ニュース

Microsoft、9月の月例パッチ公開、WindowsやEdge、IEなど“緊急”の脆弱性28件を修正

.NET FrameworkのRCE脆弱性、標的型攻撃への悪用を米FireEyeが報告

 日本マイクロソフト株式会社は13日、9月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものが含まれており、脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがある。日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

 対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、Skype for BusinessおよびLync、.NET Framework、Microsoft Exchange Server、Adobe Flash Player。

 最大深刻度が“緊急”の脆弱性の修正が含まれる製品ファミリーは、Windows 10/8.1/7、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008、Microsoft Edge、ChakraCore、IE11、Microsoft Office 2010/2007、Microsoft Office Web Apps 2010、Microsoft Office Word Viewer、Adobe Flash Player。

 Windows 10については、修正パッチが提供されているバージョンは、「1703」(Creators Update)、「1607」(Anniversary Update)、「1511」(November Update)。このほか、LTSB向けにWindows 10初期バージョン「1507」にもパッチが提供される。

 修正パッチに含まれる脆弱性の件数は、Adobe Flash Playerを除いて、CVE番号ベースで83件。うち緊急は28件。緊急のうち1件はMicrosoft Office Word Viewerにおける情報漏えいの脆弱性、ほか27件はリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるものとなる。

 中でも、.NET Framework 4.7/4.6.2/4.6.1/4.6/4.5.2/3.5.1/3.5/2.0のSOAP WSDLパーサーコードインジェクションにおけるRCE脆弱性「CVE-2017-8759」については、米Fire Eyeにより標的型攻撃に悪用されていることが報告されている。

 このほか、IE11に検索ボックスが追加され、タブの表示位置が変更されるなど、いくつかの機能追加や不具合の修正も行われている。また、既存の脆弱性情報7件についても更新されている。

 修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラム ガイド」で検索・参照可能。