日本マイクロソフトは13日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の7月分を公開した。11件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が6件、2番目に高い「重要」が5件となっている。すでに公開が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム(3169991)(MS16-084)

MS16-084は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。

メモリ内のオブジェクトに不適切にアクセスする場合に任意のコードが実行される恐れがあるメモリ破損の脆弱性や、JScript 9、JScript、VBScriptの各スクリプトエンジンがレンダリングする方法にリモートでコードが実行される脆弱性、制限されたポートのセキュリティ機能バイパスの脆弱性、情報漏えいの脆弱性など、幅広い問題を解消する。

対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Edge 用の累積的なセキュリティ更新プログラム (3169999)(MS16-085)

MS16-085は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。

セキュリティ機能であるAddress Space Layout Randomization (ASLR) を適切に実装しないため、機能がバイパスされる問題や、複数のメモリ破損の脆弱性、スクリプトエンジンのChakra JavaScriptエンジンがレンダリングする方法に複数の脆弱性が存在。VBScriptの情報漏えいに加え、XSSフィルターが適切にコンテンツを検証しないために任意のJavaScriptが実行され、情報漏えいが起きる脆弱性なども存在する。

対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

JScript および VBScript 用の累積的なセキュリティ更新プログラム (3169996)(MS16-086)

MS16-086は、Windowsに含まれるVBScript 5.7/5.8、JScript 5.8エンジンにメモリ破損の脆弱性が存在し、リモートでコードが実行される恐れがある。

対象となるのはWindows Vista、Server 2008/2008 R2で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Windows 印刷スプーラー コンポーネント用のセキュリティ更新プログラム (3170005)(MS16-087)

MS16-087は、サーバーからプリンターをインストール中にWindows印刷スプーラーサービスが適切にプリントドライバーを検証しないため、リモートでコードが実行される脆弱性が存在。さらに特権の昇格の脆弱性も存在する。

対象となるのはWindows Vista/7/8.1/10/RT、Windows Server 2008/2008 R2/2012/2012 R2。最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

Microsoft Office 用のセキュリティ更新プログラム (3170008)(MS16-088)

MS16-088は、Microsoft Officeに複数の脆弱性が存在。最悪の場合、Officeファイルを開いただけでリモートでコードが実行される危険性がある。Officeには、メモリ内のオブジェクトを適切に処理しないことでメモリが破損する複数の脆弱性があり、それを悪用する事で攻撃が行われる。

対象となるのはOffice 2007/2010/2013/2013 RT/2016、Office for Mac 2011/2016 for Mac、Office互換機能パック、Excel/Word Viewer、SharePoint Server 2010/2013/2016、Office Web Apps 2010/2013、Office Online Server、SharePoint Foundation 2010/2013で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Windows カーネル用のセキュリティ更新プログラム (3171910)(MS16-092)

MS16-092は Windowsカーネル内にセキュリティ機能のバイパスの脆弱性が存在。ファイルの競合を悪用したTime Of Check Time Of Use (TOCTOU)攻撃が可能になる。さらに、Windowsカーネルが特定のページの障害システムコールを適切に処理できない場合に情報が漏えいする脆弱性も存在する。

この情報漏えいの脆弱性はすでに一般に情報が公開されているが、悪用は確認されていないという。

対象となるのはWindows 8.1/10/RT、Windows Server 2012/2012 R2で、最大深刻度は「重要」、悪用可能性指標は「2」となっている。

セキュア ブート用のセキュリティ更新プログラム (3177404)(MS16-094)

MS16-094は、Windowsセキュアブートにセキュリティ機能のバイパスの脆弱性が存在。コードの整合性チェックを無効にし、対象のデバイス上でテスト署名された実行可能なファイルやドライバが読み込まれる可能性がある。BitLockerやデバイスの暗号化のセキュリティ機能でのセキュアブートの整合性検証のバイパスも起こりえる。

すでに脆弱性の情報が一般に公開されているが、悪用された形跡はないという。

対象となるのはWindows 8.1/10/RT、Server 2012/2012 R2。最大深刻度は「重要」、悪用可能性指標は「1」となっている。

Adobe Flash Player のセキュリティ更新プログラム (3174060)(MS16-093)

MS16-093は、Adobe Flash Playerの脆弱性を解消するパッチをWindows Update経由で配布するもの。Internet ExplorerまたはMicrosoft Edgeに含まれるFlash Playerが最新版に更新される。

対象となるのはWindows 8.1/10/RT、Server 2012/2012 R2で、最大深刻度は「緊急」となっている。

その他の脆弱性

これに加え、緊急度「重要」の脆弱性が3件公開されている。

Windows 保護カーネル モード用のセキュリティ更新プログラム (3170050)(MS16-089)

Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3171481)(MS16-090)

.NET Framework 用のセキュリティ更新プログラム (3170048)(MS16-091)