2016 年 1 月のセキュリティ情報 (月例) – MS16-001 ~ MS16-010


2016 年 1 月 13 日 (日本時間)、マイクロソフトは計 9 件 (緊急 6 件、重要 3 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 3 件を公開しました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありませんが、既存のファミリに対する定義ファイルが追加されています。
なお、セキュリティ情報番号 MS16-009 は、今後公開されるセキュリティ情報で使用されます。

1 月 13 日 (日本時間) をもって Windows 8 のサポートが終了となります。Windows 8 を使用しているユーザーが引き続きサポートを受けるためには Windows 8.1 へアップグレードする必要があります。詳細についてはマイクロソフト サポート ライフサイクルWindows 8.1 のよく寄せられる質問 (FAQ) をご参照ください。

1 月 13 日 (日本時間) を過ぎると、サポートされるオペレーティング システム向けの最新バージョンの Internet Explorer だけが技術サポートとセキュリティ更新プログラムを受けられることになります。詳細については Internet Explorer サポート ポリシー変更の重要なお知らせをご参照ください。Windows 7 および Windows Server 2008 R2 上の Internet Explorer 8、9、10 に、新機能「End of Life」アップグレード通知が追加されました。詳細については、サポート技術情報 3123303に記載されています。

SHA-1 のコード署名証明書は、本日リリースされたセキュリティ アドバイザリ 3123479 により、Mark of the Web ファイルについて、2016 年 1 月 1 日より前に発行されたタイムスタンプ付きの SHA-1 証明書、もしくは SHA-2 (すべてのタイムスタンプ) の証明書のみが利用可能になります。詳細については セキュリティ アドバイザリ 3123479 および FAQ: SHA-1 廃止/SHA-2 移行に関するマイクロソフトのポリシーをご参照ください。

■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点

  • セキュリティ情報 MS16-007
    Windows 7 および Windows Server 2008 R2 システム上でこの脆弱性から保護するには、この更新プログラムをインストールする以外に、Internet Explorer 10 または Internet Explorer 11 用の累積的な更新プログラム 3124275 もインストールする必要があります。ダウンロード リンクについては、MS16-001 を参照してください。

■ 新規のセキュリティ アドバイザリの公開 (3 件)

  • セキュリティ アドバイザリ 3109853「TLS セッション再開の相互運用性を改善する更新プログラム」
    RFC5077 ベースの再開を有効にし、省略された TLS ハンドシェイクで NewSessionTicket メッセージを送信するサードパーティの TLS サーバーと Schannel ベースの TLS クライアントの間の相互運用性を向上させる更新プログラムが利用可能になりました。この更新プログラムは、RFC5077 セッション チケット ベースの再開を失敗させ、その後に WinInet ベースのクライアント (Internet Explorer、Microsoft Edge など) に通常ネゴシエーションされるバージョンではなく下位の TLS プロトコル バージョンへのフォールバックを実行させる原因となる可能性がある schannel.dll の問題を解決します。この機能強化は、Windows での暗号化の有効性を改善するための継続的な取り組みの一環です。

  • セキュリティ アドバイザリ 3123479「マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止」
    2016 年 1 月 1 日から有効になる SHA-1 コード署名廃止のための変更をリリースしました。これはお客様がインターネットからファイルをダウンロードしたときにのみ発生するクライアントの動作に焦点を当てています。この変更は、Windows の新しい既定の設定に関するものであり、お客様はお客様環境の既定の設定を上書きまたは強化することができます。

  • セキュリティ アドバイザリ 3118753「ActiveX の Kill Bit 更新プログラム」
    IBM Endpoint Manager for Remote Control (バージョン 9.0.1 以降) および IBM Assist On-site (バージョン 4.0.0) 用の ActiveX の Kill Bit の新しいセットを公開しました。これらの ActiveX の Kill Bit は、2016 年 1 月 13 日にリリースされる Internet Explorer の累積的な更新プログラムに含まれています。

■ 2016 年 1 月のセキュリティ情報一覧

各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、影響を受けるソフトウェアの一覧などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms16-Jan

 マイクロソフトは新たに確認した脆弱性について、次の 9 件の新しいセキュリティ情報を公開しました。 

セキュリティ情報 ID

セキュリティ情報タイトル

最大深刻度

脆弱性の影響

再起動の必要性

影響を受けるソフトウェア

MS16-001

Internet Explorer 用の累積的なセキュリティ更新プログラム (3124903)

緊急

リモートでコードが実行される

要再起動

すべてのサポートされているエディションの Windows 上の Internet Explorer

MS16-002

MS16-002 Microsoft Edge 用の累積的なセキュリティ更新プログラム (3124904)

緊急

リモートでコードが実行される

要再起動

Microsoft Windows 10 上の Microsoft Edge

MS16-003

リモートでのコード実行に対処する JScript および VBScript 用の累積的なセキュリティ更新プログラム (3125540)

緊急

リモートでコードが実行される

再起動が必要な場合あり

すべてのサポートされているエディションの Windows Vista、Windows Server 2008、および Windows Server 2008 R2 の Server Core インストール上の VBScript スクリプト エンジン

MS16-004

リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3124585)

緊急

リモートでコードが実行される

再起動が必要な場合あり

すべてのサポートされているエディションの Microsoft Office 2007、Office 2010、Office 2013、Office 2013 RT、Office 2016、Office for Mac 2011、Office 2016 for Mac、Office 互換機能パック SP3、Excel Viewer、Word Viewer、SharePoint Server 2013、SharePoint Foundation 2013 および Visual Basic ランタイム 6.0

MS16-005

リモートでのコード実行に対処する Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3124584)

緊急

リモートでコードが実行される

要再起動

すべてのサポートされているエディションの Microsoft Windows

MS16-006

リモートでのコード実行に対処する Silverlight 用のセキュリティ更新プログラム (3126036)

緊急

リモートでコードが実行される

再起動不要

Microsoft Silverlight 5 および Silverlight 5 Developer Runtime

MS16-007

リモートでのコード実行に対処する Microsoft Windows 用のセキュリティ更新プログラム (3124901)

重要

リモートでコードが実行される

要再起動

すべてのサポートされているエディションの Microsoft Windows

MS16-008

特権の昇格に対処する Windows カーネル用のセキュリティ更新プログラム (3124605)

重要

特権の昇格

要再起動

すべてのサポートされているエディションの Microsoft Windows

MS16-010

なりすましに対処する Microsoft Exchange Server 用のセキュリティ更新プログラム (3124557)

重要

なりすまし

再起動が必要な場合あり

すべてのサポートされているエディションの Microsoft Exchange Server 2013 および Microsoft Exchange Server 2016