マイクロソフトは10日、10月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。深刻な脆弱性が多数修正されており、同社はできるだけ早期にパッチを適用するよう呼びかけている。
公開されたパッチは、深刻度が4段階評価で最も高い「緊急」10件と、次に高い「重要」4件の計14件。Windows、Windows Server、Edge、Internet Explorer、Office関連のソフトウェア、SharePoint関連のソフトウェア、Exchange Server、SQL Server Management Studio、ChakraCoreが影響を受ける。
【更新プログラムの内容】
<緊急>
・Windows 10(Edgeを含まない):リモートコード実行の脆弱性
・Edge:リモートコード実行の脆弱性
・Windows Server 2019/2016、Server Coreインストール(2019、2016、v1803、v1709):リモートコード実行の脆弱性
・Windows 8.1/Windows Server 2012 R2:リモートコード実行の脆弱性
・Windows Server 2012:リモートコード実行の脆弱性
・Windows RT 8.1:リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2:リモートコード実行の脆弱性
・Windows Server 2008:リモートコード実行の脆弱性
・Internet Explorer:リモートコード実行の脆弱性
・ChakraCore:リモートコード実行の脆弱性
<重要>
・Office関連のソフトウェア:リモートコード実行の脆弱性
・SharePoint関連のソフトウェア:特権昇格の脆弱性
・Exchange Server:リモートコード実行の脆弱性
・SQL Server Management Studio:情報漏えいの脆弱性
今回修正された脆弱性のうち、WindowsとWindows Serverに影響するWin32kの特権昇格の脆弱性(CVE-2018-8453)は、すでに悪用が確認されている。また、Azure IoT Device Client SDKの脆弱性(CVE-2018-8531)、JETデータベースエンジンの脆弱性(CVE-2018-8423)、Windowsカーネルの脆弱性(CVE-2018-8497)については、パッチ公開前に情報が一般に公開されていたが悪用は確認されていない。
このほか、新たに「Wemaeye」など3種に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開されている。
(2018/10/10 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2018年10月のセキュリティ更新プログラム(月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/10/10/201810-security-updates/