マイクロソフトは12日、9月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。深刻な脆弱性が多数修正されており、同社はできるだけ早期にパッチを適用するよう呼びかけている。
公開されたのは、深刻度が4段階評価で最も高い「緊急」12件、次に高い「重要」1件および、C SDK for Azure IoTとMicrosoft.Data.OData用のパッチ。Windows、Windows Server、Edge、Internet Explorer、Office関連ソフトウェア、SharePoint関連ソフトウェア、.NET Framework、ChakraCore、ASP.NET Core、C SDK for Azure IoT、.Data.OData、Adobe Flash Playerが影響を受ける。
【更新プログラムの内容】
<緊急>
・Windows 10/Windows Server 2016(Edgeを含まない):リモートコード実行の脆弱性
・Windows 8.1/Windows Server 2012 R2:リモートコード実行の脆弱性
・Windows Server 2012:リモートコード実行の脆弱性
・Windows RT 8.1:リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2:リモートコード実行の脆弱性
・Windows Server 2008:リモートコード実行の脆弱性
・Edge:リモートコード実行の脆弱性
・Internet Explorer:リモートコード実行の脆弱性
・Office関連ソフトウェア:リモートコード実行の脆弱性
・.NET Framework:リモートコード実行の脆弱性
・ChakraCoreと ASP.NET Core:リモートコード実行の脆弱性
・Adobe Flash Player:リモートコード実行の脆弱性
<重要>
・SharePoint関連ソフトウェア:特権昇格の脆弱性
<その他>
・C SDK for Azure IoTとMicrosoft.Data.OData用のセキュリティ更新プログラム
これらのうち、WindowsとWindows Serverに影響する、タスクスケジューラのALPC(アドバンストローカルプロシージャコール)の脆弱性(CVE-2018-8440)については、パッチ公開前に情報が一般に公開されており、悪用も確認されている。ほかに、WindowsとWindows Serverに影響する脆弱性1件(CVE-2018-8475)、Internet ExplorerとEdgeに影響する脆弱性1件(CVE-2018-8457)、ASP.NET Core Webアプリケーションに影響する脆弱性1件(CVE-2018-8409)についても情報が一般に公開されていたが、悪用は確認されていない。
(2018/09/12 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2018年9月のセキュリティ更新プログラム(月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/