マイクロソフト、「緊急」3件含む11月の月例パッチを公開：IEのゼロデイ脆弱性に対応も、Officeのゼロデイは未修正

[高橋睦美，＠IT]

　マイクロソフトは2013年11月13日、月例のセキュリティ情報8件を公開した。WindowsやInternet Explorerに存在するのべ19件の脆弱性を修正する。中には深刻度が最も高い「緊急」が3件含まれており、同社やセキュリティ関連組織は早急なパッチ適用を呼び掛けている。

　11月の月例セキュリティ情報に含まれる「緊急」の脆弱性は、

• MS13-088：Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505)
• MS13-089：Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331)
• MS13-090：ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

の3つだ。悪用されればリモートからコードを実行され、マルウェアに感染する恐れがある。

　事実、セキュリティ企業の米ファイア・アイは、このうちMS13-090の脆弱性が標的型攻撃に悪用されたことを報告していた。国家／国際安全保障に興味を持つユーザーがよく利用するWebサイトに、この脆弱性を突いてマルウェアを感染させようとする不正なコードが仕掛けられていたという。

　残る5件のセキュリティ情報の深刻度は上から2番目の「重要」で、悪用されれば権限昇格や情報漏えいにつながる恐れがある。

　マイクロソフトは、Microsoft Updateなどを用いて早急に一連のパッチを適用するよう呼び掛け、もし企業などでパッチの優先順位付けが必要な場合は、「緊急」に当たるMS13-088、MS13-089、MS13-090の3つを優先的に適用するよう推奨している。

　なお、同社が11月5日に明らかにした、Microsoft Officeなどに存在する脆弱性は11月の月例アップデートでは修正されていない（関連記事）。この問題に対しては引き続き、Fix itなどの回避策を取る必要がある。