マイクロソフト、月例セキュリティ更新(12月) - 「緊急」6件、「重要」6件の脆弱性

日本マイクロソフトは14日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の12月分を公開した。12件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が6件、2番目に高い「重要」が6件となっている。すでに公開が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (3204059)(MS16-144)

MS16-144は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。

複数の情報漏えいの脆弱性、複数のメモリ破損の脆弱性、セキュリティ機能のバイパスの脆弱性、複数のスクリプトエンジンのメモリ破損の脆弱性が存在しており、このうち3件の脆弱性はインターネット上に情報が公開されていた。ただし、悪用の情報はない、という。

対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Edge 用の累積的なセキュリティ更新プログラム (3204062)(MS16-145)

MS16-145は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。

複数のメモリ破損の脆弱性、複数の情報漏えいの脆弱性、複数のスクリプトエンジンのメモリ破損の脆弱性、セキュリティ機能のバイパスの脆弱性が存在しており、このうち3件の脆弱性がインターネット上に公開されたが、悪用は確認できていないという。

対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3204066)(MS16-146)

MS16-146は、Windowsのグラフィックス機能に脆弱性が存在し、最悪の場合はリモートでコードが実行される危険性があるというもの。

Windows GDIコンポーネントがメモリの内容を不適切に開示することによる情報漏えいの脆弱性と、同コンポーネントがメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2/2016。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Uniscribe 用のセキュリティ更新プログラム (3204063)(MS16-147)

MS16-147は、WindowsがUnicodeを処理するMicrosoft Uniscribeがメモリ内のオブジェクトを処理する方法に問題があり、リモートでコードが実行されるというもの。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2/2016で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Office 用のセキュリティ更新プログラム (3204068)(MS16-148)

MS16-148は、Microsoft Officeに複数の脆弱性が存在し、最悪の場合、リモートでコードが実行される、というもの。脆弱性の数は16個に及ぶ。

複数のメモリ破損の脆弱性、OLE DLLのサイドローディングの脆弱性、複数のセキュリティ機能のバイパスの脆弱性、複数の情報漏えいの脆弱性、特権の昇格の脆弱性が存在する。

対象となるのはOffice 2007/2010/2013/2013 RT/2016、Office for Mac 2011/2016、Excel 2007/2010/2013/2013 RT/2016、Excel for Mac 2011/2016、Word 2007/2010、Word for Mac 2011、Publisher 2010、Office互換機能パック、Excel/Word Viewer、SharePoint Server 2007/2010、Excel Services/Word Automation Services、Office Web Apps 2010、Auto Updater for Mac。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。