マイクロソフトは6日、今月11日に公開を予定しているセキュリティ更新プログラム(修正パッチ)の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」5件、2番目に高い「重要」6件の計11件。
「緊急」の脆弱性は、いずれもリモートからコードを実行されるおそれがあるもので、Windows、Office製品、Lyncに影響する問題1件。Internet Explorerに影響する問題1件。Windowsに影響する問題2件。Exchange Serverに影響する問題1件。
「重要」の脆弱性は、SharePoint ServerとOffice Web Appsに影響するリモートコード実行の問題1件。Windowsに影響する特権昇格の問題2件。開発ツールに影響する特権昇格の問題1件。Office製品に影響する情報漏えいとセキュリティが迂回される問題各1件。
このほかに、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。
なお、ゼロデイ攻撃に悪用されている「GDI+」の問題は、今月のパッチで対処される予定だが、電話回線を制御するドライバー「NDPROXY」の問題を解決する修正パッチは含まれないという。影響を受けるユーザーは、アドバイザリを参照し当該ドライバーを無効にする回避策を講じるよう同社は促している。
この脆弱性の影響を受けるのは、Windows XPとWindows Server 2003のみで、Vista以降のWindowsには影響しない。悪用された場合、リモートから直接コードを実行することはできないが、他の脆弱性との併用やユーザー自身が不正なプログラムを実行してしまった場合には、ユーザーの権限に関係なくシステムレベルの操作を許してしまう。
(2013/12/06 ネットセキュリティニュース)
【関連URL:マイクロソフト】 ・マイクロソフト セキュリティ情報の事前通知 - 2013 年 12 月 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-dec
【ゼロデイ攻撃関連:マイクロソフト】 ・マイクロソフト セキュリティ アドバイザリ (2896666)Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される http://technet.microsoft.com/ja-jp/security/advisory/2896666 ・サポート技術情報(2896666) https://support.microsoft.com/kb/2896666/ja ・マイクロソフト セキュリティ アドバイザリ (2914486)Microsoft Windows カーネルの脆弱性により、特権が昇格される http://technet.microsoft.com/ja-jp/security/advisory/2914486
【関連記事:ネットセキュリティニュース】 ・MS製品の未修正の脆弱性を突くゼロデイ攻撃~「Fix It」の適用を(2013/11/06) ・添付ファイルに注意、ワープロの文書ファイルを使う脆弱性攻撃が拡大(2013/11/7) ・Windows XPの未修正の脆弱性を悪用する攻撃を確認、MSがアドバイザリ公開(2013/11/28)