日本マイクロソフトは14日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の10月分を公開した。6件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が3件、2番目に高い「重要」が3件となっている。悪用が確認されている脆弱性はないが、インターネット上に情報が公開されている脆弱性はあり、今後悪用の危険性があるため、対象となるユーザーは早急のアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (3096441)(MS15-106)
MS15-106は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。
IEの複数のメモリ破損の脆弱性、VBScriptエンジンの脆弱性、特権の昇格といった脆弱性があり、一部のVBScriptエンジンの脆弱性はインターネット上で脆弱性情報が公開されていたが、悪用は確認されていないという。
対象となるのはInternet Explorer 7/8/9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」などとなっている。
リモートでのコード実行に対処する JScript および VBScript 用のセキュリティ更新プログラム (3089659)(MS15-108)
MS15-108は、WindowsのVBScriptとJScriptスクリプトエンジンに複数の脆弱性が存在し、最悪の場合リモートでコードが実行される、というもの。IEでWebサイトを表示した場合や、IEのエンジンを利用するソフトウェアやOfficeでActiveXコントロールを埋め込んだファイルを開いた場合などに攻撃が行われる可能性がある。
セキュリティ機能のAddress Space Layout Randomization(ASLR)をバイパスする脆弱性も存在しており、これを悪用することで、任意のコードを実行できる可能性が高くなる。
対象となるのは、Windows Vista/Server 2008。最大深刻度は「緊急」、悪用可能性指標は「1」などとなっている。
リモートでのコード実行に対処する Windows Shell 用のセキュリティ更新プログラム (3096443)(MS15-109)
MS15-109は、Windowsにリモートでコードが実行される脆弱性が存在。特別に細工されたツールバーオブジェクトを開いたり、特別に細工されたコンテンツをオンラインで表示したりした場合に攻撃が行われる可能性がある。
ツールバーオブジェクトの脆弱性では、例えばメールでオブジェクトを送信し、ユーザーがそれを開いた場合に攻撃が実行される。Microsoftタブレット入力バンドにも脆弱性があり、IE経由でWebサイトを開いただけでリモートでコードが実行される危険性がある。
対象となるのは、Windows Vista/7/8/8.1/10/RT/RT 8.1、Server 2008/2008 R2/2012/2012 R2。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
その他の脆弱性
これに加え、緊急度「重要」の脆弱性が3件公開されている。
・Microsoft Edge 用の累積的なセキュリティ更新プログラム (3096448)(MS15-107)
・リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3096440)(MS15-110)
