マイクロソフト、10月のセキュリティ更新、IE用の累積的な更新プログラムなど

マイクロソフトは13日、月例で提供しているセキュリティ更新プログラムの10月分を発表した。16件の脆弱性が公表されており、影響の大きさを示す最大深刻度「緊急」の脆弱性4件は特に、早急なアップデートが推奨されているが、その中でもInternet Explorerにはすでにインターネット上に公開された脆弱性が存在しているので注意が必要だ。

Internet Explorer 用の累積的なセキュリティ更新プログラム (2360131)(MS10-071)

マイクロソフトセキュリティホーム

[MS10-071]は、Internet Explorer(IE)に10件の脆弱性が存在するというもので、その内3件の脆弱性がインターネット上にすでに公開されている。IEのバージョンによって影響のある脆弱性は異なり、Windowsのバージョンによっても脆弱性の深刻度は異なるが、Windows Server 2003/2008/2008 R2上のIEを除く全OSとIEのバージョンで「緊急」の脆弱性が存在する。

存在する脆弱性は「オートコンプリートの情報漏えいの脆弱性」や「HTML のサニタイズの脆弱性」、「初期化されていないメモリ破損の脆弱性」、「CSS 特殊文字の情報漏えいの脆弱性」などで、全体の深刻度はWindows XP/Vista/7上のIE6/7/8が「緊急」、Windows Server 2003/2008/2008 R2では「重要」となっている。このうち3件はすでにインターネット上に脆弱性情報が出回っていたが、悪用された形跡はないという。

悪用しやすさを示す悪用可能性指標は、もっとも悪用しやすい「1」または悪用しにくい「3」が混在している。

Windows Media Player ネットワーク共有サービスの脆弱性により、リモートでコードが実行される (2281679)(MS10-075)

[MS10-075]は、Windows Media Playerがホームネットワーク上でメディア共有を行う際に、ストリーミングを行うRTSPプロトコルのパケット処理に問題が存在し、リモートでコードが実行される危険性がある。

対象となるのはWindows Vista/7で、最大深刻度はWindows Vistaが「重要」、Windows 7が「緊急」、悪用可能性指標は「1」となっている。

Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (982132)(MS10-076)

[MS10-076]は、Webサイトにフォントを埋め込むEmbedded OpenType(EOT)フォントを処理するエンジンに問題が存在し、整数オーバーフローによってリモートでコードが実行されるというもの。

Webサイトの閲覧だけで攻撃が行われ、特に管理者権限でログインしている場合にあらゆる攻撃が行われる危険性がある。

対象となるのはWindows XP/Vista/7、Windows Server 2003/2008/2008 R2で、いずれも深刻度は「緊急」、悪用可能性指標は「1」となっている。

.NET Framework の脆弱性により、リモートでコードが実行される (2160841)(MS10-077)

[MS10-077]は、.NET Frameworkのランタイムコンポーネントであり、各CPUに限定したネイティブコードにコンパイルを行う「.NET Framework JITコンパイラ」のコード最適化の方法に問題があり、メモリ破損が発生してリモートでコードが実行されるというもの。

64bit CPUまたはItaniumを使ったシステムのみに影響が発生し、Webサイトの閲覧だけで攻撃が行われる危険性がある。

Windows XP/Vista/7のそれぞれx64版、Windows Server 2003/2008/2008 R2のx64番またはItanium版で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

その他の深刻度の脆弱性

上記に加え、最大深刻度「重要」の脆弱性が10件公表されている。

さらに深刻度「警告」の脆弱性として、以下の2件の脆弱性が公開されている。

・Microsoft Foundation Classes の脆弱性により、リモートでコードが実行される (2387149)(MS10-074)
・Windows 共有クラスターディスクの脆弱性により、改ざんが起こる (2294255)(MS10-086)

マイクロソフト、10月のセキュリティ更新、IE用の累積的な更新プログラムなど

Internet Explorer 用の累積的なセキュリティ更新プログラム (2360131)(MS10-071)

Windows Media Player ネットワーク共有サービスの脆弱性により、リモートでコードが実行される (2281679)(MS10-075)

Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (982132)(MS10-076)

.NET Framework の脆弱性により、リモートでコードが実行される (2160841)(MS10-077)

その他の深刻度の脆弱性

関連キーワード

Windows Subsystem for Linuxガイド第37回 WSL2でDockerを使うその3「ネットワーク接続Dockerデスクトップ編」

写植機誕生物語〈石井茂吉と森澤信夫〉第44回【茂吉】文字と文字盤(1) 酷評

「SVGMap」とは？ハイパーレイヤリングを使った災害情報表示システム

窓辺の小石第171回世界の中心でAIを叫んだだけのもの

アドビ、Acrobatで生成AI導入＆AIアシスタントの複数ファイル対応などのアップデート

アドビ、「PDFの日」イベントでAcrobatのAIアシスタント日本語版の開発表明

このカテゴリーについて

マイクロソフト、10月のセキュリティ更新、IE用の累積的な更新プログラムなど

Internet Explorer 用の累積的なセキュリティ更新プログラム (2360131)(MS10-071)

Windows Media Player ネットワーク共有サービスの脆弱性により、リモートでコードが実行される (2281679)(MS10-075)

Embedded OpenType フォント エンジンの脆弱性により、リモートでコードが実行される (982132)(MS10-076)

.NET Framework の脆弱性により、リモートでコードが実行される (2160841)(MS10-077)

その他の深刻度の脆弱性

関連キーワード

Windows Subsystem for Linuxガイド 第37回 WSL2でDockerを使う その3「ネットワーク接続Dockerデスクトップ編」

写植機誕生物語 〈石井茂吉と森澤信夫〉 第44回 【茂吉】文字と文字盤(1) 酷評

「SVGMap」とは？ ハイパーレイヤリングを使った災害情報表示システム

窓辺の小石 第171回 世界の中心でAIを叫んだだけのもの

アドビ、Acrobatで生成AI導入＆AIアシスタントの複数ファイル対応などのアップデート

アドビ、「PDFの日」イベントでAcrobatのAIアシスタント日本語版の開発表明

このカテゴリーについて

Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (982132)(MS10-076)

Windows Subsystem for Linuxガイド第37回 WSL2でDockerを使うその3「ネットワーク接続Dockerデスクトップ編」

写植機誕生物語〈石井茂吉と森澤信夫〉第44回【茂吉】文字と文字盤(1) 酷評

「SVGMap」とは？ハイパーレイヤリングを使った災害情報表示システム

窓辺の小石第171回世界の中心でAIを叫んだだけのもの