ニュース

WindowsやIEなどに“緊急”の脆弱性、Microsoftが10月の月例パッチ公開

Officeにはすでに悪用が確認されているRCE脆弱性

 日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものが23件含まれており、日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

 対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、Skype for BusinessおよびLync、Chakra Core。

 最大深刻度が“緊急”の脆弱性の修正が含まれる製品ファミリーは、Windows 10/8.1/7、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008、Microsoft Edge、IE11、ChakraCore。

 修正パッチに含まれる脆弱性の件数は、CVE番号ベースで62件。うち深刻度が“緊急”のものは23件で、いずれもリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるものだ。

 62件のうち、Officeのメモリ内オブジェクト処理における脆弱性「CVE-2017-11826」は、深刻度は“重要”ながら、すでに悪用の事実が確認されている。細工されたファイルを開くことで、攻撃者によりリモートから任意のコードが実行される可能性がある。対象となるのは、Word 2016/2013/2010/2007、Office Word Viewer、企業向け製品のSharePoint Enterprise Server 2016/2013/2010、Office Online Server 2016、Office Web Apps Server 2013/2010、Office Compatibility Pack。

 修正パッチが提供されるWindows 10のバージョンは、「1703」(Creators Update)、「1607」(Anniversary Update)。2015年11月に提供が開始された「1511」(November Update)向けには、今回が最後のパッチ提供となる。このほか、LTSB向けにWindows 10初期バージョン「1507」にもパッチが提供される。

 また、Office 2007、SharePoint Server 2007の延長サポートも今日で終了するため、今回が最後のパッチ提供となる。

WindowsやIEなどに“緊急”の脆弱性、Microsoftが10月の月例パッチ公開

 このほか、特定のTPMチップにおいてセキュリティ機能をバイパスできる脆弱性(ADV170012)や、「NTLM(NT LAN Manager)」においてシングルサインオン認証を強化する新オプションの追加(ADV170014)、Windows Server 2008(ADV170016)とOffice(ADV170017)向けにセキュリティ関連の機能を向上させる多層防御機能の更新について、新たに4件のセキュリティアドバイザリも公開されている。また、既存の脆弱性情報1件についても更新されている。

 修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。