本日のVERT警告では新規マイクロソフト セキュリティ情報6件を取り上げています。VERTは24時間SLAを満たすようこれらの情報を積極的にお知らせし、10月14日水曜日にASPL-638をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
|||||||
Moderate
|
|||||||
Difficult
|
|||||||
Extremely Difficult
|
|||||||
No Known Exploit
|
MS15-107 | MS15-106 MS15-108 MS15-109 |
MS15-110 | MS15-111 | |||
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
複数のInternet Explorerのメモリ破損の脆弱性 | 複数 | |
複数のスクリプト エンジンのメモリ破損の脆弱性 | 複数 | |
複数のInternet Explorer 権限の昇格の脆弱性 | 複数 | |
複数のInternet Explorer の情報漏えいの脆弱性 | 複数 | |
VBScriptおよびJScript ASLRバイパス | CVE-2015-6052 | |
スクリプト エンジンの情報漏えいの脆弱性 | CVE-2015-6059 | |
Microsoft Edge の情報漏えいの脆弱性 | CVE-2015-6057 | |
Microsoft Edge の XSS フィルター バイパス | CVE-2015-6058 | |
スクリプト エンジンのメモリ破損の脆弱性 | CVE-2015-2482 | |
VBScriptおよびJScript ASLRバイパス | CVE-2015-6052 | |
スクリプト エンジンのメモリ破損の脆弱性 | CVE-2015-6055 | |
スクリプト エンジンの情報漏えいの脆弱性 | CVE-2015-6059 | |
ツール バーの解放後使用の脆弱性 | CVE-2015-2515 | |
Microsoft タブレット入力バンドの解放後使用の脆弱性 | CVE-2015-2548 | |
Microsoft SharePoint の情報漏えいの脆弱性 | CVE-2015-2556 | |
Microsoft SharePoint のセキュリティ機能のバイパス | CVE-2015-6039 | |
Microsoft Office Web Apps XSS のなりすましの脆弱性 | CVE-2015-6037 | |
複数の Microsoft Office のメモリ破損の脆弱性 | 複数 | |
Windows カーネルの特権の昇格に関する複数の脆弱性 | 複数 | |
トラスト ブートのセキュリティ機能のバイパスの脆弱性 | CVE-2015-2552 | |
Windows Mount Point Elevation of Privilege Vulnerability | Windows マウント ポイントの特権の昇格の脆弱性 |
MS15-106
今月もまたいつものように... Internet Explorerの重要な更新プログラムから始まります。どのIEパッチが自分の環境に適用されるのかと注目されていることと思いますので、これを機会に皆様には、IEのサポートポリシーが2016年1月に変更されることをお忘れなく、とお伝えしておきます。今月のIE更新プログラムに伴って、良いニュースがあります。これらの脆弱性の何れも、確認される限りまだ攻撃されていない、ということです。ただそのうちの1件が公表されました。
MS15-107
今ではブラウザが2つありますので、すべてのInternet Explorer更新プログラムとともに、Edgeの更新プログラムもあります。ただ今月はCVEの重複はありません。各製品がそれぞれ独自の脆弱性を抱えています。
MS15-108
さて次ですが、VBScriptとJScriptに影響を与える脆弱性が4件あります。この4件すべてが MS15-108とMS15-106の両方に登場します。両方のアドバイスページに表がありますので、更新プログラムのどれがご使用のシステムに適用するかを判断する参考にできます。
MS15-109
「Windows Shell用のセキュリティ更新プログラム」と題された情報の中で、2件の脆弱性が解決されています。
そのうち1件はタブレット入力バンドを修正し、もう1件はツールバーオブジェクトに関わる問題を解決しています。タブレット入力バンドの脆弱性はInternet Explorerを介して攻撃される可能性がありますので、十分ご注意ください。
MS15-110
今月最後から2番目の情報では、Office関係の脆弱性に対処しています。Office( Office 2016を含む)、 SharePoint、 Office WebApps用の更新プログラムが含まれていることにご注目ください。これらのパッチの大部分がExcelをターゲット製品としています。
MS15-111
今月最後の更新情報では、Windows カーネル関係の一連の脆弱性を取り上げています。これにはWindows マウント ポイントに関する問題やトラスト ブートのバイパス、幾つかの権限の昇格問題が含まれています。トラスト ブートのバイパスについては公表されていますが、マイクロソフトによれば現在この件を対象とした攻撃はないそうです。
追加情報
AdobeがAdobe Readerおよび Acrobatの複数の脆弱性対策としてAPSB15-24 を、また Adobe Flash Playerの複数の脆弱性対策として APSB15-25 をリリースしました。
いつものように、すべてのパッチを出来るだけ早く適用されることをVERTはお勧めしますが、パッチを本番環境に適用する前に(可能な際に)徹底的に調べることも怠らないでください。
元の記事はこちらからご覧いただけます。