今月のマイクロソフトパッチリリースブログをお届けします。 今月は、49 件の脆弱性を対象として 12 個のセキュリティ情報がリリースされています。 このうち 26 件が「緊急」レベルです。
-
MS15-112 Internet Explorer 用の累積的なセキュリティ更新プログラム(3104517)
Internet Explorer のメモリ破損の脆弱性(CVE-2015-2427)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6064)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6065)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6066)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6068)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6069)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6070)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6071)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6072)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6073)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6074)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6075)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6076)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6077)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6078)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6079)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6080)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6081)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6082)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6084)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6085)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6086)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2015-6087)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザ ASLR バイパスの脆弱性(CVE-2015-6088)MS の深刻度: 重要
Microsoft Edge が Address Space Layout Randomization(ASLR)セキュリティ機能を使えない場合にセキュリティ機能バイパスが存在します。そのため、攻撃者が、特定のコールスタック内の特定の命令のメモリオフセットを、かなりの確率で予想できるようになります。 攻撃者がこの脆弱性の悪用に成功すると、広い範囲の脆弱性からユーザーを保護する ASLR (Address Space Layout Randomization) セキュリティ機能をバイパスできる可能性があります。
VBScript および JScript エンジンのメモリ破損の脆弱性(CVE-2015-6089)MS の深刻度: 緊急
Internet Explorer でレンダリングされるとき VBScript と JScript のエンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。 Web ベースの攻撃を仕掛けると、攻撃者は Internet Explorer を介して、この脆弱性の悪用を目的として特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。 攻撃者は、IE のレンダリングエンジンをホストしているアプリケーションまたは Microsoft Office 文書に、「安全な初期化」とマークされた ActiveX コントロールを埋め込むこともできます。 また、攻撃者は侵入した Web サイトや、ユーザーが指定したコンテンツまたは広告を受け入れる、またはそれをホストしている Web サイトを悪用することも考えられます。 このような Web サイトには、脆弱性を悪用できる特別に細工したコンテンツを含められる可能性があります。
-
MS15-113 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3104519)
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6064)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6073)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザのメモリ破損の脆弱性(CVE-2015-6078)MS の深刻度: 緊急
Microsoft Edge がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Microsoft ブラウザ ASLR バイパスの脆弱性(CVE-2015-6088)MS の深刻度: 重要
Microsoft Edge が Address Space Layout Randomization(ASLR)セキュリティ機能を使えない場合にセキュリティ機能バイパスが存在します。そのため、攻撃者が、特定のコールスタック内の特定の命令のメモリオフセットを、かなりの確率で予想できるようになります。 攻撃者がこの脆弱性の悪用に成功すると、広い範囲の脆弱性からユーザーを保護する ASLR (Address Space Layout Randomization) セキュリティ機能をバイパスできる可能性があります。
-
MS15-114 リモートでのコード実行に対処する Windows Journal 用のセキュリティ更新プログラム(3100213)
Windows Journal のヒープオーバーフローの脆弱性(CVE-2015-6097)MS の深刻度: 緊急
Microsoft Windows には、特別に細工した Journal ファイルを Windows Journal で開く場合に、リモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
-
MS15-115 リモートでのコード実行に対処する Microsoft Windows 用のセキュリティ更新プログラム(3105864)
Windows カーネルメモリの特権昇格の脆弱性(CVE-2015-6100)MS の深刻度: 重要
Windows カーネルがメモリ内のオブジェクトを処理する方法に、特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。 攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Windows カーネルメモリの特権昇格の脆弱性(CVE-2015-6101)MS の深刻度: 重要
Windows カーネルがメモリ内のオブジェクトを処理する方法に、特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。 攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Windows カーネルメモリの情報漏えいの脆弱性(CVE-2015-6102)MS の深刻度: 重要
Windows がメモリアドレスの適切な初期化に失敗する場合に、情報漏えいの脆弱性が存在します。この脆弱性により、攻撃者は、KASLR(Kernel Address Space Layout Randomization)のバイパスに至る可能性がある情報を取得する可能性があります。 攻撃者がこの脆弱性の悪用に成功すると、侵害されたプロセスからカーネルドライバのベースアドレスを取得できる可能性があります。
