本日のVERTアラートでは、12件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、12月14日水曜日にASPL-703をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
|||||||
Moderate
|
|||||||
Difficult
|
|||||||
Extremely Difficult
|
MS16-144 MS16-145 | ||||||
No Known Exploit
|
MS16-152 MS16-153 MS16-155 | MS16-146 MS16-147 MS16-148 MS16-149 MS16-154 | MS16-150 MS16-151 | ||||
Exposure
|
Local Availability
|
Local Access
|
Remote Availability
|
Remote Access
|
Local Privileged
|
Remote Privileged
|
MS16-144 | Internet Explorer用累積セキュリティ更新プログラム | KB3204059 |
MS16-145 | Microsoft Edge用累積セキュリティ更新プログラム | KB3204062 |
MS16-146 | Microsoft Graphics Component用セキュリティ更新プログラム | KB3204066 |
MS16-147 | Microsoft Uniscribe用セキュリティ更新プログラム | KB3204063 |
MS16-148 | Microsoft Office用セキュリティ更新プログラム | KB3204068 |
MS16-149 | Microsoft Windows用セキュリティ更新プログラム | KB3205655 |
MS16-150 | Secure Kernel Mode用セキュリティ更新プログラム | KB3205642 |
MS16-151 | Windows Kernel-Mode Drivers用セキュリティ更新プログラム | KB3205651 |
MS16-152 | Windows Kernel用セキュリティ更新プログラム | KB3199709 |
MS16-153 | Common Log File System Driver用セキュリティ更新プログラム | KB3207328 |
MS16-154 | Adobe Flash Player用セキュリティ更新プログラム | KB3209498 |
MS16-155 | .NET Framework用セキュリティ更新プログラム | KB3205640 |
MS16-144
2016年の最後のパッチ分析は、決して終わることのないInternet Explorer用セキュリティ更新プログラムで始まります。 本日の更新プログラムには、2つの興味深い点があります。
1点目としては、2つ以上のパッチがあることです。これはIEの更新プログラムにおいては珍しいことで、Windows Vista / Server 2008のモデルチェンジへの対応が欠けていた所為です。 2つ目の更新プログラムは、Microsoft Windows Hyperlink Object Library用です。2点目としては、公式に非公開となったCVE-2016-7281が、この更新に組み込まれていることです。これは、JavaScript scriptsのバックグラウンドにあるWeb Workersの中でスクリプトが実行された場合に存在するSame Origin Bypassの課題を解決するものです。
- CVE-2016-7282 は公式に非公開となりました。
- CVE-2016-7281 は公式に非公開となりました。
- CVE-2016-7202 は公式に非公開となりました。
MS16-145
MS16-144 の対になるのがMS16-145で、Microsoft Edge 用月例セキュリティ更新プログラムです。いつもそうであるように、MS16-144およびMS16-145の間には複数の重複するCVEがありますが 、製品特有の名称より、「Microsoft Browser 」というフレーズを探すことで、簡単に識別できます。
- CVE-2016-7206 は公式に非公開となりました。
- CVE-2016-7282 は公式に非公開となりました。
- CVE-2016-7281 は公式に非公開となりました。
MS16-146
次に、Windows Graphic componentおよびGDIの情報公開についての脆弱性対策コード2つがあります。この脆弱性の改善に加えて、本更新プログラムは、セキュリティ情報に全文が収録されていない、何重にもなる変更を提供します。
MS16-147
今月の4番目のセキュリティ情報は、単一のMicrosoft Uniscribe の脆弱性を解決するものです。Microsoft Uniscribeは、 優れた活字体ならびに双方向text renderingおよびcontextual character shapingのような複雑なスクリプト・オペレーションをインプリメンテーションするためのAPIのセットです。
MS16-148
月例のMicrosoft office更新プログラムには、デスクトップ用Offices製品とOfficeのウエブアプリを含めています。
本更新プログラムには、アップデートの過程でよく見過ごされる製品であるWord Viewerが含まれていることに留意ください。
MS16-146に含まれるGDI ASLR bypass (CVE-2016-7257)は、MS16-148にも含まれています。
MS16-149
1組のWindows自体の脆弱性対策プログラムです。Crypto Driverの情報漏洩脆弱性およびWindows Installerの特権昇格脆弱性に関するものです。
MS16-150
MS16-150は、Windows Secure Kernel ModeにおけるWindows 10およびServer 2016にのみ影響する脆弱性を解決するためのものです。本セキュリティ情報の所与のオペレーティング・システムは限定されており、Server2016についてのMicrosoftの情報がより明白になりました。
Microsoftは、Server 2016 Technical Preview 5に更新用プログラムは利用可能であるけれども、ユーザーはServer 2016のリリースバージョンにアップグレードするべきと示しています。
MS16-151
Windows Kernel-Mode Drivers用更新プログラムがあることは、当たり前のことだと思うようになりました。
今回の情報は、以前の情報に比べて、少しの脆弱性しか含んでいませんが、興味深いものです。KMDに関する以前のいくらかの情報は、それぞれ6つ以上の脆弱性を解決しましたが、今回は2つの改善しか含んでいません。
MS16-152
MS16-152は、Widows kernelが、いくつかのpage fault system callsを適切に制御することに失敗した場合に発生するkernel memoryの情報漏洩の脆弱性に関するものです。
MS16-153
MS16-153によって、Windows Common Log File System Driver における単一の脆弱性が報告され、そして改善されました。最近になって、CLFS driver の情報が登場するのは2回目です。今月の脆弱性は、11月のCLFS driverについて対応する必要のあった人と同じ人に対するものです。
MS16-154
今月の最後から2番目は、12月のAdobe Flash Player 更新プログラムAPSB16-39です。本更新プログラムは、17個の脆弱性を解決します。
MS16-155
今月(そしておそらく今年の)の最後の更新プログラムは、.NET Frameworkの情報漏洩の脆弱性で、特に、Always Encrypted technology で防御されたデータへのアクセスを許可するSQLサーバーのためのData Providerにおけるものです。Always Encryptedは、クライアント側のテクノロジーで、このテクノロジーは、SQLサーバーに一切データが漏洩しないようにすることを確保します。
- CVE-2017-7270 は公式に非公開となりました。
追加情報
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。