本日のVERTアラートではMicrosoftの2018年1月度のセキュリティアップデートを取り上げます。VERTは今回のアップデートの脆弱性を積極的に調査しており、ASPL-760を1月10日水曜日にリリースする予定です。
出回っている & 公開されているCVE
CVE-2018-0802
Microsoft Office Equation Editorの障害が原因で、悪意のあるファイルによりコードが実行され、メモリ内のオブジェクトを正確に処理される恐れがあります。攻略が成されると、Microsoft Officeを実行しているアカウントに完全に侵入される可能性があります。この脆弱性は数式エディタの機能を取り除くことで解決されました。Microsoftは、この脆弱性が積極的に活用されていたと報告しています。
Microsoftはこの脆弱性について、悪用可能性指標の3 (悪用される可能性は非常に低い) と評価しています。
CVE-2018-0819
Mac用のMicrosoft Outlookが特別に製作されたメールの構文を不適切に解釈することで、表示されているメールアドレスのなりすましが発生する恐れがあります。この脆弱性により、アンチウイルスソフトウェアやアンチスパムソフトウェアの一部が影響を受ける可能性があります。
Microsoftはこの脆弱性について、悪用可能性指標の2 (悪用される可能性は低い) と評価しています。
その他の情報
1月のセキュリティガイダンスに含まれたMicrosoftの脆弱性情報に加えて、複数のセキュリティ勧告も公開されています。JANUARY 2018 ADOBE FLASH SECURITY UPDATE [ADV180001]
MicrosoftはAdobe Flashのアップデートを公開しました。このアップデートはAdobe Update APSB18-01に対応するものであり、CVE-2018-4871への修正が含まれます。
MICROSOFT OFFICE DEFENSE IN DEPTH UPDATE [ADV180003]
MicrosoftはMicrosoft Officeの多層防御アップデートを公開しました。現時点で、このアップデート手段に関する詳細は公開されていません。