Microsoftは、全サポート対象バージョンのWindowsに影響がある2件の「緊急」の脆弱性に対し、パッチをリリースした。
これらのパッチは、同社が11月の月例パッチの一部として公開したもの。
「Windows Vista」以降(「Windows 10」を含む)を使用しているすべてのユーザーは、この2件の脆弱性の影響を受ける。これらの脆弱性を悪用されると、対象マシンにマルウェアをインストールされる可能性がある。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- AWS一強時代でも強さを発揮するマイクロソフト--そのクラウド戦略とは
- テープは死なず--ディスクより長生きするという説も
MS15-112は、「Internet Explorer」に存在するメモリ破損の脆弱性を修正する。この問題が悪用されると、攻撃者は対象マシンへのアクセスを獲得し、プログラムのインストールやデータの削除などに関して、ログインしているユーザーと同じアクセス権を獲得できる。
これを悪用するには、ユーザーを誘導して、電子メールやインスタントメッセージで、この脆弱性を利用する攻撃コードを含むウェブサイトを開かせる必要がある。
Windows 10でのみ動作するマイクロソフトの新ブラウザ「Edge」も、この脆弱性の影響を受ける。こちらには別のセキュリティ情報(MS15-113)が割り当てられている。
Windows Serverを実行しているシステム(「Windows Server 2016」の3番目のプレビューを含む)にも危険があるが、セキュリティモードが強化されているため、脆弱性の影響は緩和されている。
全Windowsに影響があるもう一方のパッチ(MS15-115)は、オペレーティングシステムのフォントの処理および表示の方法を悪用することで、リモートから対象マシンでコードが実行可能になるという、一連の脆弱性を修正するものだ。これらの脆弱性の一部は、攻撃者が対象マシンにログオンしている場合にのみ利用可能だが、ユーザーが攻撃コードを含むウェブページを閲覧しただけで悪用できるものも存在する。
緊急のセキュリティ情報はもう1件ある。MS15-114は、Windows VistaおよびWindows 7に影響がある「Windows Journal」の脆弱性を対象としている。
この脆弱性が悪用された場合、ユーザーが攻撃コードを含むファイルを開くと、攻撃者が対象マシンでリモートからコードを実行することができる。権限が低い設定のアカウントを利用しているユーザーには、影響が少ない。
マイクロソフトは他にも、「Microsoft Office」「.NET Framework」「Skype」に関する、MS15-116からMS15-123までの8件のセキュリティ情報をリリースした。
11月の月例パッチは、通常のアップデート方法で適用できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。