マイクロソフトが11月の月例パッチ公開、IEやOffice関連など計8件

日本マイクロソフト株式会社は13日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報8件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が3件、2番目に高い"重要"が5件。各修正パッチにより合計19件の脆弱性を修正する。

 最大深刻度が"緊急"のセキュリティ情報は、「MS13-088」「MS13-089」「MS13-090」の3件。

 「MS13-088」は、Internet Explorer(IE)に関する10件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、リモートでコードを実行される可能性がある。影響を受けるソフトはIE 11/10/9/8/7/6。

 「MS13-089」は、Graphic Device Interface(GDI)に関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたWriteファイル(.wri)をワードパッドで開いた際に、リモートでコードが実行される可能性がある。影響を受けるOSはWindows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2013 R2/2012/2008 R2/2008/2003。

 「MS13-090」は、脆弱性が確認されたActiveXコントロールの実行を無効にするためのKill Bitを設定する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、リモートでコードを実行される可能性がある。影響を受けるOSはWindows 8.1/8/7/Vista/XP、Windows RT 8.1/RT、Windows Server 2013 R2/2012/2008 R2/2008/2003。

 このほか、最大深刻度"重要"のセキュリティ情報として、Office関連の「MS13-091」、Hyper-V関連の「MS13-092」、Windows Ancillary Functionドライバー関連の「MS13-093」、Outlook関連の「MS13-094」、デジタル署名関連の「MS13-095」の5件が公開されている。

 マイクロソフトでは、Windowsの自動更新機能を有効にして、可能な限り早急に修正パッチをインストールすることを求めている。また、企業ユーザーなどで適用に優先付けが必要な場合には、「MS13-088」「MS13-089」「MS13-090」の3件を最優先で検討することを推奨している。

 また、マイクロソフトがセキュリティアドバイザリ(2896666)を11月5日に公開した、グラフィックコンポーネントに関する脆弱性については、今回のセキュリティ更新では修正されない。マイクロソフトでは現在、修正パッチの開発を進めており、準備ができしだい提供するとしている。

 このほか、新規のセキュリティアドバイザリとして、DirectAccessの脆弱性によりセキュリティ機能のバイパスが起こる問題(2862152)や、RC4を無効化するための更新プログラム(2868725)、マイクロソフトルート証明書プログラムでのSHA-1ハッシュアルゴリズムの廃止(2880823)の3件を公開している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131113_623341.html