日本マイクロソフトは13日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の11月分を公開した。8件の脆弱性情報が公開されており、最大深刻度がもっとも大きい「緊急」の脆弱性は3件。対象となるユーザーは早急なアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505)(MS13-088)
MS13-088は、Internet Explorerに含まれる10件の脆弱性に関する更新プログラム。そのうち8件はメモリ破損の脆弱性で、IEがメモリ内のオブジェクトにアクセスする方法が不適切な場合に、任意のコードが実行される危険性がある。残る2件は、印刷プレビューまたはCSSの特殊文字の処理に問題があり、見ているWebページの情報が取得されるという情報漏洩の脆弱性となっている。
いずれの脆弱性も、現時点で一般公開や悪用の情報はない、という。
対象となるのはIE 6/7/8/9/10/11で、最大深刻度は「緊急」、悪用可能性指標は最高で「1」となっている。
Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331)(MS13-089)
MS13-089は、Windowsのグラフィックス表示などを担うGDI(Graphics Device Interface)に脆弱性が存在し、特別に細工されたWindows Write(.wri)ファイルをワードパットで開いた際に整数オーバーフローによってメモリが破損し、リモートで任意のコードが実行できる、というもの。
Webサイトやメールの添付ファイルなどからダウンロードしてファイルを開くだけで攻撃が行われ、ログオンしているユーザーのユーザー権限が取得され、その権限で任意のコードが実行される。
現時点で、一般公開または悪用の情報はない、という。
対象となるのはWindows XP/Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2008 R2/2012/2012 R2。最大深刻度はすべてのOSで「緊急」、悪用可能性指標は「1」となっている。
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)(MS13-090)
MS13-090は、Internet ExplorerのActiveXコントロールである「InformationCardSigninHelper」(icardie.dll)に脆弱性が存在。リモートで任意のコードが実行される危険性がある。すでに悪用が確認されているゼロデイの脆弱性であり、最優先での更新が推奨されている。
攻撃は、Webサイトの閲覧だけで実行され、サイトの書き換えや広告などに埋め込まれている危険性や、メールのプレビュー、添付ファイルの実行でも攻撃が行われる可能性もある。
対象となるのはWindows XP/Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2008 R2/2012/2012 R2。最大深刻度は最大で「緊急」、悪用可能性指標は「1」となっている。
深刻度「重要」の脆弱性
そのほか、最大深刻度「重要」の脆弱性として、以下の5つが公開されている。
・Microsoft Office の脆弱性により、リモートでコードが実行される (2885093)(MS13-091)
・Hyper-V の脆弱性により、特権が昇格される (2893986)(MS13-092)
・Windows Ancillary Function ドライバーの脆弱性により、情報漏えいが起こる (2875783)(MS13-093)
・Microsoft Outlook の脆弱性により、情報漏えいが起こる (2894514)(MS13-094)
・デジタル署名の脆弱性により、サービス拒否が起こる (2868626)(MS13-095)
|
