JPCERT コーディネーションセンター

2016年 10月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起

各位

JPCERT-AT-2016-0039
JPCERT/CC
2016-10-12(新規)
2016-10-28(更新)

JPCERT/CC Alert 2016-10-12


2016年 10月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起

https://www.jpcert.or.jp/at/2016/at160039.html


I. 概要

マイクロソフト社から 2016年10月のセキュリティ情報が公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが 5件含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される恐れがあります。

** 更新: 2016年10月13日追記 ****************
2016年10月13日、マイクロソフト社は、2016年10月のセキュリティ情報を更新しました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが1件追加され、合計 6件含まれています。
**************************************************

** 更新: 2016年10月28日追記 ****************
2016年10月28日、マイクロソフト社は、2016年10月のセキュリティ情報を更新しました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが1件追加され、合計 7件含まれています。
**************************************************

脆弱性の詳細は、以下の URL を参照してください。

2016 年 10 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-Oct

[緊急のセキュリティ更新プログラム]

MS16-118
Internet Explorer 用の累積的なセキュリティ更新プログラム (3192887)
https://technet.microsoft.com/library/security/MS16-118

MS16-119
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3192890)
https://technet.microsoft.com/library/security/MS16-119

MS16-120
Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3192884)
https://technet.microsoft.com/library/security/MS16-120

** 更新: 2016年10月13日追記 ****************
MS16-121
Microsoft Office 用のセキュリティ更新プログラム (3194063)
https://technet.microsoft.com/library/security/MS16-121
**************************************************

MS16-122
Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3195360)
https://technet.microsoft.com/library/security/MS16-122

MS16-127
Adobe Flash Player 用のセキュリティ更新プログラム (3194343)
https://technet.microsoft.com/library/security/MS16-127

** 更新: 2016年10月28日追記 ****************
MS16-128
Adobe Flash Player のセキュリティ更新プログラム (3201860)
https://technet.microsoft.com/library/security/MS16-128
**************************************************

なお、マイクロソフト社によれば、MS16-118 (緊急)、MS16-119 (緊急)、MS16-120 (緊急)、MS16-121 (重要)、MS16-126 (警告) の適用により修正される脆弱性の悪用を確認しているとのことです。

** 更新: 2016年10月13日追記 ****************
2016年10月13日、マイクロソフト社は、MS16-119 (緊急) の適用により修正される脆弱性 (CVE-2016-7189) の悪用を確認していないという記載に更新しました。この情報により、脆弱性の悪用が確認されているのは、MS16-118 (緊急)、MS16-120 (緊急)、MS16-121 (緊急)、MS16-126 (警告) の適用により修正される脆弱性となります。
**************************************************

** 更新: 2016年10月28日追記 ****************
2016年10月28日、マイクロソフト社は、MS16-128 (緊急) を公開しました。Adobe Systems 社によれば、今回のアップデートにて修正される脆弱性(CVE-2016-7855) を悪用する、限定的な標的型攻撃を Windows versions 7、8.1 および 10 の環境にて確認しているとのことです。
**************************************************

セキュリティ更新プログラムの早期の適用をご検討ください。

また、マイクロソフト社より、Windows 7 SP1、Windows 8.1、WindowsServer 2008 R2、Windows Server 2012、および Windows Server 2012 R2 の更新プログラムについてサービスモデルの変更が発表されています。
本変更は、今月の更新プログラムから適用され、以下の 3つの配信パッケージが用意されるとのことです。

1) セキュリティのみの品質更新プログラム
その月のすべての新規のセキュリティ修正プログラムをまとめた更新プログラムです。セキュリティ更新プログラムの分類で、毎月第 2 火曜日 (米国時間) に公開され、Windows Server Update Services (WSUS)、および WindowsUpdate カタログ *1 に対してのみ配信されます。

2) セキュリティの月例の品質ロールアップ (月例のロールアップ)
1) および前月までのすべての月例のロールアップに含まれる修正をまとめた更新プログラムです。セキュリティ更新プログラムの分類で、毎月第 2 火曜日 (米国時間) に公開され、Windows Update、WSUS、および Windows Updateカタログに配信されます。

3) 月例の品質ロールアップ プレビュー
2) および 翌月の月例のロールアップに含まれている新規の非セキュリティ修正プログラムのプレビューです。更新プログラムの分類でオプションの更新プログラムとして、毎月第 3 火曜日 (米国時間) に公開され、Windows Update、WSUS、および Windows Update カタログに配信されます。

*1) 現在サポートされているすべてのオペレーティング システムの更新プログラムをダウンロード可能なマイクロソフト社の Web サイト

詳細につきましては、マイクロソフト社の情報をご確認ください。

Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報
https://blogs.technet.microsoft.com/jpsecurity/2016/10/11/more-on-windows-7-and-windows-8-1-servicing-changes/

2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点
https://blogs.technet.microsoft.com/jpwsus/2016/10/10/wsus_rollup_start/


II. 対策

Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update
http://www.update.microsoft.com/

Windows Update
http://windowsupdate.microsoft.com/

Microsoft Update Catalog
http://catalog.update.microsoft.com/


III. 参考情報

マイクロソフト社
2016 年 10 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-Oct

マイクロソフト社
2016 年 10 月のセキュリティ情報 (月例) MS16-118 - MS16-127
https://blogs.technet.microsoft.com/jpsecurity/2016/10/12/201610-security-bulletin/

マイクロソフト社
Windows Update カタログからドライバーや修正プログラムを含む更新プログラムをダウンロードする方法
https://support.microsoft.com/ja-jp/kb/323166

** 更新: 2016年10月28日追記 ****************
Adobe Systems
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb16-36.html
**************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2016-10-12 初版
2016-10-13 「I. 概要」の修正
2016-10-28 「I. 概要」および「III. 参考情報」の修正

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter