2014 年 10 月 15 日 (日本時間)、マイクロソフトは計 8 件 (緊急 3 件、重要 5 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 2 件の公開、既存のセキュリティ アドバイザリ 2 件の更新、および、既存のセキュリティ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 6 種類のマルウェアに対応しています。
今月 10 日に公開した事前通知の内容から一部変更がありました。セキュリティ情報 4 としてご案内していたセキュリティ情報は、問題が確認されたため、公開を見合わせています。今後適切なタイミングで公開を行う予定です。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS14-056 (Internet Explorer), MS14-057 (.NET Framework), MS14-058 (カーネルモード ドライバー) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/FY15_October.png)
■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点
- MS14-059: ASP.NET MVC 5.0、5.1 を使用している場合、影響を受けるコンポーネント (System.Web.Mvc.dll) を持つアプリケーションが過去にロードされていないと自動更新経由で、セキュリティ更新プログラムが配布されません。この条件に該当するお客様 (または、これに該当するかどうかわからないお客様) は、セキュリティ情報の「 影響を受けるソフトウェア 」の表に記載された Microsoft ダウンロード センター リンクを使用して更新プログラムを手動でダウンロードしてインストールしてください。
■ 新規のセキュリティ アドバイザリの公開 (2 件)
- セキュリティ アドバイザリ 2949927 「Windows 7 および Windows Server 2008R2 で SHA-2 ハッシュ アルゴリズムを利用可能」
Windows 7 および Windows Server 2008 R2 に SHA-2 署名および検証機能のサポートを追加する更新プログラムをリリースしました。 - セキュリティ アドバイザリ 2977292 「TLS の使用を可能にする Microsoft EAP 実装用の更新プログラム」
システム レジストリの変更を通じてトランスポート層セキュリティ (TLS) 1.1 または 1.2 を使用できるようにする Microsoft 拡張認証プロトコル (EAP) 実装用の更新プログラムをリリースしました。
■ 既存のセキュリティ アドバイザリの更新 (2 件)
- セキュリティ アドバイザリ 2755801 「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
この更新プログラムは、Adobe セキュリティ速報 APSB14-22 で説明されている脆弱性を解決します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 3001237 を参照してください。 - セキュリティ アドバイザリ 2871997 「資格情報の保護と管理を改善する更新プログラム」
リモート ホスト サーバーにログオンするときのユーザー資格情報の保護を強化するために更新プログラムをリリースしました。
■ 既存のセキュリティ情報の更新 (1 件)
下記セキュリティ情報を再リリースし、Microsoft Update からも提供されるようになったことをお知らせしています。システムを正常に更新済みのお客様は、措置を講じる必要はありません。詳細は、セキュリティ情報を参照してください。
■ 2014 年 10 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-Oct
マイクロソフトは新たに確認した脆弱性について、次の 8 件の新しいセキュリティ情報を公開しました。
| セキュリティ情報 ID | セキュリティ情報タイトル | 最大深刻度 | 脆弱性の影響 | 再起動の必要性 | 影響を受けるソフトウェア |
|---|---|---|---|---|---|
| MS14-056 | Internet Explorer 用の累積的なセキュリティ更新プログラム (2987107) | 緊急 | リモートでコードが実行される | 要再起動 | サポートされているすべてのリリースの Microsoft Windows 上の Internet Explorer |
| MS14-057 | .NET Framework の脆弱性により、リモートでコードが実行される (3000414) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | 影響を受けるすべてのリリースの Microsoft Windows 上の Microsoft .NET Framework 2.0 Service Pack 2、.NET Framework 3.5、.NET Framework 3.5.1、.NET Framework 4、および .NET Framework 4.5/4.5.1/4.5.2 |
| MS14-058 | カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3000061) | 緊急 | リモートでコードが実行される | 要再起動 | サポートされているすべてのリリースの Microsoft Windows |
| MS14-059 | ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942) | 重要 | セキュリティ機能のバイパス | 再起動が必要な場合あり | ASP.NET MVC 2.0、ASP.NET MVC 3.0、ASP.NET MVC 4.0、ASP.NET MVC 5.0、および ASP.NET MVC 5.1 |
| MS14-060 | Windows OLE の脆弱性により、リモートでコードが実行される (3000869) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | サポートされているすべてのリリースの Microsoft Windows |
| MS14-061 | Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (3000434) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | Microsoft Word 2007、Office 2007、Word 2010、Office 2010、Office for Mac 2011、Office 互換機能パック、Word Automation Services、および Office Web Apps Server 2010. |
| MS14-062 | メッセージ キュー サービスの脆弱性により、特権が昇格される (2993254) | 重要 | 特権の昇格 | 要再起動 | Microsoft Windows Server 2003 |
| MS14-063 | FAT32 ディスク パーティション ドライバーの脆弱性により、特権が昇格される (2998579) | 重要 | 特権の昇格 | 要再起動 | Microsoft Windows Server 2003、Windows Vista、および Windows Server 2008 |
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。