows Server 2012向け)、IE 11(Windows 7 SP1〜Windows 10、Windows Server 2008 R2 SP1、Windows Server 2012 R2向け)の更新プログラム(MS16-130)がそれぞれ公開された。
Windowsを対象とする「MS16-130」の更新プログムと、Microsoftビデオコントロール用のセキュリティ更新プログラム「MS16-131」、グラフィックスコンポーネント用のセキュリティ更新プログラム「MS16-132」の3件も緊急に指定されている。MS16-130とMS16-132は、サポート対象の全Windowsが深刻な影響を受ける。
MS16-132で対処したOpen Type Fontのリモートコード実行の脆弱性は、既に攻撃の発生が確認されているという。
さらにAdobe Flash Playerの脆弱性に対処する更新プログラム(MS16-141)も、Windows 8.1〜Windows 10などを対象として緊急指定で公開した。
残る8件の深刻度は、いずれも上から2番目の「重要」に指定されているが、「MS16-135」で対処したWindowsカーネルモードドライバの脆弱性は、Adobe Flashの脆弱性と組み合わせてWin32kの特権昇格の脆弱性を突くスピアフィッシング攻撃が起きているという。この脆弱性についてはGoogleの研究者が発見し、Microsoftよりも前に情報を公開していた。
この他の更新プログラムではそれぞれOffice、共通ログファイルシステムドライバ、SQL Server、Windows認証方式、Microsoft仮想ハードディスクドライバ、Windowsカーネル、ブートマネージャの脆弱性を修正している。
関連記事
- Microsoft、Googleが暴いたWindowsの脆弱性修正パッチを8日に提供へ
Microsoftは、Googleが10月31日に公表したWindowsの脆弱性を修正するパッチを11月8日にリリースすると発表した。 - Windowsに未解決の脆弱性、Googleが独自方針で情報を公開
Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」という独自のポリシーに基づいて、Windowsの未解決の脆弱性に関する情報を公表した。 - Adobe、Flash Playerの更新版リリース 深刻な脆弱性を修正
Flash Playerの更新版では9件の脆弱性に対処した。悪用されれば攻撃者にコードを実行され、システムを制御される恐れがある。 - 米Google、「Chrome 54」安定版の脆弱性を修正 DoS誘発の恐れ
更新版ではV8における境界外メモリアクセスの脆弱性が修正された。悪用されればサービス妨害(DoS)状態を誘発される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.