マイクロソフトが12月の月例パッチ公開、GDI+の脆弱性修正を含む計11件

　日本マイクロソフト株式会社は11日、12月の月例セキュリティ更新プログラム（修正パッチ）に関するセキュリティ情報11件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が6件。

　最大深刻度が“緊急”のセキュリティ情報は、「MS13-096」「MS13-097」「MS13-098」「MS13-099」「MS13-105」の5件。

　「MS13-096」は、Microsoft Graphicsコンポーネントに関する1件の脆弱性を修正する。GDI+の画像ファイル処理に起因するもので、脆弱性が悪用された場合、特別に細工されたTIFFファイルが含まれるコンテンツを表示した際に、リモートでコードが実行される可能性がある。マイクロソフトが11月5日付のセキュリティアドバイザリ（2896666）として情報を公開していた脆弱性で、既に悪用も確認されている。影響を受けるソフトはWindows Vista/Windows Server 2008、Office 2010/2007/2003、Office互換機能パック、Word Viewer、Excel Viewer、PowerPoint 2010 Viewer、Lync 2013/2010。

　「MS13-097」は、Internet Explorer（IE）に関する7件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、リモートでコードが実行される可能性がある。影響を受けるソフトはIE 11/10/9/8/7/6。

　「MS13-098」は、Windowsに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工された署名付きのポータブル実行可能（PE）ファイルを実行またはインストールした場合、リモートでコードが実行される可能性がある。影響を受けるソフトは、Windows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003。

　「MS13-099」は、Microsoft Scripting Runtimeオブジェクトライブラリに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたコンテンツをホストするサイトにユーザーが誘導された際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、Windows Script 5.8（Windows 8.1/8/7、Windows RT 8.1/8、Windows Server 2012 R2/2012/2008 R2）、Windows Script 5.7（Windows Vista/XP、Windows Server 2008/2003）、Windows Script 5.6（Windows XP、Windows Server 2003）。

　「MS13-105」は、Exchange Serverに関する4件の脆弱性を修正する。脆弱性が悪用された場合、サーバー上のユーザーに特別な細工がされたファイルを含むメールが送信された際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、Exchange Server 2013/2010/2007。

　このほか、最大深刻度“重要”のセキュリティ情報として、SharePoint Server関連の「MS13-100」、Windowsカーネルモードドライバー関連の「MS13-101」、LRPCクライアント関連の「MS13-102」、ASP.NET SignalR関連の「MS13-103」、Office関連の「MS13-104」、Office共有コンポーネント関連の「MS13-106」の6件が公開されている。

　マイクロソフトでは、家庭ユーザーに対しては自動更新機能を有効にして、自動的に修正パッチを適用することを求めている。また、企業ユーザーなどで適用に優先付けが必要な場合には、「MS13-096」「MS13-097」「MS13-099」の3件を再優先で検討することを推奨している。

　また、マイクロソフトが11月27日付のセキュリティアドバイザリ（2914486）で公開した、Windows XPおよびWindows Server 2003に影響のある脆弱性については、今回のセキュリティ更新では修正されない。マイクロソフトでは現在、修正パッチの開発を進めており、準備ができしだい提供するとしている。