日本マイクロソフトは11月12日、月例のセキュリティ更新プログラムを公開した。全14件で、深刻度が「緊急」のものは4件、「重要」が8件、「警告」が2件となる。
なお、脆弱性の悪用が確認されているプログラムは2件で、脆弱性情報が公開されているものも2件ある。企業向けに案内されている「適用優先度」が「1」のプログラムは3件。なお、事前に通知していたセキュリティ情報5と12(MS14-068、075)については公開を見合わせている。
深刻度「緊急」の4件は「MS14-064」~「MS14-067」。
MS14-064は、Windows OLE(Object Linking and Embedding)の脆弱性によってリモートでコードが実行される恐れがある。脆弱性情報が公開されており、すでに悪用も確認されているため注意が必要だ。
具体的には、攻撃者によって細工されたWebページをInternet Explorerで表示すると、リモートでコードが実行される。また、現在のユーザーのコンテキストで任意のコードで実行される恐れもあり、管理者ユーザー権限でログオンしていた場合には、新規アカウントの作成が行われる可能性がある。
対象となるOSは現在サポートされている全てのWindows OSとなる。適用優先度は1。
続くMS14-065は、Internet Explorer用の累積的なセキュリティ更新プログラム。攻撃者によって細工されたWebページをInternet Explorerで表示すると、リモートでコードが実行される。脆弱性が悪用された場合、攻撃者によって現在のユーザーと同じ権限が取得される可能性がある。
対象となるソフトウェアは、Internet Explorer 6 / 7 / 8 / 9 / 10 / 11。なお、Windows Server OS上のIEについては深刻度が「警告」に設定されている。
MS14-066はWindowsのMicrosoft セキュア チャネルセキュリティパッケージに存在する脆弱性を修正するプログラム。攻撃者がWindowsサーバーに特別に細工したパケットを送信した場合、脆弱性によってリモートでコードが実行される可能性がある。
対象となるソフトウェアは、Windows Vista / 7 / 8、8.1(RT、RT 8.1)とWindows Server 2003 / 2008 (2008 R2) / 2012 (2012 R2)、Server Core インストールオプション。
深刻度「緊急」の最後となるMS14-067は、Microsoft XMLコアサービスの脆弱性によりリモートでコードが実行されるというもの。この脆弱性によって、ユーザーがログオンしたユーザーがIEでMicrosoft XML コアサービスを呼び出すように設計された攻撃者が細工したWebサイトにアクセスした場合、リモートでコードが実行される。
ただし、攻撃者がこのようなWebサイトにユーザーを誘導する方法はなく、スパムメールやインスタント・メッセンジャーなどにリンクを送りつけることで訪問させる必要があるとしている。
対象となるソフトウェアは、Windows Vista / 7 / 8、8.1(RT、RT 8.1)とWindows Server 2003 / 2008 (2008 R2) / 2012 (2012 R2)、Server Core インストールオプション。Server OSについては、深刻度が「重要」に設定されている。
その他のセキュリティ情報は以下の通り。
MS14-078は深刻度「警告」だが、日本語版のIMEが脆弱性を抱えており、特権昇格の可能性があるという。脆弱性の悪用も確認されているとしている。