ニュース

MSが11月の月例パッチ公開、ゼロデイ脆弱性の修正を含む計14件

 日本マイクロソフト株式会社は9日、11月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報14件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が6件、2番目に高い“重要”が8件。既に悪用が確認されている脆弱性の修正も含まれており、日本マイクロソフトではできるだけ早期に修正パッチを適用するよう呼び掛けている。

 11月のセキュリティ情報のうち最大深刻度が“緊急”のものは、「MS16-129」「MS16-130」「MS16-131」「MS16-132」「MS16-141」「MS16-142」の6件。

 「MS16-129」は、Microsoft Edgeに関する17件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをMicrosoft Edgeで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Windows 10上のMicrosoft Edge。また、修正する脆弱性のうち、「Microsoftブラウザーの情報漏えいの脆弱性(CVE-2016-7199)」と「Microsoft Edgeのなりすましの脆弱性(CVE-2016-7209)」の2件については、事前に情報が公開されていたことが確認されている。

 「MS16-130」は、Windowsに関する3件の脆弱性を修正する。脆弱性が悪用された場合、ローカルで認証された攻撃者が特別に細工されたアプリケーションを実行した場合に、リモートでコードが実行される可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008。

 「MS16-131」は、Microsoftビデオコントロールに関する1件の脆弱性を修正する。脆弱性は、Microsoftビデオコントロールがメモリ内のオブジェクトを適切に処理できなかった場合に、リモートでのコードの実行を可能にするもの。脆弱性が悪用された場合、任意のコードを実行させられる可能性があるが、特別に細工されたファイルやプログラムをウェブページやメール経由でユーザーに開かせることが条件となる。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1、Windows Server 2016。

 「MS16-132」は、Microsoft Graphicsコンポーネントに関する4件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトにアクセスした際や、特別に細工された文書を開いた際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008。また、修正する脆弱性のうち、「OpenTypeフォントのリモートでコードが実行される脆弱性(CVE-2016-7256)については、既に悪用が確認されている。

 「MS16-141」は、IE 11/10およびMicrosoft Edgeに内蔵されているFlash Playerに関する脆弱性を修正する。Adobe Systemsからも、同じ脆弱性の修正に関するセキュリティ情報「APSB16-37」とアップデートプログラムが公開されている。影響を受けるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2016/2012 R2/2012。

 「MS16-142」は、Internet Explorer(IE)に関する7件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトはIE 9~11。また、修正する脆弱性のうち、「Microsoftブラウザーの情報漏えいの脆弱性(CVE-2016-7199)」については、既に悪用が確認されている。

 このほか、最大深刻度“重要”のセキュリティ情報として、Officeに関する「MS16-133」、共通ログファイルシステムドライバーに関する「MS16-134」、Windowsカーネルモードドライバーに関する「MS16-135」、SQL Serverに関する「MS16-136」、Windows認証方式に関する「MS16-137」、仮想ハードディスクドライバーに関する「MS16-138」、Windowsカーネルに関する「MS16-139」、ブートマネージャーに関する「MS16-140」の8件が公開された。このうち、MS16-135で修正する1件の脆弱性については、すでに悪用が確認されている。

 11月の月例パッチについては、既に攻撃に悪用されている脆弱性が存在することを、Googleが事前に公表。マイクロソフトが、11月の月例パッチで対処することを明らかにしていた。