マイクロソフト、IEなどの“緊急”パッチ公開、すでに攻撃に悪用の脆弱性も

　日本マイクロソフト株式会社は15日、10月の月例セキュリティ更新プログラム（修正パッチ）に関するセキュリティ情報8件を公開した。修正する脆弱性の最大深刻度は、4段階で最も高い“緊急”のものが3件、2番目に高い“重要”が5件。Windows、Internet Explorer（IE）、Office、.NET Framework、Office Web Apps、SharePoint Serverなどが対象。CVE番号ベースで計24件の脆弱性を修正している。

　なお、10日の事前通知の時点では計9件を予定していることを発表していたが、そのうちの1件については問題が確認されたため、公開を見合わせているという。今後、適切なタイミングで公開する予定だとしている。

　今回公開されたパッチのうち、“緊急”の3件は「MS14-056」「MS14-057」「MS14-058」。

　「MS14-056」は、IEの累積パッチで、現在サポートされている全バージョンのWindows上のIE 11/10/9/8/7/6が影響を受ける。メモリ破損や特権昇格など14件の脆弱性を修正するが、最も深刻な脆弱性を悪用された場合、細工されたウェブページをIEで表示するとリモートでコードが実行される可能性がある。

　「MS14-057」は、.NET Frameworkの3件の脆弱性を修正する。最も深刻な脆弱性を悪用された場合、国際文字を含む細工されたURIリクエストが.NET Webアプリケーションに送信された場合、リモートでコードが実行される可能性がある。.NET Framework 4.5.2/4.5.1/4.5/4.0/3.5.1/3.5/2.0が影響を受ける。

　「MS14-058」は、Windowsのカーネルモードドライバーの脆弱性を修正するもの。現在サポートされているWindows全バージョンが影響を受ける。攻撃者がユーザーに対して、細工されたドキュメントを開くよう誘導したり、埋め込みTrueTypeフォントが含まれる信頼されていないウェブサイトにアクセスするよう誘導することで、リモートでコードを実行できるという。

　“重要”の5件は、ASP.NET MVCのセキュリティ機能回避の脆弱性を修正する「MS14-059」、Windows OLEに関するリモートコード実行の脆弱性を修正する「MS14-060」、Officeにおけるリモートコード実行の脆弱性を修正する「MS14-061」、Windows Server 2003のメッセージキューサービスにおける特権昇格の脆弱性を修正する「MS14-062」、Windows Server 2008/2003およびWindows VistaのFAT32ディスクパーティションドライバーにおける特権昇格の脆弱性を修正する「MS14-063」。

　なお、8件のうち、IEの「MS14-056」、Windowsカーネルモードドライバーの「MS14-058」、Windows OLEに関する「MS14-060」で修正する脆弱性については、これらを悪用しようとする限定的な攻撃がすでに確認されているとしている。

　マイクロソフトでは、ユーザーに対して今回公開したパッチの適用を呼び掛けている。企業ユーザーで適用に優先付けが必要な場合は、“緊急”の3件について優先的に適用することを推奨している。