MS、「Windows」「IE」「Office」などで32件の脆弱性を修正--2件のアップデートが延期に

　Microsoftは米国時間11月11日、「Windows」、「Internet Explorer」、「Office」に存在する32件の脆弱性を修正する14件のセキュリティアップデートを公開した。今回に向けてスケジュールされていた2件のアップデートが延期されており、これらについては公開日は未定だ。

　最も深刻度が高い脆弱性は、リモートから認証なしでWindowsサーバを攻撃できる可能性がある、MS14-066だろう。

　脆弱性のうち2つは、すでに攻撃方法が出回っている。Microsoftはそのうち1件について、既知の攻撃をブロックする「Fix it」をすでに公開している。

• MS14-064：Windows OLEの脆弱性により、リモートでコードが実行される（3011443）-- 2つの脆弱性により、「PowerPoint」などのOLEクライアントを通じてシステムが不正アクセスされる可能性がある。そのうち1つはすでに攻撃が出回っており、MicrosoftがFix itを提供している。このFix itは特定の攻撃方法のみに対処するものだったが、今回のアップデートでは原因となる脆弱性そのものを修正している。
• MS14-065：Internet Explorer用の累積的なセキュリティ更新プログラム（3003057）-- このアップデートでは、Internet Explorerに存在する17件の脆弱性を修正している。その多くは深刻度が緊急にレーティングされており、すべてのバージョンのIEが影響を受ける。
• MS14-066：Schannelの脆弱性によりリモートでコードが実行される（2992611）-- これは極めて深刻な脆弱性で、攻撃者は特別に細工したパケットを送信するだけで、「Windows Server」上で高い特権でコードを実行することができる。
• MS14-067：Microsoft XMLコアサービスの脆弱性により、リモートでコードが実行される（2993958）-- 悪意を持って細工されたウェブサイトにアクセスすると、Internet Explorer経由でクライアントがセキュリティ侵害を受ける可能性がある。
• MS14-069：Microsoft Officeの脆弱性によりリモートでコードが実行される（3009710）-- 特別に細工されたファイルを用いることで、「Word 2007 SP3」、「Word Viewer」、Office互換機能パックSP3がセキュリティ侵害を受ける可能性がある。
• MS14-070：TCP/IPの脆弱性により、特権が昇格される（2989935）-- WindowsのTCP/IPクライアント（IPv4とIPv6の両方）に存在する欠陥により、攻撃者の特権が昇格される可能性がある。
• MS14-071：Windowsオーディオサービスの脆弱性により、特権が昇格される（3005607）-- この脆弱性を悪用するには、他の脆弱性と組み合わせて使用する必要がある。
• MS14-072：「.NET Framework」の脆弱性により、特権が昇格される（3005210）-- 「.NET Remoting」を使用するクライアントまたはサーバに特別に細工されたデータを送信することで、攻撃者の特権が昇格される可能性がある。すべてのバージョンのWindowsに影響がある。
• MS14-073：「Microsoft SharePoint Foundation」の脆弱性により、特権が昇格される（3000431）-- 認証済みの攻撃者が、Microsoft SharePoint Foundation 2010 SP2上で任意のスクリプトを実行できる可能性がある。
• MS14-074：リモートデスクトッププロトコルの脆弱性により、セキュリティ機能のバイパスが起こる（3003743）-- 攻撃者が、リモートデスクトッププロトコル（RDP）システムが適切なイベントログを残さないように仕向けられる可能性がある。ただし、Microsoftは実際に動作するコードを作成するのは現実的ではないと考えている。
• MS14-076：インターネットインフォメーションサービス（IIS）の脆弱性により、セキュリティ機能のバイパスが起こる（2982998）-- ユーザーが、IISのユーザーとIPアドレスの制約をバイパスできる可能性がある。Microsoftは実際に動作するコードを作成するのは現実的ではないと考えている。
• MS14-077：Active Directoryフェデレーションサービスの脆弱性により、情報漏えいが起こる（3003381）-- ユーザーがアプリケーションからログアウトした後にブラウザを開きっぱなしにしておいた場合、その直後に、別のユーザーがそのブラウザでアプリケーションを再び開くことができる。Microsoftは実際にこの脆弱性を悪用するのは現実的ではないと考えている。
• MS14-078：IME（日本語版）の脆弱性により、特権が昇格される（2992719）-- IME（日本語版）で、サンドボックスを回避する可能性がある。この脆弱性を悪用した攻撃はすでに出回っている。
• MS14-079：カーネルモードドライバーの脆弱性により、サービス拒否が起こる（3002885）-- ユーザーが、特別に細工されたTrueTypeフォントが置かれているネットワーク共有をWindowsエクスプローラーで参照すると、システムが応答しなくなる。

　Enhanced Mitigation Experience Toolkit（EMET）を利用している人は、今回のInternet Explorerに対するアップデートを適用する前に、このツールを5.1にアップデートすべきだ。Microsoftは、今回のアップデートがバージョン5.0のEMETユーザーに問題を発生させると述べている。

　Microsoftはまた、同日にAdobeが公表した脆弱性を修正するため、Internet Explorer 10および11に組み込まれるFlash Playerの新バージョンをリリースしている。同社はほかにも、セキュリティに関係しない複数のアップデートをリリースしている。