ニュース

Microsoftが11月の月例パッチ公開、“緊急”はMicrosoft Edge/IEなど19件

 日本マイクロソフト株式会社は15日、11月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものが19件含まれており、日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

 対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、ASP.NET Coreおよび.NET Core、Chakra Core。このうち最大深刻度が“緊急”の脆弱性の修正が含まれるのは、Microsoft Edge、IE11、ChakraCore。

 修正パッチに含まれる脆弱性の件数は、CVE番号ベースで53件。うち深刻度が“緊急”のものは19件で、いずれもリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるものだ。

 53件のうち、Microsoftブラウザーにおけるメモリ破損の脆弱性「CVE-2017-11827」と、Internet Explorerの情報漏えいの脆弱性「CVE-2017-11848」の2件は、今回Microsoftがパッチを提供する前に情報が出回っていたもの。前者が最大深刻度“重要”で悪用される可能性が高く、後者は“警告”で悪用可能性は低い(Windows Server 2016/2012 R2/2012/2008 R2/2008ではいずれも“注意”)が、Microsoftでは早期のパッチ適用を推奨している。

 なお、修正パッチが提供されるWindows 10のバージョンは、「1703」(Creators Update)と「1607」(Anniversary Update)。2015年11月に提供が開始された「1511」(November Update)向けにはパッチが提供されない。このほか、LTSB向けにWindows 10初期バージョン「1507」にもパッチが提供される。

 また、「悪意のあるソフトウェアの削除ツール」では、新たに「Win32/Wingbird」に対する定義ファイルが追加されている。

 このほか、10月分のセキュリティ更新プログラムの適用により発生していた2つの問題も解決されている。1つは「Microsoft JETデータベースエンジン」に基づくアプリがExcelファイル(.xls)を作成または開いたときに失敗する問題で、もう1つは高速インストールファイルを使用して更新プログラムをダウンロードすると失敗する問題となる。

 修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのWebサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。