日本マイクロソフトは11日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の11月分を公開した。12件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が4件、2番目に高い「重要」が8件となっている。悪用が確認されている脆弱性はないが、インターネット上に情報が公開されている脆弱性はあり、今後悪用の危険性があるため、対象となるユーザーは早急のアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (3104517)
MS15-112は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。
IEの複数のメモリ破損の脆弱性、情報漏えいの脆弱性、Address Space Layout Randomization (ASLR) セキュリティ機能のバイパスといった脆弱性が含まれているが、事前の公開や悪用は確認されていないという。スクリプトエンジンの脆弱性に関しては、VBScript.dllとJScript.dllにアクセス制限をすることで脆弱性を回避できる。
対象となるのはInternet Explorer 7/8/9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3104519)(MS15-113)
MS15-113は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在し、最悪の場合リモートでコードが実行される、というもの。
複数のメモリ破損の脆弱性に加え、セキュリティ機能のAddress Space Layout Randomization(ASLR)をバイパスする脆弱性も存在しており、これを悪用することで、任意のコードを実行できる可能性が高くなる。
対象となるのは、Windows 10/10 Version 1511。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
リモートでのコード実行に対処する Windows Journal 用のセキュリティ更新プログラム (3100213)(MS15-114)
MS15-114は、Windows Journalにリモートでコードが実行される脆弱性が存在。特別に細工されたジャーナル(.jnt)ファイルを開くことで攻撃が行われる可能性がある。
ジャーナルファイルの関連づけを削除する、Windows Journal自体を削除するといった方法で攻撃を回避することも可能だという。
対象となるのは、Windows Vista/7、Server 2008/2008 R2。最大深刻度は「緊急」、悪用可能性指標は「3」となっている。
リモートでのコード実行に対処する Microsoft Windows 用のセキュリティ更新プログラム (3105864)(MS15-115)
MS15-115は、WindowsグラフィックスメモリやWindowsカーネルメモリにそれぞれ複数の脆弱性が存在。最悪の場合、特別に細工されたドキュメントを開いたり、埋め込みOpenTypeフォントが含まれるWebページにアクセスしたりした場合、リモートでコードが実行される可能性がある。
このうち、一部の情報漏えいの脆弱性において、すでに情報がインターネット上に公開されており、早急に対応する必要がある。
対象となるのは、Windows Vista/7/8/8.1/10/RT/RT 8.1、Server 2008/2008 R2/2012/2012 R2。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
その他の脆弱性
これに加え、緊急度「重要」の脆弱性が8件公開されている。このうち、MS15-116とMS15-120、MS15-121は、すでに脆弱性情報が一般に公開されており、早急な対応が必要だ。
・リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3104540)(MS15-116)
・サービス拒否に対処する IPSec 用のセキュリティ更新プログラム (3102939)(MS15-120)
・なりすましに対処する Schannel 用のセキュリティ更新プログラム (3081320)(MS15-121)
・特権の昇格に対処する NDIS 用のセキュリティ更新プログラム (3101722)(MS15-117)
・特権の昇格に対処する .NET Framework 用のセキュリティ更新プログラム (3104507)(MS15-118)
・セキュリティ機能のバイパスに対処する Kerberos 用のセキュリティ更新プログラム (3105256)(MS15-122)
・情報漏えいに対処する Skype for Business および Microsoft Lync 用のセキュリティ更新プログラム (3105872)(MS15-123)
