マイクロソフトは8日、今月13日に公開を予定しているセキュリティ更新プログラム(修正パッチ)の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」3件、2番目に高い「重要」5件の計8件。
「緊急」の脆弱性は、いずれもリモートからコードを実行される問題で、Internet Explorerに影響する問題1件と、Windowsに影響する問題2件。
「重要」の脆弱性は、Microsoft Officeに影響するリモートコード実行の問題1件。Windowsに影響する特権昇格の問題1件。Windowsに影響する情報漏えいの問題1件。Microsoft Outlookに影響する情報漏えいの問題1件。Windowsに影響するサービス拒否の問題1件。
このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。
なお、先ごろ悪用が発覚したグラフィックスコンポーネント「GDI+」の脆弱性については、今回の月例パッチでの修正は行われず、準備ができ次第提供する予定だという。影響を受けるユーザーは、パッチが提供されるまでの間、回避策を講じる「Fix it」を適用しておいていただきたい。
この脆弱性が影響するのは、Windows VistaとServer 2008、Microsoft Office、Microsoft Lync。実際に攻撃が確認されているのは、現時点ではOffice 2007のみだが、Office 2003、2007、Lyncクライアントがインストールされた全ての環境と、Office 2010がインストールされたWindows XP/Server 2003が、攻撃されるおそれがある。
(2013/11/08 ネットセキュリティニュース)
【関連URL】
・マイクロソフト セキュリティ情報の事前通知 - 2013年11月(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov
【ゼロデイ攻撃関連】
・セキュリティ アドバイザリ (2896666)Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/advisory/2896666
・サポート技術情報(2896666)[英文](マイクロソフト)
http://support.microsoft.com/kb/2896666/ja
・Clarification on Security Advisory 2896666 and the ANS for the November 2013 Security Bulletin Release[英文](Microsoft Security Response Center)
http://blogs.technet.com/b/msrc/archive/2013/11/07/clarification-on-security-advisory-2896666-and-the-ans-for-the-november-2013-security-bulletin-release.aspx
【関連記事:ネットセキュリティニュース】
・MS製品の未修正の脆弱性を突くゼロデイ攻撃~「Fix It」の適用を(2013/11/06)