本日のVERTアラートでは 13件の新しいマイクロソフトセキュリティ情報に対処しています。
VERTは24時間以内に対応するため、こうした速報に積極的に取り組んでおり、4月13日(水)にASPL-666のリリースを予定しています。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
MS16-050 | MS16-039 | |||||
Moderate
|
|||||||
Difficult
|
|||||||
Extremely Difficult
|
MS16-037 | MS16-046 | |||||
No Known Exploit
|
MS16-048 | MS16-038 MS16-040 MS16-042 MS16-044 MS16-045 MS16-047 |
MS16-049 | MS16-041 | |||
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
MS16-037 | 複数のInternet Explorer (IE)用セキュリティ更新プログラム | KB3148541 |
MS16-038 | 複数のMicrosoft Edge用セキュリティ更新プログラム | KB3148531 |
MS16-039 | Microsoft Graphics Component用のセキュリティ更新プログラム | KB3148522 |
MS16-040 | Microsoft XML Core Service用のセキュリティ更新プログラム | KB3148541 |
MS16-041 | .NET Framework用のセキュリティ更新プログラム | KB3148789 |
MS16-042 | Microsoft Office用のセキュリティ更新プログラム | KB3148775 |
MS16-044 | Windows OLE用のセキュリティ更新プログラム | KB3146706 |
MS16-045 | Windows Hyper-V用のセキュリティ更新プログラム | KB3143118 |
MS16-046 | Secondary Logon用のセキュリティ更新プログラム | KB3148538 |
MS16-047 | SAMとLSADリモートプロトコル用のセキュリティ更新プログラム | KB3148527 |
MS16-048 | CSRSS用のセキュリティ更新プログラム | KB3148528 |
MS16-049 | HTTP.sys用のセキュリティ更新プログラム | KB3148795 |
MS16-050 | Adobe Flash Player用のセキュリティ更新プログラム | KB3151231 |
MS16-037
2016年4月の最初のパッチはInternet Explorer向けのアップデートで、典型的なIEの脆弱性がいくつか解決されています。この一覧にはCVE-2016-0160が含まれていて、IEがDLLファイルを読み込む際の入力チェック問題が公表されています。
MS16-038
今月の2番目の速報は、Microsoft Edgeに関するいくつかの脆弱性の修正です。先月は月次速報がIEとEdgeで重なる点がかなり多くみられましたが、今月は共通のCVEは1つだけです。その他のCVEは個々の速報に特有のものです。
MS16-039
今月の最も重要な速報は、Windows、.NET Framework、Skype for Business、Lync、Officeを対象とするため、大規模なものと見なされています。この速報のポイントは、出来る限り速やかにパッチを適用した方が良いという点です。2つ脆弱性が既に盛んに悪用されているからです。関係する製品数を考えると、この速報に基づいて確実に全てのアップデートを適切に適用することが重要です。このような速報の場合、1つのアップデートで全ての問題を解決出来るものではなく、システムにインストールされたアプリケーションを踏まえて複数のアップデートを適用する必要があるかも知れません。
MS16-040
この速報はMS16-037とMS16-038に類似したWebベースの攻撃ベクトルについて記載しています。この場合、攻撃者はMSXMLパーサーを呼び出す悪意のあるコードを埋め込み、ユーザーがその悪意のあるウェブサイトを閲覧する必要があります。特定のバージョンのMSXMLを搭載しないバージョンのWindowsであってもそのMSXMLがインストールされている可能性があることを忘れてはいけません。
MS16-041
.NET Framework において唯一公表されているコード実行の脆弱性はMS16-041で解決されています。影響のあるソフトウェアの一覧は一見かなり少なそうに見えますが、旧バージョンの.NET Frameworkに対するサポートを1月に遡って終了するというMicrosoftによる注意書きがあります。
MS16-042
今月の次の速報は、複数の製品に及ぶいくつかのMicrosoft Officeの脆弱性を解決するものです。OfficeとWordに加えて全てのサポート対象バージョンのExcel用のアップデートが提供されています。SharePointとOffice Web Appsも影響を受ける一覧に含まれています。1つ重要な注意点は、Word ViewerとExcel Viewerが含まれていることです。この2つの製品に対するアップデートは企業のパッチ戦略で見落とされがちですが、複数のシステムにインストールされていることも多々あります。
MS16-044
MS16-044は、先月もアップデートされたMicrosoft OLEに影響する2つの脆弱性を解決するものです。
MS16-045
次のMS16-045は、Windows Hyper-VのゲストOSエスケープ(脱出)を解決するものです。攻撃者はゲストOSの認証情報を要求し、その後Hyper-VのホストOSでコードを実行する可能性があります。一般的にこの脆弱性によって複数のユーザーが同一ホストのゲストOSにアクセスする共有ホスティング環境でのリスクが増大します。
MS16-046
MS16-046はWindows 10固有の脆弱性(今月の2つうちの最初の方)で、 セカンダリーログオン(別名RunAs)サービスに影響するものです。この脆弱性によってログインユーザーの特権昇格を許してしまいます。
MS16-047
次は、3週間前の事前開示の発表で多くの人が待ち望んでいた今月のバグ、Badlockです。この脆弱性はMicrosoftの深刻度評価は「重要」ですがソーシャルメディアで相当議論を巻き起こしました。この脆弱性はセキュリティ・アカウント・マネージャ (SAM)とローカルセキュリティ認証(ドメインポリシー)(LSAD)プロトコルに対する中間者攻撃に関するものです。攻撃者はクライアントとサーバー間の通信にアクセスし、認証レベルをダウングレードさせたり、ユーザーになりすます可能性があります。
MS16-048
今月の次の脆弱性は、メモリ内のプロセストークンの不適切な管理に起因するクライアント/サーバー・ランタイム・サブシステム (CSRSS)のセキュリティ機能を回避するものです。この脆弱性によりログインユーザーは管理者としてコードを実行出来る可能性があります。
MS16-049
今月の最後から2番目のアップデートは、Windows 10専用の速報の2番目のもので、HTTP.sysに影響します。もっと厳密に言うと、Windows 10のHTTP 2.0実装に影響します。サービスサーバーに悪意のあるコードが送信されるとHTTP2.0のHTTP.sys実装がサービス拒否を引き起こし、結果的にシステムが反応しなくなります。これがMicrosoft製品に影響するHTTP2.0プロトコルの脆弱性で最初に報告されたものと思われます。
MS16-050
今月の最後のアップデートはMicrosoft製品に組み込まれたFlash用のFlash Playerアップデートを参照しています。この速報で参照されているCVEは以下のAPSB16-10で参照されているCVEと同一です。
追加情報
AdobeはFlash Playerの複数の脆弱性を解決するためにAPSB16-10をリリースしました。
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に(可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。