マイクロソフトは13日、11月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」3件と、次に高い「重要」5件の計8件。Windows、Windows Server、Internet Explorer、Office、Outlookが影響を受ける。
「緊急」に分類されているMS13-090(ActiveX)のパッチは、今月8日(米国時間)にセキュリティ企業のFireEyeが明らかにした、Internet ExplorerのActiveXコントロールの脆弱性に対応している。FireEyeによると、国家安全保障に関連する米国の戦略的に重要なサイトに、この脆弱性を突くコードが仕掛けられていたという。
なお、マイクロソフトは6日にセキュリティアドバイザリ 2896666を公開し、Graphicsコンポーネントに脆弱性が見つかったことを明らかにしているが、この問題に対応するパッチはまだ公開されていない。
【更新プログラムの内容】 <緊急> ・[MS13-088]Internet Explorer用累積パッチ:リモートコード実行の脆弱性 ・[MS13-089]Graphics Device Interface:リモートコード実行の脆弱性 ・[MS13-090]ActiveXのKill Bitの累積パッチ:リモートコード実行の脆弱性
<重要> ・[MS13-091]Office:リモートコード実行の脆弱性 ・[MS13-092]Hyper-V:特権昇格の脆弱性 ・[MS13-093]Ancillary Functionドライバー:情報漏えいの脆弱性 ・[MS13-094]Outlook:情報漏えいの脆弱性 ・[MS13-095]デジタル署名:サービス拒否の脆弱性
このほか、Windows 8/RT/Server 2012上のInternet Explorer 10に搭載されているAdobe Flash Playerの更新プログラムと、新たに「Deminnix」「Napolar」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。
(2013/11/13 ネットセキュリティニュース)
【関連URL:マイクロソフト】 ・セーフティとセキュリティセンター http://www.microsoft.com/ja-jp/security/default.aspx ・2013年11月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov ・Microsoft Update http://windowsupdate.microsoft.com/ 2013年11月のセキュリティ情報(月例)MS13-088~MS13-095 http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610237.aspx ・セキュリティアドバイザリ(2755801)Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム http://technet.microsoft.com/ja-jp/security/advisory/2755801 ・セキュリティアドバイザリ(2896666)Microsoft Graphicsコンポーネントの脆弱性により、リモートでコードが実行される http://technet.microsoft.com/ja-jp/security/advisory/2896666
【関連URL】 ・Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method[英文](FireEye) http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html ・New IE Zero-Day Found in Watering Hole Attack[英文](FireEye) http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
【関連記事:ネットセキュリティニュース】 ・MS製品の未修正の脆弱性を突くゼロデイ攻撃~「Fix It」の適用を(2013/11/06)