Microsoft、11月の月例セキュリティ更新プログラム公開 53件の脆弱性を修正
ZDIによると、今回の更新プログラムでは計53件の脆弱性が修正された。中でもEdgeとIEおよびJavaScriptエンジンのChakra Coreには深刻な脆弱性が多数ある。
米Microsoftは11月14日(日本時間15日)、月例セキュリティ更新プログラムを公開し、WindowsやInternet Explorer(IE)、Edgeなどの深刻な脆弱性に対処した。
Microsoftによると、更新プログラムの対象になるのはWindowsとIE、Edgeのほか、Office、Office Services、Web Apps、ASP.NET Core、.NET CoreおよびChakra Coreの各製品。
セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)によると、今回の更新プログラムでは計53件の脆弱性が修正され、うち20件が危険度の最も高い「緊急」に分類されている。中でもEdgeとIEおよびJavaScriptエンジンのChakra Coreには深刻な脆弱性が多数あり、優先的に更新する必要があるとしている。
53件のうち、3件の脆弱性については事前に情報が公開されていたものの、現時点で攻撃の横行は確認されていないという。ただ、マルウェアに利用される可能性のある脆弱性も多数含まれるとZDIは解説している。
脆弱性修正の更新プログラムとは別に、Officeに関するセキュリティ情報(ADV170020)も公開され、深層防護としてのセキュリティを強化するOffice向けのアップデートについて解説している。
ZDIではこれについて、Officeでアプリケーション間のデータ転送に使われる「Dynamic Data Exchange」(DDE)プロトコルの悪用を何らかの形で制限するためのアップデートではないかと推測している。Microsoftは11月9日のセキュリティ情報で、DDEを悪用する攻撃について注意を呼び掛けていた。
関連記事
- OfficeのDDEプロトコル悪用の恐れ、Microsoftが対策呼び掛け
Office文書でDDEを悪用する攻撃も出回っており、ユーザーに対しては、DDEの機能制御キーを確認し、有効化するよう強く推奨している。 - Microsoft、Outlookのセキュリティ更新プログラムを公開
今回の更新プログラムでは、Outlookのメモリ破損の脆弱(ぜいじゃく)性と、セキュリティ機能バイパスの脆弱性、情報流出の脆弱性にそれぞれ対処した。 - 第22回 「Fall Creators Update」で進化したWindows Defender ATP、7つのポイント
ついに配信されるWindows 10の最新アップデート「Fall Creators Update」。法人向けにも、セキュリティを中心にさまざまな機能強化が行われます。今回はその中でも、Windows Defender ATPの進化についてご紹介しましょう。 - Microsoftは“UI音痴”なのか?
あれ? UIが変わった? いつものツールはどこ?――Windowsユーザーなら、きっとそんな戸惑いを持ったことがあるはず。そこで、あえて言わせてもらいます。Microsoftの“UI/UX音痴”について。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.