VERT 脅威アラート – 2016年12月マイクロソフト月例パッチの分析

avatar

 2016.12.15  Japanブログ編集部

本日のVERTアラートでは、12件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、12月14日水曜日にASPL-703をリリースする予定です。

リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化

Automated Exploit
             
Easy
             
Moderate
             
Difficult
             
Extremely Difficult
    MS16-144 MS16-145        
No Known Exploit
MS16-152 MS16-153 MS16-155   MS16-146 MS16-147 MS16-148 MS16-149 MS16-154     MS16-150 MS16-151  
 
Exposure
Local Availability
Local Access
Remote Availability
Remote Access
Local Privileged
Remote Privileged

MS16-144 Internet Explorer用累積セキュリティ更新プログラム KB3204059
MS16-145 Microsoft Edge用累積セキュリティ更新プログラム KB3204062
MS16-146 Microsoft Graphics Component用セキュリティ更新プログラム KB3204066
MS16-147 Microsoft Uniscribe用セキュリティ更新プログラム KB3204063
MS16-148 Microsoft Office用セキュリティ更新プログラム KB3204068
MS16-149 Microsoft Windows用セキュリティ更新プログラム KB3205655
MS16-150 Secure Kernel Mode用セキュリティ更新プログラム KB3205642
MS16-151 Windows Kernel-Mode Drivers用セキュリティ更新プログラム KB3205651
MS16-152 Windows Kernel用セキュリティ更新プログラム KB3199709
MS16-153 Common Log File System Driver用セキュリティ更新プログラム KB3207328
MS16-154 Adobe Flash Player用セキュリティ更新プログラム KB3209498
MS16-155 .NET Framework用セキュリティ更新プログラム KB3205640

MS16-144

2016年の最後のパッチ分析は、決して終わることのないInternet Explorer用セキュリティ更新プログラムで始まります。 本日の更新プログラムには、2つの興味深い点があります。

1点目としては、2つ以上のパッチがあることです。これはIEの更新プログラムにおいては珍しいことで、Windows Vista / Server 2008のモデルチェンジへの対応が欠けていた所為です。 2つ目の更新プログラムは、Microsoft Windows Hyperlink Object Library用です。2点目としては、公式に非公開となったCVE-2016-7281が、この更新に組み込まれていることです。これは、JavaScript scriptsのバックグラウンドにあるWeb Workersの中でスクリプトが実行された場合に存在するSame Origin Bypassの課題を解決するものです。

  • CVE-2016-7282 は公式に非公開となりました。
  • CVE-2016-7281 は公式に非公開となりました。
  • CVE-2016-7202 は公式に非公開となりました。

MS16-145

MS16-144 の対になるのがMS16-145で、Microsoft Edge 用月例セキュリティ更新プログラムです。いつもそうであるように、MS16-144およびMS16-145の間には複数の重複するCVEがありますが 、製品特有の名称より、「Microsoft Browser 」というフレーズを探すことで、簡単に識別できます。

  • CVE-2016-7206 は公式に非公開となりました。
  • CVE-2016-7282 は公式に非公開となりました。
  • CVE-2016-7281 は公式に非公開となりました。

MS16-146

次に、Windows Graphic componentおよびGDIの情報公開についての脆弱性対策コード2つがあります。この脆弱性の改善に加えて、本更新プログラムは、セキュリティ情報に全文が収録されていない、何重にもなる変更を提供します。

MS16-147

今月の4番目のセキュリティ情報は、単一のMicrosoft Uniscribe の脆弱性を解決するものです。Microsoft Uniscribeは、 優れた活字体ならびに双方向text renderingおよびcontextual character shapingのような複雑なスクリプト・オペレーションをインプリメンテーションするためのAPIのセットです。

MS16-148

月例のMicrosoft office更新プログラムには、デスクトップ用Offices製品とOfficeのウエブアプリを含めています。

本更新プログラムには、アップデートの過程でよく見過ごされる製品であるWord Viewerが含まれていることに留意ください。

MS16-146に含まれるGDI ASLR bypass (CVE-2016-7257)は、MS16-148にも含まれています。

MS16-149

1組のWindows自体の脆弱性対策プログラムです。Crypto Driverの情報漏洩脆弱性およびWindows Installerの特権昇格脆弱性に関するものです。

MS16-150

MS16-150は、Windows Secure Kernel ModeにおけるWindows 10およびServer 2016にのみ影響する脆弱性を解決するためのものです。本セキュリティ情報の所与のオペレーティング・システムは限定されており、Server2016についてのMicrosoftの情報がより明白になりました。

Microsoftは、Server 2016 Technical Preview 5に更新用プログラムは利用可能であるけれども、ユーザーはServer 2016のリリースバージョンにアップグレードするべきと示しています。

MS16-151

Windows Kernel-Mode Drivers用更新プログラムがあることは、当たり前のことだと思うようになりました。

今回の情報は、以前の情報に比べて、少しの脆弱性しか含んでいませんが、興味深いものです。KMDに関する以前のいくらかの情報は、それぞれ6つ以上の脆弱性を解決しましたが、今回は2つの改善しか含んでいません。

MS16-152

MS16-152は、Widows kernelが、いくつかのpage fault system callsを適切に制御することに失敗した場合に発生するkernel memoryの情報漏洩の脆弱性に関するものです。

MS16-153

MS16-153によって、Windows Common Log File System Driver における単一の脆弱性が報告され、そして改善されました。最近になって、CLFS driver の情報が登場するのは2回目です。今月の脆弱性は、11月のCLFS driverについて対応する必要のあった人と同じ人に対するものです。

MS16-154

今月の最後から2番目は、12月のAdobe Flash Player 更新プログラムAPSB16-39です。本更新プログラムは、17個の脆弱性を解決します。

MS16-155

今月(そしておそらく今年の)の最後の更新プログラムは、.NET Frameworkの情報漏洩の脆弱性で、特に、Always Encrypted technology で防御されたデータへのアクセスを許可するSQLサーバーのためのData Providerにおけるものです。Always Encryptedは、クライアント側のテクノロジーで、このテクノロジーは、SQLサーバーに一切データが漏洩しないようにすることを確保します。

  • CVE-2017-7270 は公式に非公開となりました。

追加情報

例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。

元の記事はこちらからご覧いただけます。

改ざん検知まるわかりガイド

RECOMMEND関連記事


RECENT POST「VERT」の最新記事


この記事が気に入ったらいいねしよう!