マイクロソフトは11日、10月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。深刻な脆弱性が多数修正されている。また、Office 2007の更新は今回が最後となる。
今月公開されたパッチは、深刻度が4段階評価で最も高い「緊急」8件と、次に高い「重要」3件の計11件。Windows、Windows Server、Edge、Internet Explorer、Office関連ソフトウェア、SharePoint Enterprise Server、Lyncと Skype for Business、ChakraCoreが影響を受ける。
【更新プログラムの内容】
<緊急>
・Windows 10/Windows Server 2016(Edge含む):リモートコード実行の脆弱性
・Windows 8.1/Windows Server 2012 R2:リモートコード実行の脆弱性
・Windows Server 2012:リモートコード実行の脆弱性
・Windows RT 8.1:リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2:リモートコード実行の脆弱性
・Windows Server 2008:リモートコード実行の脆弱性
・Internet Explorer:リモートコード実行の脆弱性
・ChakraCore:リモートコード実行の脆弱性
<重要>
・Office関連ソフトウェア:リモートコード実行の脆弱性
・SharePoint Enterprise Server:特権昇格の脆弱性
・Lync/Skype for Business:特権昇格の脆弱性
今回修正された脆弱性のうち、Officeのメモリ破損の脆弱性(CVE-2017-11826)は、すでに悪用が確認されている。
このほか、新たに「ShadowPad」と「Xeelyak」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開されている。
なお、Office 2007については今回のアップデートを最後にサポートが終了し、今後は不具合や問題点が見つかっても修正パッチが提供されない。マルウェア(ウイルス)感染などのリスクが高まるため、マイクロソフトでは最新バージョンへの移行を検討するよう呼びかけている。
(2017/10/11 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2017年10月のセキュリティ更新プログラム(月例)
https://blogs.technet.microsoft.com/jpsecurity/2017/10/11/201710-security-bulletin/
・CVE-2017-11826 | Microsoft Officeのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-11826
・サポート終了の重要なお知らせ Office 2007
https://www.microsoft.com/ja-jp/office/2007/end-of-support/office.aspx