マイクロソフト、9月の月例パッチを公開--「緊急」は5件

　9月の月例パッチには、緊急のパッチが片手で数えられるほどしかない。これは良いニュースだ。

　悪いニュースは、ほぼすべての主なMicrosoft製品にセキュリティパッチを適用する必要があることだ。これには、すべてのバージョンの「Windows」に影響のある2件のパッチが含まれる。

　Microsoftは9月の月例パッチとして、56件の脆弱性を修正する12件のセキュリティ情報を公開した。

　この中でも影響範囲が大きいのは次の2件だ。

　MS15-094は今回最大のパッチで、サーバ用およびタブレット用を含む、すべてのサポート対象バージョンのWindowsに影響がある。「Internet Explorer」に存在するメモリ破損の脆弱性を悪用されると、攻撃者に現在のユーザーと同じ権限が取得される可能性がある。攻撃を成功させるには、ユーザーを誘導して特別に細工したウェブページを表示させる必要がある。影響を受けるシステムの中には「Windows 10」が含まれているが、新ブラウザである「Edge」はこの脆弱性の影響を受けない。

　もう1つの影響範囲の大きいセキュリティ情報がMS15-098で、すべてのサポート対象バージョンのWindowsに影響がある。「Windows Journal」で特別に細工されたジャーナルファイルが開かれた場合に、サービス拒否が発生し、対象システムでデータが失われる可能性がある。ただし、攻撃者にマシンの制御を奪われる可能性はない。

　残り3件の緊急のセキュリティ情報には、Microsoftの新ブラウザEdgeを対象としたものもある。MS14-095で修正する脆弱性には、Edgeに存在するメモリ破損の脆弱性が含まれており、これにより攻撃者に現在のユーザーと同じ権限が取得される可能性がある。

　MS15-097は、一部のバージョンのWindowsに影響がある特権昇格の脆弱性や「Microsoft Office」の脆弱性を対象としたものだ。対象製品の特別に細工されたOpenTypeフォントの処理方法に脆弱性が存在し、攻撃者はこれを悪用することで、ユーザーが特別に細工された文書を開いた場合や、OpenTypeフォントファイルが埋め込まれた信頼されていないウェブページを表示した場合に、システムへのアクセス権を獲得することができる。

　最後の1件であるMS15-099は、「SharePoint」がリンクを処理する方法に問題があるというもので、すべてのサポート対象バージョンのMicrosoft Officeに影響がある。このクロスサイトスクリプティング（XSS）の脆弱性が悪用されると、攻撃者に対象マシンでリモートからコードやスクリプトを実行される可能性があり、認証に使用されるクッキーなどの重大な機密情報を盗まれることもあり得る（「Excel for Mac 2011」および「Excel for Mac 2016」を利用しているMacユーザーにも影響がある）。

　MS15-096およびMS15-100からMS15-105までのパッチはすべて深刻度が「重要」に設定されており、Windows、「Skype」および「Lync」「Exchange Server」に影響がある。

　9月の月例パッチは、Windows Updateなどの通常のアップデート手段で入手できる。