Microsoftが先週、既に悪用されている「Internet Explorer」(IE)の脆弱性に対処する米国時間9月23日のパッチを拡大した定例外のセキュリティアップデートをリリースしている。
Microsoftは、「CVE-2019-1367」に対処するこの定例外パッチを「Microsoft Update Catalog」のみでリリースしており、手動でダウンロードする必要があった。今回は、「Windows Update」と「Windows Server Update Services」(WSUS)を通して自動で提供される。
Microsoftは、「これは、2019年9月23日付けの定例外プログラムを拡張する必須のセキュリティ更新プログラムだ」としている。
MicrosoftがこのパッチをWindows UpdateとWSUS経由でリリースしなかったことで、混乱も生じていたようだ。
IEのスクリプトエンジンの脆弱性は、GoogleのThreat Analysis GroupのClement Lecigne氏によって発見され、Microsoftは数日以内に急いでパッチをリリースした。
この脆弱性は、ごく一部のWindowsユーザーを標的とするのに使用されていた可能性が高い。このパッチをリリースする前に、Microsoftがリグレッションテストにどれほど時間をかけることができたかも不明だ。
Lecigne氏は2月にも、「Chrome」の未公表の脆弱性と「Windows 7」に影響を及ぼす脆弱性を発見した。これらの脆弱性は併用され、標的のユーザーを攻撃していたようだ。
Googleは、Microsoftがパッチをリリース可能になる前に、Chrome向けのパッチをリリースし、Windows 7の脆弱性の存在を明らかにした。
現時点では、Lecigne氏はIEの脆弱性に関する詳細を公表していない。
今回リリースされたWindows向けの定例外の更新プログラムでは、印刷ジョブの失敗を引き起こす脆弱性にも対処している。
Microsoftは、「印刷ジョブが正常に完了しない可能性がある印刷スプーラーサービスの断続的な問題に対処する。一部のアプリは、終了されたり、リモートプロシージャーコール(RPC)エラーなどのエラーが生成されたりする可能性がある」と説明している。
印刷の不具合は、IEの脆弱性を修正するパッチが原因のようだ。
今回のアップデートは、10月8日にリリースされる10月の月例アップデート(Patch Tuesday)を置き換えるものではないとMicrosoftは説明している。
今回のセキュリティアップデートは、「Windows 10」「Windows 8.1」「Windows 7」などのサポート対象バージョン向けに提供されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。