ニュース

MSが11月の月例パッチ公開、OLEのゼロデイ脆弱性やIEの修正など計14件

(2014/11/12 12:16)

 日本マイクロソフト株式会社は12日、11月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報14件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が4件、2番目に高い“重要”が8件、3番目に高い“警告”が2件。

 11月7日の事前予告では、計16件のセキュリティ情報を公開する予定としていたが、最大深刻度“緊急”1件と“重要”1件の計2件に問題が確認されたため、公開を見合わせているという。今後、適切なタイミングで公開を行う予定としている。

 最大深刻度“緊急”のセキュリティ情報は、「MS14-064」「MS14-065」「MS14-066」「MS14-067」の4件。

 「MS14-064」は、Windows OLEに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをInternet Explorer(IE)で表示した際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。

 修正する2件の脆弱性のうち1件(CVE-2014-6352)については、既に悪用が確認されており、マイクロソフトが10月21日にセキュリティアドバイザリ「3010060」を公開していた。

 「MS14-065」は、IEに関する17件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのIE(IE 11~6)が影響を受ける。

 「MS14-066」は、WindowsのMicrosoftセキュアチャネル(Schannel)セキュリティパッケージに存在する1件の脆弱性を修正する。攻撃者が、特別に細工したパケットをWindowsサーバーに送信した場合、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。

 「MS14-067」は、Microsoft XMLコアサービスに関する1件の脆弱性を修正する。脆弱性が悪用された場合、Microsoft XMLコアサービスを呼び出すよう設計され、特別に細工されたウェブサイトにアクセスした場合に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。

 このほか、最大深刻度“重要”および“警告”のセキュリティ情報として、Officeに関する「MS14-069」、TCP/IPスタックに関する「MS14-070」、Windowsオーディオサービスに関する「MS14-071」、.NET Frameworkに関する「MS14-072」、SharePoint Serverに関する「MS14-073」、リモートデスクトッププロトコルに関する「MS14-074」、IISに関する「MS14-076」、Active Directoryフェデレーションサービスに関する「MS14-077」、日本語版IMEに関する「MS14-078」、カーネルモードドライバーに関する「MS14-079」の計10件が公開された。

 マイクロソフトでは、公開された修正パッチをできるだけ早急に適用することを求めている。企業などで適用に優先付けが必要な場合には、「MS14-064」「MS14-065」「MS14-066」の3件を優先的に適用することを推奨している。

 このほか、Flash Playerを内蔵しているWindows 8.1/8のIE 11/10については、Flash Playerの脆弱性を修正する対応が行われている。

 また、Windows 7以降およびWindows Server 2008 R2以降の環境のIEについて、古いバージョンのSilverlight ActiveXコントロールをブロックする措置が開始された。9月に開始された、古いバージョンのJavaのブロックに続くもの。また、Windows VistaおよびWindows Server 2008向けのIE 9についても、古いバージョンのActiveXコントロールの利用をブロックする機能の提供が開始された。

(三柳 英樹)