ニュース

MSが10月の月例パッチ公開、IEのゼロデイ脆弱性修正など計10件

 日本マイクロソフト株式会社は12日、10月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報10件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が4件、3番目に高い“警告”が1件。既に悪用が確認されている脆弱性の修正も含まれており、日本マイクロソフトではできるだけ早期に修正パッチを適用するよう呼び掛けている。

 また、Windows 8.1/7、Windows Server 2012 R2/2012については今月から、修正をまとめて1つの更新プログラムで提供する“ロールアップモデル”に変更された。Windows 10では既に同様の提供形態となっている。

 10月のセキュリティ情報のうち最大深刻度が“緊急”のものは、「MS16-118」「MS16-119」「MS16-120」「MS16-122」「MS16-127」の5件。

 「MS16-118」は、Internet Explorer(IE)に関する11件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトはIE 9~11。また、修正する脆弱性のうち、情報漏えいに関する脆弱性(CVE-2016-3298)については、既に悪用が確認されている。

 また、Windows 7およびWindows Server 2008 R2上のIE 11については、古いバージョンのFlash Playerがインストールされている場合には、起動がブロックされるようになった。

 「MS16-119」は、Microsoft Edgeに関する13件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをMicrosoft Edgeで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Windows 10上のMicrosoft Edge。また、修正する脆弱性のうち、スクリプトエンジンのリモートでコードが実行される脆弱性(CVE-2016-7189)については、既に悪用が確認されている。

 「MS16-120」は、Microsoft Graphicsコンポーネントに関する7件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトにアクセスした際や、特別に細工された文書を開いた際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSおよびソフトは、Windows 10/8.1/7/Vista、Windows RT 8.1、Windows Server 2012 R2/2012/2008 R2/2008、.NET Framework 4.6/4.5.2/3.5.1/3.5/3.0、Word Viewer、Live Meeting 2007 Console、Lync 2013/2010、Skype for Business 2016、Silverlight 5、Silverlight 5 Developer Runtime。また、修正する脆弱性のうち、GDI+のリモートでコードが実行される脆弱性(CVE-2016-3393)については、既に悪用が確認されている。

 「MS16-122」は、Microsoftビデオコントロールに関する1件の脆弱性を修正する。脆弱性が悪用されると、Microsoftビデオコントロールがメモリ内のオブジェクトを適切に処理しない場合に、悪意のあるプログラムが実行される可能性がある。ただし、ウェブページまたはメールメッセージ上から、特別に細工されたファイルやプログラムをユーザーに開かせることが、攻撃者にとっての必要条件になるという。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1。

 「MS16-127」は、IE 11/10およびMicrosoft Edgeに内蔵されているFlash Playerに関する脆弱性を修正する。Adobe Systemsからも、同じ脆弱性の修正に関するセキュリティ情報「APSB16-32」とアップデートプログラムが公開されている。影響を受けるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2012 R2/2012。

 このほか、最大深刻度“重要”のセキュリティ情報として、Officeに関する「MS16-121」、カーネルモードドライバーに関する「MS16-123」、Windowsレジストリに関する「MS16-124」、分析ハブに関する「MS16-125」の4件が、最大深刻度“警告”のセキュリティ情報として、Inetres.dllおよびInetcomm.dllに関する「MS16-126」の1件がそれぞれ公開された。このうち、MS16-126で修正する1件の脆弱性については、すでに悪用が確認されている。