14件のうち、最大深刻度「緊急」は4件。事前通知段階で予告していた2件については公開を見送った。
米Microsoftは11月11日(日本時間12日)、14件のセキュリティ情報を公開し、WindowsやInternet Explorer(IE)などの深刻な脆弱性に対処した。事前通知段階では16件と予告していたが、2件については直前で公開を見送ったもようだ。
14件のセキュリティ情報のうち、最大深刻度が最も高い「緊急」に指定されているのは4件。このうちWindows OLE(Object Linking and Embedding)の脆弱性(MS14-064)については、10月の時点でPowerPointを使ったゼロデイ攻撃が確認され、Microsoftは緩和策を自動的に適用する「Fix IT」を公開していた。OLEの脆弱性は2件あり、サポート対象のWindowsの全バージョンが影響を受ける。
IEの累積的なセキュリティ更新プログラム(MS14-065)では、IEに存在する17件の脆弱性を修正した。いずれも非公開で報告された脆弱性だが、悪用される可能性が高いとされる。脆弱性はIE 11までの全バージョンに存在し、特にクライアント版が深刻な影響を受ける。
WindowsのセキュリティパッケージであるMicrosoftセキュアチャネル(Schannel)の更新プログラム(MS14-066)には、1件の脆弱性修正に加えて、顧客情報を保護するためより強力な暗号化を提供する新しいTLS暗号スイートが含まれる。
また、XMLコアサービスの更新プログラム(MS14-067)では、非公開で報告された1件の脆弱性に対処した。脆弱性はサポート対象の全Windowsに存在し、特にクライアント版が深刻な影響を受ける。
残る10件の内訳は、最大深刻度が上から2番目の「重要」が8件、下から2番目の「警告」が2件。Office、TCP/IP、Windowsオーディオサービス、.NET Framework、SharePoint Foundation、リモートデスクトッププロトコル、インターネットインフォメーションサービス(IIS)、Active Directoryフェデレーションサービス、IME日本語版、カーネルモードドライバの脆弱性にそれぞれ対処した。
このうちIME日本語版に存在する特権昇格の脆弱性(MS14-078)は、悪用を試みる限定的な攻撃が確認されている。また、TCP/IPの特権昇格の脆弱性(MS14-070)は事前に情報が公開されていたが、悪用される可能性は低いとMicrosoftは判断している。
一方、事前通知段階で予告していた残る2件の更新プログラム(MS14-068/MS14-075)については「リリース日未定」となった。
Copyright © ITmedia, Inc. All Rights Reserved.