9月の月例パッチには、緊急のパッチが片手で数えられるほどしかない。これは良いニュースだ。
悪いニュースは、ほぼすべての主なMicrosoft製品にセキュリティパッチを適用する必要があることだ。これには、すべてのバージョンの「Windows」に影響のある2件のパッチが含まれる。
Microsoftは9月の月例パッチとして、56件の脆弱性を修正する12件のセキュリティ情報を公開した。
この中でも影響範囲が大きいのは次の2件だ。
MS15-094は今回最大のパッチで、サーバ用およびタブレット用を含む、すべてのサポート対象バージョンのWindowsに影響がある。「Internet Explorer」に存在するメモリ破損の脆弱性を悪用されると、攻撃者に現在のユーザーと同じ権限が取得される可能性がある。攻撃を成功させるには、ユーザーを誘導して特別に細工したウェブページを表示させる必要がある。影響を受けるシステムの中には「Windows 10」が含まれているが、新ブラウザである「Edge」はこの脆弱性の影響を受けない。
もう1つの影響範囲の大きいセキュリティ情報がMS15-098で、すべてのサポート対象バージョンのWindowsに影響がある。「Windows Journal」で特別に細工されたジャーナルファイルが開かれた場合に、サービス拒否が発生し、対象システムでデータが失われる可能性がある。ただし、攻撃者にマシンの制御を奪われる可能性はない。
残り3件の緊急のセキュリティ情報には、Microsoftの新ブラウザEdgeを対象としたものもある。MS14-095で修正する脆弱性には、Edgeに存在するメモリ破損の脆弱性が含まれており、これにより攻撃者に現在のユーザーと同じ権限が取得される可能性がある。
MS15-097は、一部のバージョンのWindowsに影響がある特権昇格の脆弱性や「Microsoft Office」の脆弱性を対象としたものだ。対象製品の特別に細工されたOpenTypeフォントの処理方法に脆弱性が存在し、攻撃者はこれを悪用することで、ユーザーが特別に細工された文書を開いた場合や、OpenTypeフォントファイルが埋め込まれた信頼されていないウェブページを表示した場合に、システムへのアクセス権を獲得することができる。
最後の1件であるMS15-099は、「SharePoint」がリンクを処理する方法に問題があるというもので、すべてのサポート対象バージョンのMicrosoft Officeに影響がある。このクロスサイトスクリプティング(XSS)の脆弱性が悪用されると、攻撃者に対象マシンでリモートからコードやスクリプトを実行される可能性があり、認証に使用されるクッキーなどの重大な機密情報を盗まれることもあり得る(「Excel for Mac 2011」および「Excel for Mac 2016」を利用しているMacユーザーにも影響がある)。
MS15-096およびMS15-100からMS15-105までのパッチはすべて深刻度が「重要」に設定されており、Windows、「Skype」および「Lync」「Exchange Server」に影響がある。
9月の月例パッチは、Windows Updateなどの通常のアップデート手段で入手できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
