日本マイクロソフトは12日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の10月分を公開した。10件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が5件、2番目に高い「重要」が4件、そして「警告」が1件となっている。すでに公開・悪用が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (3192887)(MS16-118)
MS16-118は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。
メモリ内のオブジェクトに不適切にアクセスする場合に任意のコードが実行される恐れがある複数のメモリ破損の脆弱性や、メモリ内のオブジェクトを処理する際にスクリプトエンジンがレンダリングする方法にリモートでコードが実行される脆弱性、プライベートの名前空間をセキュリティで適切に保護できなかった場合に特権が昇格する脆弱性、メモリ内のオブジェクトを適切に処理しないことによる情報漏えいの脆弱性などが存在する。
このうち、Microsoft Instant Messaging APIがメモリ内のオブジェクトを正しく処理しない場合に、ディスク上の特定のファイルの有無をテストできる情報漏えいの脆弱性は、すでに悪用が確認されているという。別途MS16-126(https://technet.microsoft.com/library/security/MS16-126)として項目も立てられている。
対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3192890)(MS16-119)
MS16-119は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。
Edgeがメモリ内のオブジェクトに処理する方法や、Chakra JavaScriptエンジンがメモリ内のオブジェクトを処理する方法に問題があり、リモートでコードが実行される脆弱性がそれぞれ複数あるほか、2種類の情報漏えいの脆弱性、特権の昇格の脆弱性、セキュリティ機能のバイパスの脆弱性などが存在。
このうち、スクリプトエンジンがメモリ内のオブジェクトを適切に処理しないことによりリモートでコードが実行される脆弱性について、すでに悪用が確認されているという。
対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3192884)(MS16-120)
MS16-120は、Windowsのグラフィックス機能の一部にリモートでコードが実行される脆弱性が存在。特別に細工をしたWebサイト、メールの添付ファイルの閲覧だけで攻撃が実行される危険性がある。
Windows GDIコンポーネントがメモリ内のオブジェクトを処理する特定の方法、Windowsフォントライブラリが特別に細工された埋め込みフォントを正しく処理しない場合にそれぞれリモートでコードが実行される脆弱性が存在。Windows GDIにはさらに複数の情報漏えいの脆弱性もある。WindowsグラフィックコンポーネントはTrue Typeフォント解析で、Windowsカーネルはメモリ内のオブジェクトの適切な処理に失敗した場合で、それぞれ特権の昇格の脆弱性も存在する。
このうち、すでにGDI+のリモートコードが実行される脆弱性は悪用が確認されているという。
対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2、.NET Framework 3.0/3.5/4.5.2/4.6、Office 2007/2010、Word Viewer、Skype for Business 2016、Lync 2010/2013、Live Meeting 2007 Console。Silverlight 5/5 Developer Runtime。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3195360)(MS16-122)
MS16-122は、Windowsに含まれるMicrosoftビデオコントロールに脆弱性が存在し、メモリ内のオブジェクトを適切に処理しない場合にリモートでコードが実行される恐れがある。プレビューウィンドウが攻撃の対象となり、特別に細工されたファイルをプレビューしただけで攻撃が行われる。
対象となるのはWindows Vista/7/8.1/10/RT8.1で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。
Adobe Flash Player のセキュリティ更新プログラム (3194343)(MS16-127)
MS16-127は、Adobe Flash Playerに脆弱性が存在し、リモートでコードが実行される恐れがあるため、Windows Update経由でパッチが配信されるというもの。
早期にパッチ適用ができない場合、Adobe Flash Playerが実行されないようにするなどの回避策も可能だ。
対象となるのはWindows 8.1/10/RT8.1、Server 2012/2012 R2で、最大深刻度は「緊急」となっている。
その他の脆弱性
これに加え、緊急度「重要」の脆弱性が4件公開されている。
・Microsoft Office 用のセキュリティ更新プログラム (3194063)(MS16-121)
・Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3192892)(MS16-123)
