本日のVERTアラートは新規Microsoftセキュリティ情報について9件を取り上げています。VERTは24時間SLAを満たす様、これらの情報を積極的にお知らせし、8月10日水曜日にASPL-684をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
|
Automated Exploit
|
|||||||
|
Easy
|
|||||||
|
Moderate
|
|||||||
|
Difficult
|
|||||||
|
Extremely Difficult
|
|||||||
|
No Known Exploit
|
MS16-100 MS16-103 |
MS16-095 MS16-096 MS16-097 MS16-099 MS16-102 |
MS16-101 | MS16-098 | |||
|
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
| MS16-095 | >複数のInternet Explorer(IE)用セキュリティ更新プログラム | >KB3177356 |
| MS16-096 | 複数のMicrosoft Edge用セキュリティ更新プログラム | KB3177358 |
| MS16-097 | Microsoft Graphics Components用セキュリティ更新プログラム | KB3177393 |
| MS16-098 | Windows Kernel-Mode Drivers用セキュリティ更新プログラム | KB3178466 |
| MS16-099 | Microsoft Office用セキュリティ更新プログラム | KB3177451 |
| MS16-100 | Secure Boot用セキュリティ更新プログラム | KB3179577 |
| MS16-101 | Security Update for Windows Authentication Methods | KB3178465 |
| MS16-102 | Microsoft Windows PDF Library用セキュリティ更新プログラム | KB3182248 |
| MS16-103 | ActiveSyncProvider用セキュリティ更新プログラム | KB3182332 |
今月もInternet Explorerのアップデートからです。CVEのいくつかはInternet Explorer固有のものですが、大半のCVEはIEとEdgeで共通しています。このアップデートに関しては一つ興味深い事項が記されています。「CVE-2016-3321のみ: 攻撃者は有効なログオン証明書を持たなければならず、それによってこの脆弱性を悪用するためにローカルにログオンすることができる。」このような特定の範囲に限定されたInternet Explorerの問題を目にすることは稀です。
MS16-095に続き、今月2つ目はMicrosoft Edgeのアップデートです。上述の通り、数多くの脆弱性が両アップデートに存在していますが、固有の脆弱性も混在しています。MS16-095に含まれない2つのCVEのうちの1つはMS16-102にも含まれていますが、CVE-2016-3296はこのアップデート固有のものです。このCVEはChakra JavaScriptのスクリプティングエンジンにおける脆弱性を記述しています。
次のアップデートは我々が時折目にする大量のアップデートのうちの1つです。単一の製品または製品群をカバーするのではなく、幅広い製品群に適用します。Microsoft Windows、Office 2007、Office 2010、Skype for Business、Lyncはすべてこのアップデートによりパッチが適用されます。この製品向けのアップデートFAQには興味深いことが記載されています。
影響のあるソフトウェアとしてリストに入っているOffice 2010を使用しています。しかし、なぜ私にはアップデートが提供されていないのでしょうか?
このアップデートは、Windows Vistaおよびそれ以降のバージョンのWindows上のOffice 2010には適用されません。なぜなら、脆弱性を含むコードが存在しないためです。
これは、Microsoft Office 2010がサポートされないオペレーティングシステムにインストールされている場合のみ脆弱性があることを意味しています。
月例パッチの中でも重要なWindows Kernel-Mode Drivers、特にWin32kに関するアップデートです。このアップデートは、4つの特権昇格の脆弱性を解決します。
今月のMicrosoft Officeのアップデートは、サポートされているすべてのバージョンのMicrosoft Word、Office、OneNoteにかかる問題を解決します。このアップデートに関する重要な記述として、CVE-2016-3316はPreview Paneを介して悪用される可能性があるため致命的であると記されています。そのため、このアップデートを優先的に実施することが重要です。
今年100番目のアップデートは、攻撃者に高レベルの保護機能を回避させるだけでなくBitLockerやDevice Encryption 向けのIntegrity Validation を回避させてしまうWindows Secure Boot にある脆弱性を解決します。これにより、攻撃者は整合性チェックを無効化し、テスト署名された実行ファイルやドライバーをロードすることができてしまいます。
Windows認証に関連した2つの脆弱性です。1つはドメインコントローラーとのセキュアでないNetlogon通信を修正するものであり、もう1つはパスワード変更失敗時にKerberos認証がNTLMへ戻ることを防止するものです。
今月最後から2番目のアップデートは、Microsoft PDFライブラリの脆弱性を解決するものです。このCVEはまたMicrosoft Edge累積アップデートでも参照されています。
今月最後のアップデートは、Universal Outlookがターゲットとなるサーバとセキュアな通信を適切に確立することができないことによってユーザ証明書を公開してしまうという、ActiveSyncProviderの脆弱性を解決するためのWindows 10の修正です。
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に(可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。