Microsoft、定例外のセキュリティ更新プログラムを公開

　米Microsoftは11月18日、定例外のセキュリティ更新プログラムを公開し、Windows Kerberos KDCに存在する深刻な脆弱性に対処した。この脆弱性を悪用しようとする限定的な標的型攻撃が確認されているとして、できるだけ早く更新プログラムを適用するよう呼び掛けている。

　Kerberos KDCの脆弱性を修正する更新プログラム（MS14-068）は、Microsoftが11日に公開した月例セキュリティ情報で直前になって公開を見送った2件のうちの1件。

　脆弱性を悪用された場合、ドメインユーザーアカウントの権限を昇格され、管理者権限を取得される恐れがある。攻撃者はこのドメイン内で管理者になりすまし、プログラムのインストール、データの閲覧・改ざん・削除、新規アカウントの作成などができる状態になる。

　最大深刻度はサポート対象のWindows Server 2003／2008／2008 R2／2012／2012 R2の全バージョンについて「緊急」と分類している。また、クライアント版のWindowsについても多層防御ベースの更新プログラムを配信する。

　一方、11月に予定していたもう1件の更新プログラム（MS14-075）については、MicrosoftのExchangeチームのブログで、Exchangeの四半期ごとのアップデートを12月に延期すると説明している。Exchange Server 2013のインストーラパッケージに問題が見つかったという。