2015年 12 月 9 日 (日本時間)、マイクロソフトは計 12 件 (緊急 8 件、重要 4 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 1 件の公開、および、既存のセキュリティ アドバイザリ 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェア Win32/Winsec に対応しています。
脆弱性が公開されているもの、また悪用を確認しているものもありますので、お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。
■最新ではないバージョンの Internet Explorer のサポート終了について
2016 年 1 月 13 日 (米国時間) 以降、サポートされるオペレーティング システム向けの最新のバージョンの Internet Explorer (IE) のみが、セキュリティ更新プログラムおよび技術サポートの対象となり、それ以外の古いバージョンの Internet Explorer のサポートが終了となります。マイクロソフトでは IE の潜在的な脆弱性を日々修正していますが、提供当時の環境を前提として開発された古いバージョンの IE では年々進化しているセキュリティの脅威に対応することが難しくなっています。安全に Web をご利用いただくためにも、サポートされるバージョンの Internet Explorer にアップグレードされることをお勧めします。詳細についてはこちらのページもご確認ください。
2016 年 1 月 13 日 (米国時間) 以降、サポートされる IE のバージョン (OS ごと):
Windows プラットフォーム | Internet Explorer バージョン |
Windows Vista SP2 | Internet Explorer 9 |
Windows Server 2008 SP2 | Internet Explorer 9 |
Windows 7 SP1 | Internet Explorer 11 |
Windows Server 2008 R2 SP1 | Internet Explorer 11 |
Windows 8 | Windows 8.1 へアップデートが必要です |
Windows 8.1 Update | Internet Explorer 11 |
Windows Server 2012 | Internet Explorer 10 |
Windows Server 2012 R2 | Internet Explorer 11 |
なお、最新ではない Internet Explorer 向けの "最後の" セキュリティ更新プログラムは、2016 年 1 月 12 日(米国時間)の月例セキュリティ更新プログラムの日にリリースされるセキュリティ更新プログラムとなります (ただし、この日 IE 向けにセキュリティ更新プログラムがある場合に限ります)。なお、1月12日(米国時間)に、最新ではない IE に対してセキュリティ更新プログラムがリリースされた場合、最短 30 日間そのセキュリティ更新プログラムのサポートを継続します (製品のサポート ライフサイクルが終了する日と同時にマイクロソフトがセキュリティ更新プログラムをリリースする場合のサポートポリシーに従っています)。
■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点
セキュリティ情報 MS15-124
CVE-2015-6161 の脆弱性から保護するために、お客様はセキュリティ情報 MS15-124 (IE) で提供される更新プログラムに加え、セキュリティ情報 MS15-135 (カーネル モード ドライバー) の更新プログラムをインストールの上 (自動更新でインストールされます)、新たに追加される特定のレジストリを有効にする手順を実行する必要があります。詳細は MS15-124 の「Microsoft ブラウザー ASLR バイパス – CVE-2015-6161」セクションに記載がありますのでご確認のうえご対応ください。IT 管理者はこの設定をグループ ポリシーで配布するなどをご検討ください。セキュリティ情報 MS15-124 / MS15-126
セキュリティ情報 MS15-124 (IE) およびセキュリティ情報 MS15-126 (JScript および VBScript) で対応している CVE-2015-6135、および CVE-2015-6136 は VBScript エンジンの脆弱性です。攻撃の経路は Internet Explorer によるものですが、これらの脆弱性は、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、および Internet Explorer 11 を実行しているシステムでは、MS15-124 により提供される更新プログラムによって解決され、Internet Explorer 7 以前および Internet Explorer がインストールされていないシステムでは、MS15-126 で提供される更新プログラムによって解決されます。詳細は各セキュリティ更新プログラムの「更新プログラムに関する FAQ」に記載がありますのでそちらもご確認ください。なお、自動更新が有効なお客様は自動でインストールされますので特別な注意は必要ありません。セキュリティ情報 MS15-128
Graphics コンポーネントの脆弱性に対応する複数のセキュリティ更新プログラムが公開されています。インストール順などの適用要件があるものもありますので、詳細はセキュリティ情報 MS15-128の「影響を受けるソフトウェアと脅威の深刻度」の表の注釈および「更新プログラムに関する FAQ」をご確認ください。
■ 新規セキュリティ アドバイザリ (1 件)
セキュリティ アドバイザリ 3123040「不注意で公開されたデジタル証明書により、なりすましが行われる」
秘密キーが不注意で公開された *.xboxlive.com の SSL/TLS デジタル証明書を、すべてのサポートされている Windows において信頼から除外するため証明書信頼リスト (CTL) を更新しました。この証明書は、中間者攻撃の実行に使用される可能性があります。証明書信頼リストの自動更新ツールを使用しているシステムでは自動的に保護されるため、特別な措置を講じる必要はありません。
