日本マイクロソフトは15日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の6月分を公開した。16件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が5件、2番目に高い「重要」が11件となっている。すでに公開が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム(3163649)(MS16-063)
MS16-063は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。
メモリ内のオブジェクトに不適切にアクセスする場合に任意のコードが実行される恐れがあるメモリ破損の脆弱性や、JScript 9、JScript、VBScriptの各スクリプトエンジンがレンダリングする方法にリモートでコードが実行される脆弱性、XSSフィルターがJavaScriptを適切に検証しないためにリモートでコードが実行される脆弱性、Webプロキシ自動検出(WPAD)プロトコルに起因する特権の昇格の脆弱性が存在する。
スクリプトエンジンの脆弱性では、VBScript.dllとJScript.dllへのアクセス制限をすることで問題の回避が可能だが、VBScript、JScriptを使ったサイトが正常に機能しない場合がある。
対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3163656)(MS16-064)
MS16-064は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。
セキュリティ機能であるEdge Content Security Policy(CSP)が特別に細工されたドキュメントを適切に検証しないことによるセキュリティ機能バイパスの脆弱性、Chakra JavaScriptエンジンにリモートでコードが実行される脆弱性、PDFファイルを開いた際の情報漏えいおよびリモートでコードが実行される脆弱性が存在する。
このうち、メモリ破損の脆弱性の1つでは、すでに脆弱性情報がインターネット上に公開されていたが、悪用された形跡はないという。
対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
JScript およびVBScript 用の累積的なセキュリティ更新プログラム(3163640)(MS16-069)
MS16-069は、Windowsに含まれるJScript 9、JScript、VBScriptエンジンに複数の脆弱性が存在し、Internet ExplorerでWebサイトを表示すると任意のコードが実行される恐れがある。
脆弱性としてはMS16-067と同じだが、IE7以前を実行している環境に対するパッチとなる。
対象となるのはWindows Vista、Server 2008/2008 R2、VBScript 5.7、JScript 5.8、VBScript 5.8で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Office 用のセキュリティ更新プログラム(3163610)(MS16-070)
MS16-070は、Officeソフトウェアがメモリ内のオブジェクトを適切に処理しないことで、リモートでコードが実行される複数の脆弱性と、メモリの内容を不適切に開示する情報漏えいの脆弱性、Windowsがライブラリを読み込む前に入力を不適切に検証することで、リモートでコードが実行される脆弱性が存在するというもの。
このうち、情報漏えいの脆弱性はOfficeが不明または信頼されないソースからのRTFドキュメントを開かないようにするといった回避策がある。
対象となるのはOffice 2007/2010/2013/2016、Office for Mac 2011/2016、Office互換機能パック、Word Viewer、Visio Viewer 2007/2010、SharePoint Server 2010/2013、Office Web Apps 2010/2013、Office Online Server、Office OneNote 2016で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Windows DNS サーバー用のセキュリティ更新プログラム(3164065)(MS16-071)
MS16-071は、Windows DNSが要求を適切に処理できない場合に、リモートでコードが実行される脆弱性が存在する。DNSサーバーとして構成されているWindowsサーバーがこの脆弱性による危険にさらされている。
対象となるのはWindows Server 2012/2012 R2で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。
その他の脆弱性
これに加え、緊急度「重要」の脆弱性が11件公開されている。このうち、Windows SMB サーバー用のセキュリティ更新プログラム(3164038)(MS16-075)とWPAD 用のセキュリティ更新プログラム(3165191)(MS16-077)、Microsoft Windows Search コンポーネント用のセキュリティ更新プログラム (3165270)(MS16-082)については脆弱性情報が一般に公開されており、今後の悪用の危険性もあるため、注意が必要だ。
・グループポリシー用のセキュリティ更新プログラム(3163622)(MS16-072)
・Windows カーネルモードドライバー用のセキュリティ更新プログラム(3164028)(MS16-073)
・Microsoft Graphics コンポーネント用のセキュリティ更新プログラム(3164036)(MS16-074)
・Windows SMB サーバー用のセキュリティ更新プログラム(3164038)(MS16-075)
・Netlogon 用のセキュリティ更新プログラム(3167691)(MS16-076)
・WPAD 用のセキュリティ更新プログラム(3165191)(MS16-077)
・Windows 診断ハブ用のセキュリティ更新プログラム(3165479)(MS16-078)
・Microsoft Exchange Server 用のセキュリティ更新プログラム(3160339)(MS16-079)
・Microsoft Windows PDF 用のセキュリティ更新プログラム(3164302)(MS16-080)
・Active Directory 用のセキュリティ更新プログラム(3160352)(MS16-081)
・Microsoft Windows Search コンポーネント用のセキュリティ更新プログラム (3165270)(MS16-082)