本日のVERTアラートでは 13件の新しいマイクロソフトセキュリティ情報に対応いたします。VERTは24時間以内に対応するため、こうした速報に積極的に取り組んでおり、3月9日(水)にASPL-660のリリースを予定しています。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
|
Automated Exploit
|
|||||||
|
Easy
|
|||||||
|
Moderate
|
|||||||
|
Difficult
|
|||||||
|
Extremely Difficult
|
|||||||
|
No Known Exploit
|
MS16-035 | MS16-023 MS16-024 MS16-025 MS16-027 MS16-028 MS16-029 MS16-030 |
MS16-026 MS16-031 MS16-032 MS16-033 MS16-034 |
||||
|
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
| MS16-023 | 複数のInternet Explorer (IE)用セキュリティ更新プログラム | KB3142015 |
| MS16-024 | 複数のMicrosoft Edge用セキュリティ更新プログラム | KB2142019 |
| MS16-025 | リモートでのコード実行に対処する複数のWindowsライブラリ用のセキュリティ更新プログラム | KB2140709 |
| MS16-026 | リモートでのコード実行に対処するグラフィックフォントようのセキュリティ更新プログラム | KB3143148 |
| MS16-027 | リモートでのコード実行に対処するWindowsメディア用のセキュリティ更新プログラム | KB3143146 |
| MS16-028 | リモートでのコード実行に対処するMicrosoft Windows PDFライブラリ用のセキュリティ更新プログラム | KB3143081 |
| MS16-029 | リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム | KB3141806 |
| MS16-030 | リモートでのコード実行に対処するWindows OEL用のセキュリティ更新プログラム | KB3143136 |
| MS16-031 | 特権の昇格に対処するMicrosoft Windows用のセキュリティ更新プログラム | KB3140410 |
| MS16-032 | 特権の昇格に対処するSecondary Logon用のセキュリティ更新プログラム | KB3143141 |
| MS16-033 | Windows USB Mass Storage Class ドライバ用のセキュリティ更新プログラム | KB3143142 |
| MS16-034 | 特権の昇格に対処するWindows カーネルモードドライバ用のセキュリティ更新プログラム | KB3143145 |
| MS16-035 | セキュリティ機能のバイパスに対処する.NET Framework用のセキュリティ更新プログラム | KB3141780 |
MS16-023
ほとんどの月と同様、今月もInternet Explorerのいつもの累積アップデートで 始まります。合計13件の脆弱性が修正されましたが、Microsoftの脆弱性命名基準によって、5件のCVEが Internet ExplorerとEdge両方に適用され、残りの8件がInternet Explorerのみに適用されることが分かります。こうした速報は、最小権限の原則を実践することの重要性を思い出すのに役立ちます。システムに対するリスクが大幅に高まるのはブラウザを標準ユーザーではなく、管理者として実行する場合です。
MS16-024
今月の2番目の速報は、Microsoft Edgeに関する累積アップデートでほとんど常にIEの累積アップデートも伴います。Internet Explorerと共通の5件の脆弱性に加えてEdge固有の脆弱性が6件、そのいずれも悪用されたり一般に開示されていません(今月の全ての速報に当てはまります)。
MS16-025
MS16-025で解決される単一の脆弱性。影響を受けるのはWindows VistaとWindows Server 2008で、ターゲットシステム上で悪意のあるアプリケーションを実行する必要があります。典型的な旧型プラットフォームであるWindows VistaやWindows Server 2008には最新のWindowsオペレーティングシステムと比べてセキュリティを強化するオプションが少ないため、こうしたプラットフォームのユーザーはより新しいオペレーティングシステムへのアップグレードを検討すべきです。
MS16-026
OpenTypeフォントは2015年の人気ターゲットでしたが、2016年も引き続き研究者たちのターゲットになりそうです。解決済みの2つの脆弱性のうちの1つはサービス拒否で、もう1つはドライブバイ・ダウンロード攻撃で悪用される可能性があります。
MS16-027
次はWindowsのメディアコンテンツの解析に影響する脆弱性が2つです。 MS16-026によく似たこの脆弱性は標的ユーザーがアクセスするWebサーバーにメディアファイルをホスティングするドライブバイ・ダウンロード攻撃で悪用される可能性があります。
MS16-028
今月の次の脆弱性情報は、最新バージョンのWindowsに搭載されたPDFライブラリに影響する2つの脆弱性を解決します。例によって出所不明のファイルを開かないことです。悪意のあるPDFファイルがこの脆弱性を悪用するために使用される可能性があります。
MS16-029
今月のMicrosoft Office速報には、メモリ破損の脆弱性2件と無効な署名のバイナリに対する修正が1件含まれています。このセキュリティ機能をうまく回避するためには、無効な署名のバイナリで置き換えなければなりませんので攻撃者はバイナリの格納場所に対する書き込み権限が必要とされます。さらにこの速報の一部として多層防御のアップデートが公表されており、MicrosoftはOutlookのOLEパッケージ機能を無効にするためのレジストリの編集に関する詳細情報を提示しています。
MS16-030
MS16-029でOutlookのOLEパッケージ機能を無効に出来るようにしたということは、この回避策の追加の原因がMS16-030の脆弱性である可能性があります。この脆弱性はOLEがユーザーの入力を適切に検証出来なかった場合にコード実行を可能にするものです。
MS16-031
MS16-031に記載されたCVE-2016-0087をうまく悪用することで攻撃者はシステム権限でWindows VistaやWindows 7、Windows Server 2008 、Server 2008 R2上でコードを実行出来ます。
MS16-032
Windowsのセカンダリログオン(RunAsとして有名)によってユーザーは別のアカウント(例えば管理者)でログインすることなく特権昇格で特定のコマンドをそのまま実行できます。このコマンドはUNIX/Linuxのsudoに類似しています。このアップデートでは、システムにアクセスする攻撃者のセカンダリログオンを使用した特権昇格を許すメモリ処理の欠陥を修正しています。
MS16-033
MS16-033で興味深い点の1つは、攻撃者が特別に加工されたプログラムやパケットではなく、特別に加工されたUSBデバイスを使うということです。 これが今月の興味深い速報の1つである理由は、攻撃者が単に横を通ってデバイスを接続するだけでシステムに物理的にアクセス出来るに違いないということです。USBポートが露出したキオスクや顧客対応システムを有する企業は、この脆弱性の解決を優先すべきです。
MS16-034
今月の月次定例アップデートの最後から2番目はWin32k.sysに影響する4つ脆弱性を解決するものです。これらの脆弱性がうまく悪用されるとカーネルモードでのコード実行を許す可能性があります。
MS16-035
今月の最後のアップデートは.NETの署名認証問題を解決するものです。これは攻撃者がファイルの署名を無効にすることなくXMLファイルのコンテンツを書き換えることを可能にする問題です。これはXMLファイルを処理する.NETコードを使っている場合に重要なアップデートです。
追加情報
Adobeは、AcrobatとReaderの複数の脆弱性を解決するAPSB16-09をリリースしました。Mozillaは、Firefoxのいくつかの脆弱性を解決するFirefox 45 をリリースしました。
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に(可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。
