Microsoftは米国時間10月11日、10月の月例パッチに関する10件のセキュリティ情報を公開した。そのうちの5件は「Internet Explorer」(IE)や「Microsoft Edge」「Microsoft Office」に対する、深刻度が「緊急」(Critical)に分類されるものであり、ゼロデイ脆弱性も含まれている。
今回の月例パッチでは、合計40件超の脆弱性が修正されている。セキュリティ情報10件のうちの5件は深刻度が緊急と分類されており、EdgeやIE、「Adobe Flash Player」、Office、「Windows」「Skype for Business」で遠隔地からのコード実行を許してしまう懸念があるものだという。
Microsoftによると、ゼロデイ脆弱性に分類される問題も4件含まれているものの、いずれも公にはされていなかったという。
こういった脆弱性すべてによって、出自の不明なリンクをクリックしたり、添付ファイルをオープンする際には細心の注意を払う必要があるという点があらためて浮き彫りになる。
IEのゼロデイ脆弱性は、情報漏えいに関するものだ。共通脆弱性識別子CVE-2016-3298に関するセキュリティ情報は2件発表されており(MS16-118とMS16-126)、これらの脆弱性を悪用することで攻撃者は「ディスク上のファイルの有無をテスト」できるようになる。ただ、これらの脆弱性を悪用するには、悪意のあるウェブサイトに被害者を誘導する必要がある。
Officeにはメモリ破損の脆弱性(CVE-2016-7193)が含まれている(MS16-121)。これにより攻撃者は、現在ログオンしているユーザーがシステム管理者権限を有している場合に、システムを制御することが可能になる恐れがある。
攻撃者は、悪意のある添付ファイルを電子メールで送信したり、攻撃サイトへのリンクをクリックするよう仕向けることで、この脆弱性を悪用できる。
「Windows Graphics」コンポーネントにも、遠隔地からのコード実行を許す脆弱性(CVE-2016-3393)が含まれている(MS16-120)。これにより、悪意のあるウェブサイトへのリンクや、有害な添付ファイルを用いた攻撃が可能になる。
Edgeのゼロデイ脆弱性(CVE-2016-7189)も、遠隔地からのコード実行を許すものだ(MS16-119)。これはブラウザのスクリプト実行エンジンに存在する問題に起因している。この脆弱性を悪用するには、ユーザーを悪意のあるウェブサイトに誘導する必要がある。
さらにMicrosoftは10月、「Windows 7 SP1」「Windows 8.1」「Windows Server 2008 R2」「Windows Server 2012」「Windows Server 2012 R2」の更新プログラムについて、新しい「ロールアップ」モデルを初めて採用した。単一のアップデートでセキュリティと信頼性の問題に対応するというものだ。11日の月例リリースより有効になっている。
提供:Microsoft
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。