日本マイクロソフトは14日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の12月分を公開した。12件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が6件、2番目に高い「重要」が6件となっている。すでに公開が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (3204059)(MS16-144)

MS16-144は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。

複数の情報漏えいの脆弱性、複数のメモリ破損の脆弱性、セキュリティ機能のバイパスの脆弱性、複数のスクリプトエンジンのメモリ破損の脆弱性が存在しており、このうち3件の脆弱性はインターネット上に情報が公開されていた。ただし、悪用の情報はない、という。

対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Edge 用の累積的なセキュリティ更新プログラム (3204062)(MS16-145)

MS16-145は、Windows 10の新ブラウザであるMicrosoft Edgeに複数の脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。

複数のメモリ破損の脆弱性、複数の情報漏えいの脆弱性、複数のスクリプトエンジンのメモリ破損の脆弱性、セキュリティ機能のバイパスの脆弱性が存在しており、このうち3件の脆弱性がインターネット上に公開されたが、悪用は確認できていないという。

対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3204066)(MS16-146)

MS16-146は、Windowsのグラフィックス機能に脆弱性が存在し、最悪の場合はリモートでコードが実行される危険性があるというもの。

Windows GDIコンポーネントがメモリの内容を不適切に開示することによる情報漏えいの脆弱性と、同コンポーネントがメモリ内のオブジェクトを処理する方法にリモートでコードが実行される脆弱性が存在。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2/2016。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Uniscribe 用のセキュリティ更新プログラム (3204063)(MS16-147)

MS16-147は、WindowsがUnicodeを処理するMicrosoft Uniscribeがメモリ内のオブジェクトを処理する方法に問題があり、リモートでコードが実行されるというもの。

対象となるのはWindows Vista/7/8.1/10/RT8.1、Server 2008/2008 R2/2012/2012 R2/2016で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Microsoft Office 用のセキュリティ更新プログラム (3204068)(MS16-148)

MS16-148は、Microsoft Officeに複数の脆弱性が存在し、最悪の場合、リモートでコードが実行される、というもの。脆弱性の数は16個に及ぶ。

複数のメモリ破損の脆弱性、OLE DLLのサイドローディングの脆弱性、複数のセキュリティ機能のバイパスの脆弱性、複数の情報漏えいの脆弱性、特権の昇格の脆弱性が存在する。

対象となるのはOffice 2007/2010/2013/2013 RT/2016、Office for Mac 2011/2016、Excel 2007/2010/2013/2013 RT/2016、Excel for Mac 2011/2016、Word 2007/2010、Word for Mac 2011、Publisher 2010、Office互換機能パック、Excel/Word Viewer、SharePoint Server 2007/2010、Excel Services/Word Automation Services、Office Web Apps 2010、Auto Updater for Mac。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

Adobe Flash Player のセキュリティ更新プログラム (3209498)(MS16-154)

MS16-154は、Adobe Flash Playerに脆弱性が存在し、リモートでコードが実行される恐れがあるため、Windows Update経由でパッチが配信されるというもの。

早期にパッチ適用ができない場合、Adobe Flash Playerが実行されないようにするなどの回避策も可能だ。

対象となるのはWindows 8.1/10/RT8.1、Server 2012/2012 R2/2016で、最大深刻度は「緊急」となっている。

その他の脆弱性

これに加え、緊急度「重要」の脆弱性が6件公開されている。

Microsoft Windows 用のセキュリティ更新プログラム (3205655)(MS16-149)

保護カーネル モード用のセキュリティ更新プログラム (3205642)(MS16-150)

Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3205651)(MS16-151)

Windows カーネル用のセキュリティ更新プログラム (3199709)(MS16-152)

共通ログ ファイル システム ドライバーのセキュリティ更新プログラム (3207328)(MS16-153)

.NET Framework 用のセキュリティ更新プログラム (3205640)(MS16-155)