Microsoftが1月の月例パッチ公開、“緊急”はMicrosoft Edge/IE11など

　日本マイクロソフト株式会社は10日、1月の月例セキュリティ更新プログラム（修正パッチ）をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものは1件含まれている。日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

　対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer（IE）、Microsoft Office、Microsoft Office ServersおよびWeb Apps、SQL Server、ChakraCore、.NET Framework、.NET Core、ASP.NET Core、Adobe Flash Player。

　このうち最大深刻度が“緊急”の脆弱性の修正が含まれるのは、Microsoft Edge、IE11、ChakraCore、Microsoft Office、Microsoft Office ServersおよびWeb Apps。

　修正パッチに含まれる脆弱性の件数は、Adobe Flash Playerのものを除いてCVE番号ベースで23件。うち深刻度が“緊急”のものは1件で、Officeにおいてメモリ破損によりリモートからコードが実行される（RCE：Remote Code Execution）可能性のあるもの。

　なお、修正パッチが提供されるWindows 10のバージョンは、「1709」（Fall Creators Update）、「1703」（Creators Update）、「1607」（Anniversary Update）。このほか、2015年11月に提供が開始された「1511」（November Update）のEnterprise/Educationの各エディション向けと、Windows 10初期バージョン「1507」のLTSB向けにもパッチが提供される。

　このほか、「Meltdown」および「Spectre」と呼ばれるCPUの投機的実行におけるサイドチャネル攻撃についての脆弱性など、CVE番号ベースで36件、うち緊急15件の脆弱性に対するセキュリティ更新プログラムについての修正パッチも、1月4日により定例外で公開している。緊急の15件はいずれもMicrosoft Edgeにおけるもの。

　MeltdownおよびSpectreは、Intel、AMD、ARMなどの多くのCPUや、Windowsのほか、Android、iOS、MacOS、LinuxなどのOSや、Microsoft SQL Serverなどに影響を与える脆弱性。深刻度は“重要”で、CPUにおける投機的実行のサイドチャネル攻撃により、カーネルメモリの内容が権限外のユーザーやアプリケーションから盗み見られる可能性のあるもの。これに関するガイダンス「ADV180002」も公開されている。

　マイクロソフトではパッチの適用により、一部の環境では性能が低下することを確認しているという。ただし、コンシューマーデバイスでの影響はごくわずかとしている。

　これら修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。