日本マイクロソフトは9日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の11月分を公開した。14件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が6件、2番目に高い「重要」が8件となっている。すでに公開・悪用が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (3198467)(MS16-142)

MS16-142は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。

メモリ内のオブジェクトに不適切にアクセスする場合に任意のコードが実行される恐れがある複数のメモリ破損の脆弱性や、メモリ内のオブジェクトを処理する際に情報が漏えいする脆弱性、スクリプトエンジンがメモリ内のオブジェクトを不適切に処理することによる情報漏えいの脆弱性、XSSフィルターが悪用されることによる情報漏えいの脆弱性が存在する。

このうち、ブラウザウィンドウの情報が取得される情報漏えいの脆弱性に関しては、すでに情報が公開されていたという。

対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Edge 用の累積的なセキュリティ更新プログラム (3199057)(MS16-129)

MS16-129は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。

複数のメモリ破損の脆弱性によるリモートでコードが実行される、メモリ内のオブジェクトを適切に処理しないことでブラウザウィンドウの状態が取得される、XSSフィルターが悪用されることによりWebページから機密情報が取得される、複数のスクリプトエンジンのメモリ破損の脆弱性によりリモートでコードが実行されるなどの脆弱性が存在する。

一部の情報漏えいの脆弱性やなりすましの脆弱性はすでに脆弱性情報が一般に公開されているが、悪用は確認されていないという。

対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Windows 用のセキュリティ更新プログラム (3199172)(MS16-130)

MS16-130は、Windowsに複数の脆弱性が存在し、最悪の場合はリモートでコードが実行される危険性があるというもの。

Windowsのイメージファイル読み込み機能が正しくない形式のイメージファイルを適切に処理しないことで、リモートでコードが実行される、Windows IMEがDLLを適切に読み込まないことで特権が昇格する、タスクスケジューラが特権が昇格した状態で任意のコードが実行される、といった脆弱性が存在する。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2/2016。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3199151)(MS16-131)

MS16-131は、Windowsに含まれるMicrosoftビデオコントロールに脆弱性が存在し、メモリ内のオブジェクトを適切に処理しない場合にリモートでコードが実行される恐れがある。プレビューウィンドウが攻撃の対象となり、特別に細工されたファイルをプレビューしただけで攻撃が行われる。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2016で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3199120)(MS16-132)

MS16-132は、Windowsのグラフィックス表示を行うWindows Graphicsコンポーネントに問題があり、最悪の場合、リモートでコードが実行される、というもの。

OpenTypeフォントの脆弱性では、Windowsフォントライブラリが特別に細工されたフォントを正しく処理しないことでリモートでコードが実行される、という危険性がある。脆弱性の詳細は公表されていなかったが、すでに悪用が確認されているという。

さらに、OpenTypeフォントの脆弱性として、ATMFDコンポーネントがメモリ内の情報を不適切に開示する、という脆弱性も存在。早急にパッチが適用できない場合、情報漏えいの脆弱性に関してはATMFD.dllの名前を変更したり、ATMFDを無効にしたり、といった回避策がある。

そのほか、WindowsアニメーションマネージャーやWindowsメディアファンデーションがメモリ破損によりリモートでコードが実行されるという脆弱性も存在している。

対象となるのはWindows Vista/7/8.1/10/RT 8.1、Server 2008/2008 R2/2012/2012 R2/2016。最大深刻度は「緊急」、悪用可能性指標は「0(悪用の事実を確認済み)」となっている。

Adobe Flash Player のセキュリティ更新プログラム (3202790)(MS16-141)

MS16-141は、Adobe Flash Playerに脆弱性が存在し、リモートでコードが実行される恐れがあるため、Windows Update経由でパッチが配信されるというもの。

早期にパッチ適用ができない場合、Adobe Flash Playerが実行されないようにするなどの回避策も可能だ。

対象となるのはWindows 8.1/10/RT8.1、Server 2012/2012 R2/2016で、最大深刻度は「緊急」となっている。

その他の脆弱性

これに加え、緊急度「重要」の脆弱性が8件公開されている。

Microsoft Office 用のセキュリティ更新プログラム (3199168)(MS16-133)

共通ログ ファイル システム ドライバーのセキュリティ更新プログラム (3193706)(MS16-134)

Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3199135)(MS16-135)

SQL Server 用のセキュリティ更新プログラム (3199641)(MS16-136)

Windows 認証方式用のセキュリティ更新プログラム (3199173)(MS16-137)

Microsoft 仮想ハード ディスク ドライバー用のセキュリティ更新プログラム (3199647)(MS16-138)

Windows カーネル用のセキュリティ更新プログラム (3199720)(MS16-139)

ブート マネージャー用のセキュリティ更新プログラム (3193479)(MS16-140)

なお、同社では2017年2月以降は従来のセキュリティ更新プログラムとしての情報提供ではなく、「Security Updates Guide(セキュリティ更新プログラムガイド)」として情報を提供する。これにより、検索性が向上するなど、より脆弱性情報にアクセスしやすくなるようになるとしている。