Windows グラフィックスメモリのリモートでコードが実行される脆弱性(CVE-2015-6103)MS の深刻度: 緊急
Windows における Adobe Type Manager Library が、特別に細工された OpenType フォントを適切に処理しない場合に、リモートコード実行の脆弱性が存在します。
Windows グラフィックスメモリのリモートでコードが実行される脆弱性(CVE-2015-6104)MS の深刻度: 緊急
Windows における Adobe Type Manager Library が、特別に細工された OpenType フォントを適切に処理しない場合に、リモートコード実行の脆弱性が存在します。
Windows カーネルメモリの情報漏えいの脆弱性(CVE-2015-6109)MS の深刻度: 重要
Windows がメモリアドレスの適切な初期化に失敗する場合に、情報漏えいの脆弱性が存在します。この脆弱性により、攻撃者は、KASLR(Kernel Address Space Layout Randomization)のバイパスに至る可能性がある情報を取得する可能性があります。
Windows カーネルのセキュリティ機能のバイパスの脆弱性(CVE-2015-6113)MS の深刻度: 重要
Windows カーネルが権限の適切な検証に失敗する場合に、セキュリティ機能のバイパスの脆弱性が存在するため、攻撃者は整合性レベルが低いユーザーモードアプリケーションからファイルシステムを不適切に操作する可能性があります。
-
MS15-116 リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム(3104540)
Microsoft Office の特権昇格の脆弱性(CVE-2015-2503)MS の深刻度: 重要
影響を受ける Office アプリケーションを攻撃者が COM コントロールを介してインスタンス化するときに、Microsoft Office ソフトウェアに特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特権を昇格して Internet Explorer のサンドボックスから抜け出せる可能性があります。
Microsoft Office のメモリ破損の脆弱性(CVE-2015-6038)MS の深刻度: 重要
Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。
Microsoft Office のメモリ破損の脆弱性(CVE-2015-6091)MS の深刻度: 重要
Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。
Microsoft Office のメモリ破損の脆弱性(CVE-2015-6092)MS の深刻度: 重要
Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。
Microsoft Office のメモリ破損の脆弱性(CVE-2015-6093)MS の深刻度: 重要
Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。
Microsoft Office のメモリ破損の脆弱性(CVE-2015-6094)MS の深刻度: 重要
Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。
Microsoft Outlook for Mac のなりすましの脆弱性(CVE-2015-6123)MS の深刻度: 重要
Microsoft Outlook for Mac が HTML をサニタイズしない場合、あるいは安全な方法で処理しない場合に、なりすましの脆弱性が存在し、情報漏えいを引き起こす可能性があります。 攻撃者がこの脆弱性の悪用に成功すると、ユーザーをリダイレクトして悪質な Web サイトへ誘導する可能性があります。
-
MS15-117 特権の昇格に対処する NDIS 用のセキュリティ更新プログラム(3101722)
Windows NDIS の特権の昇格の脆弱性(CVE-2015-6098)MS の深刻度: 重要
NDIS がメモリをバッファにコピーする前にバッファの長さをチェックできない場合に、特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、標的となるシステムで特権を昇格できる場合があります。
-
MS15-118 特権の昇格に対処する .NET Framework 用のセキュリティ更新プログラム(3104507)
.NET の情報漏えいの脆弱性(CVE-2015-6096)MS の深刻度: 重要
.NET Framework DTD が特別に細工された XML ファイルを解析する方法に、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、標的となったコンピュータ上のローカルファイルに対して読み取りアクセス許可を取得する可能性があります。
.NET の特権昇格の脆弱性(CVE-2015-6099)MS の深刻度: 重要
.NET Framework が HTTP 要求の値を検証する方法に、クロスサイトスクリプティング (XSS) の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、ユーザーのブラウザにクライアント側のスクリプトをインジェクトできる可能性があります。
Microsoft .NET ASLR バイパスの脆弱性(CVE-2015-6115)MS の深刻度: 重要
ASLR(Address Space Layout Randomization)セキュリティ機能を適切に実装しない .NET Framework コンポーネントに、セキュリティ機能バイパスの脆弱性が存在します。
-
MS15-119 特権の昇格に対処する Winsock 用のセキュリティ更新プログラム(3104521)
Winsock の特権昇格の脆弱性(CVE-2015-2478)MS の深刻度: 重要
Winsock がアドレスの有効性を検証せずにメモリアドレスを呼び出す場合に、Microsoft Windows に特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特権レベルで許可されるより高い権限でコードを実行できる可能性があります。
-
MS15-120 サービス拒否に対処する IPSec 用のセキュリティ更新プログラム(3102939)
Windows IPSec サービス拒否の脆弱性(CVE-2015-6111)MS の深刻度: 重要
IPSec(Internet Protocol Security)サービスが暗号化ネゴシエーションを適切に処理しない場合、Windows にサービス拒否の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、システムが応答不能になる可能性があります。
-
MS15-121 なりすましに対処する Schannel 用のセキュリティ更新プログラム(3081320)
Schannel TLS のトリプルハンドシェイクの脆弱性(CVE-2015-6112)MS の深刻度: 重要
サポートされているすべてのバージョンの TLS プロトコルに存在する弱点が原因で、Microsoft Windows になりすましの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、攻撃が開始されるサーバーとクライアントとの間で使用されたのと同じ資格情報を使用している他のサーバー上で、攻撃対象のユーザーになりすます可能性があります。
-
MS15-122 セキュリティ機能のバイパスに対処する Kerberos 用のセキュリティ更新プログラム(3105256)
Windows Kerberos のセキュリティ機能バイパスの脆弱性(CVE-2015-6095)MS の深刻度: 重要
ワークステーションにサインインするユーザーのパスワード変更を Kerberos が確認しない場合に、Windows にセキュリティ機能のバイパスが存在します。 攻撃者がこのバイパスの悪用に成功すると、それを利用してワークステーションのロックを解除し、BitLocker によって保護されているドライブを解読できる可能性があります。
-
MS15-123 情報漏えいに対処する Skype for Business および Microsoft Lync 用のセキュリティ更新プログラム(3105872)
サーバー入力検証の情報漏えいの脆弱性(CVE-2015-6061)MS の深刻度: 重要
Skype for Business および Lync Server が特別に細工されたコンテンツを適切にサニタイズしない場合に、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、Skype for Business または Lync のコンテキストで、HTML と JavaScript のコンテンツを実行する可能性があります。