本日のVERTアラートでは、4件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、1月11日水曜日にASPL-706をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
MS17-001 | ||||||
Moderate
|
|||||||
Difficult
|
|||||||
Extremely Difficult
|
MS17-004 | ||||||
No Known Exploit
|
MS17-002 MS17-003 | ||||||
Exposure
|
Local Availability
|
Local Access
|
Remote Availability
|
Remote Access
|
Local Privileged
|
Remote Privileged
|
MS17-001 | Microsoft Edge 用セキュリティ更新プログラム | KB3214288 |
MS17-002 | Microsoft Office 用セキュリティ更新プログラム | KB3214291 |
MS17-003 | Adobe Flash Player 用セキュリティ更新プログラム | KB3214628 |
MS17-004 | Local Security Authority Subsystem Service 用セキュリティ更新プログラム | KB3216771 |
MS17-001
マイクロソフトは2017年を、4個の情報と、12個のFlash関連のものを含めた15個のCVEという最低限のパッチを公開することから開始しています。今月1番目のセキュリティ情報は、単一のMicrosoft Edgeの脆弱性を解決するものです。この脆弱性はEdgeに固有のものであるため、今月はIEセキュリティ情報がないことを意味します。この脆弱性は、about:blank page に対するクロスドメイン ポリシーの強制実行の欠如により発生する特権昇格です。
CVE-2017-0002 は公開されています。
MS17-002
今月の2番目の情報は、Microsoft Word とSharePoint Enterprise Server 2016に存在するひとつの脆弱性を解決します。この脆弱性は悪意のあるファイルを開くとコードを実行させるものです。
MS17-003
次今月の最後から2番めのアップデートは、APSB17-02のコンパニオンアップデートです。このアップデートは、Adobe Flash に影響を及ぼす多数の脆弱性を解決します。
MS17-004
今月最後の情報は、LSASS としてよりよく知られているLocal Security Authority Subsystem Service の非認証のサービス拒否型の脆弱性です。悪意のある認証要求は、ターゲットシステムのクラッシュを引き起こす可能性があります。
CVE-2017-0004 は公開されています。
追加情報
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。