ニュース
MSが11月の月例パッチ公開、OLEのゼロデイ脆弱性やIEの修正など計14件
(2014/11/12 12:16)
日本マイクロソフト株式会社は12日、11月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報14件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が4件、2番目に高い“重要”が8件、3番目に高い“警告”が2件。
11月7日の事前予告では、計16件のセキュリティ情報を公開する予定としていたが、最大深刻度“緊急”1件と“重要”1件の計2件に問題が確認されたため、公開を見合わせているという。今後、適切なタイミングで公開を行う予定としている。
最大深刻度“緊急”のセキュリティ情報は、「MS14-064」「MS14-065」「MS14-066」「MS14-067」の4件。
「MS14-064」は、Windows OLEに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをInternet Explorer(IE)で表示した際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。
修正する2件の脆弱性のうち1件(CVE-2014-6352)については、既に悪用が確認されており、マイクロソフトが10月21日にセキュリティアドバイザリ「3010060」を公開していた。
「MS14-065」は、IEに関する17件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのIE(IE 11〜6)が影響を受ける。
「MS14-066」は、WindowsのMicrosoftセキュアチャネル(Schannel)セキュリティパッケージに存在する1件の脆弱性を修正する。攻撃者が、特別に細工したパケットをWindowsサーバーに送信した場合、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。
「MS14-067」は、Microsoft XMLコアサービスに関する1件の脆弱性を修正する。脆弱性が悪用された場合、Microsoft XMLコアサービスを呼び出すよう設計され、特別に細工されたウェブサイトにアクセスした場合に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)が影響を受ける。
このほか、最大深刻度“重要”および“警告”のセキュリティ情報として、Officeに関する「MS14-069」、TCP/IPスタックに関する「MS14-070」、Windowsオーディオサービスに関する「MS14-071」、.NET Frameworkに関する「MS14-072」、SharePoint Serverに関する「MS14-073」、リモートデスクトッププロトコルに関する「MS14-074」、IISに関する「MS14-076」、Active Directoryフェデレーションサービスに関する「MS14-077」、日本語版IMEに関する「MS14-078」、カーネルモードドライバーに関する「MS14-079」の計10件が公開された。
マイクロソフトでは、公開された修正パッチをできるだけ早急に適用することを求めている。企業などで適用に優先付けが必要な場合には、「MS14-064」「MS14-065」「MS14-066」の3件を優先的に適用することを推奨している。
このほか、Flash Playerを内蔵しているWindows 8.1/8のIE 11/10については、Flash Playerの脆弱性を修正する対応が行われている。
また、Windows 7以降およびWindows Server 2008 R2以降の環境のIEについて、古いバージョンのSilverlight ActiveXコントロールをブロックする措置が開始された。9月に開始された、古いバージョンのJavaのブロックに続くもの。また、Windows VistaおよびWindows Server 2008向けのIE 9についても、古いバージョンのActiveXコントロールの利用をブロックする機能の提供が開始された。
URL
- 2014年11月のマイクロソフトセキュリティ情報の概要
- https://technet.microsoft.com/ja-jp/library/security/ms14-nov
- 日本のセキュリティチームブログの該当記事
- http://blogs.technet.com/b/jpsecurity/archive/2014/11/12/201411-security-bulletin.aspx
この記事に対するFacebookコメント
最新ニュース
- 「Flash Player」セキュリティアップデート、18件の脆弱性を修正[2014/11/12]
- MSが11月の月例パッチ公開、OLEのゼロデイ脆弱性やIEの修正など計14件[2014/11/12]
- 米MS、人工知能による重要メール識別機能「Clutter」をOffice 365で提供開始[2014/11/12]
- アイ・オー、隣のコンセントを塞がない電子蚊取り器ライクな無線LAN中継器[記事訂正][2014/11/12]
- ピーシーデポ、NTT光回線の卸提供でプロバイダーサービス開始へ[2014/11/11]
- NTT西日本の「CLUB NTT-West」をかたるフィッシング再び確認[2014/11/11]
- ウイルス感染PCでも安全にネットバンキング、セコム経由専用のUSBメモリ型端末[2014/11/11]
- マイクロソフト、「Xbox One Kinect」をPCで利用するためのアダプター[2014/11/11]
- ニュースアプリ「Gunosy」上で旅行予約や資産管理までも提供する新構想[2014/11/11]
- 「地図マピオン」iOS版アプリ刷新、使い勝手を改善[2014/11/11]
- Firefoxの10周年記念バージョン公開、「忘却」ボタン搭載でプライバシー重視[2014/11/11]
- 担当者のいない中小企業にも包括的なセキュリティを提供、英ソフォスCEO[2014/11/11]
- Chromebookの個人向け販売開始、価格は3万円前後から[2014/11/11]
- ヤフー、さらに17のサービスを今後半年中に打ち切り、「ネタりか」アプリも[2014/11/11]
- オバマ大統領、“ネット中立性”保護のため「可能な限りの規制」を求める声明[2014/11/11]
- 2015年はネットバンクの二要素認証を突破する攻撃が増加する見込み[2014/11/11]
- 米Evernote、フィル・リービンCEOが「お〜いお茶」好き過ぎて伊藤園と提携[2014/11/10]
- ドコモ、Bluetoothでタブレット連携も可能なフィーチャーフォン「N-01G」発売[2014/11/10]
- NECが「物体指紋認証技術」開発、スマホカメラで工業製品の真贋判定など可能[2014/11/10]
- VALUE-SERVER「まるっとプラン」、ドメイン登録からWordPress設定まで一括提供[2014/11/10]