本日のVERTアラートでは新規マイクロソフト セキュリティ情報12件を取り上げています。VERTは24時間SLAを満たすようこれらの情報を積極的にお知らせし、11月11日水曜日にASPL-643をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
|||||||
Moderate
|
|||||||
Difficult
|
MS15-121 | ||||||
Extremely Difficult
|
MS15-120 | ||||||
No Known Exploit
|
MS15-112 MS15-113 MS15-114 MS15-115 MS15-116 MS15-118 MS15-122 MS15-123 |
MS15-117 MS15-119 |
|||||
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
MS15-112 | 複数のInternet Explorerのメモリ破損の脆弱性 | MULTIPLE |
スクリプティングエンジンのメモリ破損の脆弱性 | CVE-2015-6089 | |
Internet Explorerの情報漏えいの脆弱性 | CVE-2015-6086 | |
Microsoft ブラウザーのASLRバイパス | CVE-2015-6088 | |
MS15-113 | 複数のMicrosoft Edgeのメモリ破損の脆弱性 | MULTIPLE |
Microsoft ブラウザーのASLRバイパス | CVE-2015-6088 | |
MS15-114 | WindowsJournalヒープオーバーフローの脆弱性 | CVE-2015-6097 |
MS15-115 | 複数のWindowsカーネルメモリーの特権昇格の脆弱性 | MULTIPLE |
複数のWindowsカーネルメモリーの情報漏えいの脆弱性 | MULTIPLE | |
複数のWindowsグラフィックメモリにリモートでコードが実行される脆弱性 | MULTIPLE | |
Windowsカーネルにセキュリティ機能のバイパスの脆弱性 | CVE-2015-6113 | |
MS15-116 | 複数のMicrosoft Officeのメモリ破損の脆弱性 | MULTIPLE |
Microsoft Officeの特権昇格の脆弱性 | CVE-2015-2503 | |
Mac用Microsoft Outlookのなりすましの脆弱性 | CVE-2015-6123 | |
MS15-117 | Windows NDISの特権昇格の脆弱性 | CVE-2015-6098 |
MS15-118 | .NETの情報漏えいの脆弱性 | CVE-2015-6096 |
.NETの特権昇格の脆弱性 | CVE-2015-6099 | |
.NET のASLRバイパス | CVE-2015-6115 | |
MS15-119 | Winsockの特権昇格の脆弱性 | CVE-2015-2478 |
MS15-120 | Windows IPSecのサービス拒否の脆弱性 | CVE-2015-6111 |
MS15-121 | Schannel TLS のトリプル ハンドシェイクの脆弱性 | CVE-2015-6112 |
MS15-122 | Windows Kerberos のセキュリティ機能のバイパス | CVE-2015-6095 |
MS15-123 | サーバー入力検証の情報漏えいの脆弱性 | CVE-2015-6061 |
MS15-112
ほぼ毎月のことですが、今月もInternet Explorerのパッチから始まります。興味深いのは、「Internet Explorerのメモリ破損の脆弱性」と記載されたものと「Microsoft ブラウザのメモリの破損の脆弱性」と記載されたものがあることです。このわずかな区別で脆弱性がIE (MS15-112)だけに影響するのか、それともEdge (MS15-113)にも影響を及ぼすかが簡単に分かります。
MS15-113
今月のEdgeのアップデートはわずか4つのCVEを含む比較的小規模なものです。これらは全てMS15-112に含まれ、IEとEdge両方に影響することを示すために名称に「Microsoft ブラウザ」と記載して区別されています。
MS15-114
またしてもWindows Journalの脆弱性にパッチが適用され、再び同じ警告を発行することになりました。Windows Journalをあまり利用しない場合は、Microsoftの脆弱性緩和ツールを使用しましょう。このツールには.jnt ファイルの関連付けの削除や、journalのアンインストール、実行可能ファイルへのアクセス拒否の機能が含まれます。最近のJournalのアップ デートの頻度を考えれば、このちょっとした手間でセキュリティ状態が大幅に改善される可能性があります。
MS15-115
Windowsカーネルの問題はIEのアップデートと同じくらい現時点では頻繁に発生しており、またしてもAdobe Type Manager ライブラリが原因の一つです。ブラウザのアップデートとともにこの修正が最重要項目です。
MS15-116
次はOfficeの情報です。ただし、Officeはこのセキュリティ情報で特に関心を引く部分ではありません。このセキュリティ情報には Skype for BusinessとLyncのアップデートも含まれています。この同じプラットフォームはMS15-123でも対処されています。注意したいのが、製品のバージョンが重複している場合はアップデートも重複しているのでそういう場合は同じアップデートを2回インストールする必要はないということです。
MS15-117
NDISの特権昇格の脆弱性がリストに続きます。NDISに影響する脆弱性を目にしたのはこれまでの長い間で初めてですが、それはつまり見過ごされてきただけで研究グループがいずれ近いうちにネットワークドライバインターフェース仕様に他の問題も見つける可能性があることを意味しています。
MS15-118
MS15-118では、ASP.NETのクロスサイト・スクリプティングの脆弱性と.NET FrameworkのASLRバイパスを含む.NETの3つの脆弱性が解決されています。最後の脆弱性はXMLファイルを解析する時のドキュメントタイプ の定義に存在する脆弱性を含むローカルファイルです。
MS15-119
また別の特権昇格の脆弱性がMS15-119で解決されています。これはWinsockに影響します。
MS15-120
公開済みのIPSecのサービス拒否の脆弱性です。サービスの暗号化ネゴシエーション処理の不具合により、有効な資格情報を持った攻撃者は待ち受けサービスに接続し、サーバを応答不能状態にすることが可能です。
MS15-121
MS15-121では、新たな公表済みの脆弱性が解決されています。この脆弱性は、SchannelなどのTLS実装に影響します。修正にはRFC7627の実装が必要です。追加情報は、blog post on The State of Securityで確認して下さい。
MS15-122
今月の最後から2番目のアップデートは、Kerberosの欠陥です。この欠陥は、ソフトウェアがパスワードの変更を確認する方法の不具合で、ユーザは認証を回避してBitLockerで保護されたドライブを解読出来る可能性があります。
MS15-123
今月の最後のセキュリティ情報は、Lync と Skype for Businessの脆弱性を解決するものです。これはMS15-116の一部とパッケージを共有するアップデートです。この攻撃は基本的にはメッセージン グプラットフォームでのクロスサイト・スクリプティングで、攻撃者がウェブページを閲覧したり、通話を開始したりすることが可能です。
追加情報
Adobeは、Adobe Flash Playerの複数の脆弱性を解決するためAPSB15-28を公開しました。VERTは全てのパッチを至急適用することを推奨していますが、同時に本番システムに適用する前に(可能であれば)パッチを入念に検査することを勧めています。
元の記事はこちらからご覧いただけます。