マイクロソフト、月例パッチで87件の脆弱性を修正

　Microsoftは米国時間10月13日、月例セキュリティパッチをリリースし、さまざまな自社製品に存在する計87件の脆弱性を修正した。

提供：ZDNet

　87件のうち、特に危険なものは「CVE-2020-16898」だ。これは「Windows」のTCP/IPスタックに存在するリモートコード実行（RCE）の脆弱性と説明されている。この脆弱性を悪用することで攻撃者は、細工を施したICMPv6ルーター広告パケットをネットワーク接続経由でパッチ未適用のコンピューターに送信し、Windowsシステムを乗っ取ることが可能になる。

　この脆弱性は10段階の深刻度スコアで9.8とされており、Microsoftはこの脆弱性が危険なものであり、武器化される恐れが十分あると考えている。

　パッチの適用が推奨されているが、ICMPv6のRDNSSサポートを無効化するという回避策も存在している。このためシステム管理者は、今回のセキュリティアップデートに対する品質テストを実施し、OSのクラッシュが発生しないことを確認するまでの一時的な措置として、この回避策をとることもできる。

　このほかに、「CVE-2020-16947」も注意しておくべき脆弱性だ。攻撃者はこの脆弱性を悪用し、「同脆弱性が存在しているバージョンの『Microsoft Outlook』で、細工が施されたファイルを開く」よう仕向けることで、RCEを引き起こせる可能性がある。

　10月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。

• Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
• 米ZDNetもセキュリティアップデートについて1ページにまとめて掲載している。
• Adobe関連のセキュリティ更新情報は、公式サイトで詳しく説明されている。
• SAP関連のセキュリティ更新は公式サイトで公開されている。
• Intel関連のセキュリティ更新は公式サイトで公開されている。
• VMware関連のセキュリティ更新は、公式サイトで詳しく説明される。
• 「Chrome 86」のセキュリティアップデートは、公式サイトで詳しく説明されている。
• 10月の「Android Security Bulletin」も公開されている。