マイクロソフト、12月のセキュリティ更新 - 先月の更新や「緊急」3件が公開

攻撃者が特別に細工したWebページにユーザーがアクセスすると、リモートでコードが実行され、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性がある。

もし管理者ユーザー権限でログオンしている場合には、影響を受けるコンピューターが完全に制御され、プログラムのインストールやデータの表示と変更、削除ができるほか、完全なユーザー権限を持つ新たなアカウントを作成する可能性がある。

対象となるソフトウェアは、Windows Server 2003 / 2008 / 2008 R2とWindows Vista / 7上のVBScript 5.6 / 5.7 / 5.8。Windows Server上の影響を受けるバージョンのVBScriptスクリプトエンジンについては、深刻度が「警告」となっている。

その他

先月の月例更新で公開が見送られた「MS14-075」は、Exchange Serverの脆弱性によって特権が昇格されるというもの。また、MS14-085は、Microsoft Graphicsコンポーネントの脆弱性によって情報漏えいが起こるという。こちらは深刻度「重要」だが、脆弱性情報が一般に公開されている。