■ 既存のセキュリティ アドバイザリの更新 (2 件)
セキュリティ アドバイザリ 2755801「Internet Explorer および Microsoft Edge の Adobe Flash Player の脆弱性に対応する更新プログラム」
Adobe セキュリティ速報 APSB15-32で説明されている脆弱性を解決する Internet Explorer 10、Internet Explorer 11 および Microsoft Edge 用の更新プログラム 3119147 を公開しました。この更新プログラムに関する詳細情報は、サポート技術情報 3119147を参照してください。
セキュリティ アドバイザリ 3057154「DES 暗号化の使用を強化するための更新プログラム」
今回の更新は情報のみの更新です。DES 暗号化の使用シナリオ強化に関する説明を追記しています。
■ 2015 年 12 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、影響を受けるソフトウェアの一覧などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms15-dec
マイクロソフトは新たに確認した脆弱性について、次の 12 件の新しいセキュリティ情報を公開しました。
セキュリティ情報 ID | セキュリティ情報タイトル | 最大深刻度 | 脆弱性の影響 | 再起動の必要性 | 影響を受けるソフトウェア |
Internet Explorer 用の累積的なセキュリティ更新プログラム (3116180) | 緊急 | リモートでコードが実行される | 要再起動 | すべてのサポートされているエディションの Windows 上の Internet Explorer | |
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3116184) | 緊急 | リモートでコードが実行される | 要再起動 | Microsoft Windows 10 上の Microsoft Edge | |
リモートでのコード実行に対処する JScript および VBScript 用の累積的なセキュリティ更新プログラム (3116178) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | すべてのサポートされているエディションの Windows Vista、Windows Server 2008、および Windows Server 2008 R2 の Server Core インストール 上の VBScript スクリプト エンジン | |
リモートでのコード実行に対処する Microsoft Windows DNS 用のセキュリティ更新プログラム (3100465) | 緊急 | リモートでコードが実行される | 要再起動 | Microsoft Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 | |
リモートでのコード実行に対処する Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3104503) | 緊急 | リモートでコードが実行される | 要再起動 | すべてのサポートされているエディションの Microsoft Windows、Office 2007、Office 2010、サポートされているエディションの .NET Framework、Skype for Business 2016、Lync 2010、Lync 2013、Live Meeting 2007 Console、Silverlight 5 および Silverlight 5 Developer Runtime | |
リモートでのコード実行に対処する Silverlight 用のセキュリティ更新プログラム (3106614) | 緊急 | リモートでコードが実行される | 再起動不要 | Microsoft Silverlight 5 および Silverlight 5 Developer Runtime | |
リモートでのコード実行に対処する Microsoft Uniscribe 用のセキュリティ更新プログラム (3108670) | 緊急 | リモートでコードが実行される | 要再起動 | Microsoft Windows 7 および Windows Server 2008 R2 | |
リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3116111) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | Microsoft Office 2007、Office 2010、Office 2013、Office 2016、Office 2013 RT、Office for Mac 2011、Office 2016 for Mac、Office 互換機能パック SP3、および Microsoft Excel Viewer | |
リモートでのコード実行に対処する Microsoft Windows 用のセキュリティ更新プログラム (3116162) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | すべてのサポートされているエディションの Microsoft Windows | |
特権の昇格に対処する Windows PGM 用のセキュリティ更新プログラム (3116130) | 重要 | 特権の昇格 | 要再起動 | すべてのサポートされているエディションの Microsoft Windows | |
リモートでのコード実行に対処する Windows Media Center 用のセキュリティ更新プログラム (3108669) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | Windows Vista、Windows 7、Windows 8 および Windows 8.1 上のすべてのサポートされているエディションの Windows Media Center | |
特権の昇格に対処する Windows カーネル モード ドライバー用のセキュリティ更新プログラム (3119075) | 重要 | 特権の昇格 | 要再起動 | すべてのサポートされているエディションの Microsoft Windows |