2013 年 11 月 13 日 (日本時間)、マイクロソフトは計 8 件 (緊急 3 件、重要 5 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 3 件の公開、既存のセキュリティアドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS13-088 (Internet Explorer), MS13-089 (Windows Graphics Device Interface), MS13-090 (ActiveX) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。なお、マイクロソフトでは MS13-090 の脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。
2013 年 11 月 6 日に、セキュリティ アドバイザリ 2896666「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」を公開しましたが、この問題に対応するセキュリティ更新プログラムは今月のセキュリティ情報には含まれていません。セキュリティ アドバイザリ 2896666 をご確認いただき、回避策の適用をご検討ください。
■ 新規のセキュリティ アドバイザリの公開 (3 件)
- セキュリティ アドバイザリ 2862152「DirectAccess の脆弱性により、セキュリティ機能のバイパスが起こる」
DirectAccess が DirectAccess サーバーを DirectAccess クライアントに接続する方法に関する脆弱性を解決する更新プログラムをリリースしました。 - セキュリティ アドバイザリ 2868725「RC4 を無効化するための更新プログラム」
RC4 の使用を制限する追加オプションを提供する更新プログラムをリリースしました。 - セキュリティ アドバイザリ 2880823「マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止」
マイクロソフト ルート証明書プログラムのポリシーを変更したことをお知らせしました。新しいポリシーでは、2016 年 1 月 1 日以降、ルート証明機関は SSL とコード サイニングの目的で、SHA-1 ハッシュ アルゴリズムを使って X.509 証明書を発行できなくなります。
■ 既存のセキュリティ アドバイザリの更新 (2 件)
- セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
Adobe セキュリティ速報 APSB13-26 で説明している脆弱性を解決する更新プログラム 2868725 をリリースしました。 - セキュリティ アドバイザリ 2854544「Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム」
更新プログラム 2868725 のリリースとルート証明書ポリシーの変更についてお知らせしました。
■ 2013 年 11 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Nov
マイクロソフトは新たに確認した脆弱性について、次の 8 件の新しいセキュリティ情報を公開しました。
| セキュリティ情報 ID | セキュリティ情報タイトル | 最大深刻度 | 脆弱性の影響 | 再起動の必要性 | 影響を受けるソフトウェア |
|---|---|---|---|---|---|
| MS13-088 | Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505) | 緊急 | リモートでコードが実行される | 要再起動 | Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、 および Windows RT 8.1 上の Internet Explorer |
| MS13-089 | Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331) | 緊急 | リモートでコードが実行される | 要再起動 | Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows 2012 R2、Windows RT、および Windows RT 8.1 |
| MS13-090 | ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、 および Windows RT 8.1 |
| MS13-091 | Microsoft Office の脆弱性により、リモートでコードが実行される (2885093) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | Microsoft Office 2003、 Office 2007、Office 2010、Office 2013、および Office 2013 RT |
| MS13-092 | Hyper-V の脆弱性により、特権が昇格される (2893986) | 重要 | 特権の昇格 | 要再起動 | Microsoft Windows 8 および Windows Server 2012 |
| MS13-093 | Windows Ancillary Function ドライバーの脆弱性により、情報漏えいが起こる (2875783) | 重要 | 情報漏えい | 要再起動 | Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および Windows Server 2012 |
| MS13-094 | Microsoft Outlook の脆弱性により、情報漏えいが起こる (2894514) | 重要 | 情報漏えい | 再起動が必要な場合あり | Microsoft Outlook 2007、 Outlook 2010、 Outlook 2013、 および Outlook 2013 RT |
| MS13-095 | デジタル署名の脆弱性により、サービス拒否が起こる (2868626 | 重要 | サービス拒否 | 要再起動 | Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 |
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフトワンポイントセキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。