本日のVERTアラートでは、14件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、9月14日水曜日にASPL-689をリリースする予定です。
リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化
Automated Exploit
|
|||||||
Easy
|
|||||||
Moderate
|
|||||||
Difficult
|
|||||||
Extremely Difficult
|
|||||||
No Known Exploit
|
MS16-113 MS16-115 |
MS16-104 MS16-105 MS16-107 MS16-111 MS16-112 MS16-114 MS16-116 MS16-117 |
MS16-108 | MS16-106 MS16-110 |
|||
Exposure
|
Local
Availability |
Local
Access |
Remote
Availability |
Remote
Access |
Local
Privileged |
Remote
Privileged |
MS16-104 | 複数の Internet Explorer (IE) 用セキュリティ更新プログラム | KB3183038 |
MS16-105 | 複数のMicrosoft Edge用セキュリティ更新プログラム | KB3183043 |
MS16-106 | Microsoft Graphics Components用セキュリティ更新プログラム | KB3185848 |
MS16-107 | Microsoft Office 用セキュリティ更新プログラム | KB3185852 |
MS16-108 | Microsoft Exchange Server 用セキュリティ更新プログラム | KB3185883 |
MS16-109 | Silverlight 用セキュリティ更新プログラム | KB3182373 |
MS16-110 | Microsoft Windows 用セキュリティ更新プログラム | KB3178467 |
MS16-111 | Windows Kernel 用セキュリティ更新プログラム | KB3186973 |
MS16-112 | Windows Lock Screen 用セキュリティ更新プログラム | KB3178469 |
MS16-113 | Windows Secure Kernel Mode 用セキュリティ更新プログラム | KB3185876 |
MS16-114 | Windows SMBv1 Server 用セキュリティ更新プログラム | KB3185879 |
MS16-115 | Microsoft Windows PDF Library 用セキュリティ更新プログラム | KB3188733 |
MS16-116 | VBScript Scripting Engine の OLE オートメーション 用セキュリティ更新プログラム | KB3188724 |
MS16-117 | Adobe Flash Player 用セキュリティ更新プログラム | KB3188128 |
今月も Internet Explorer のアップデートから始めますが、IE のゾーンと整合性の設定、クロスオリジン コンテンツ、メモリ内オブジェクトと URLファイルの処理に関する問題に対応する更新プログラムが含まれています。IEアップデート 3185319 と OLE オートメーションアップデート 3184122 の双方が解決されるまで、CVE-2016-3375は完全に解決されないことに留意してください (MS16-116)。さらに、Microsoft が今年初め、多数の IE 製品のサポート終了を宣言したことを注意喚起しましょう。未だにサポート終了となったブラウザをお使いの方は、この情報から脆弱性がないと判断しないでください。Microsoft は、サポート対象のソフトウェアのみを、脅威対象ソフトウェアリストに掲載しています。
CVE-2016-3351 は、悪用されています。
多くの場合と同様、今月の Microsoft Edge情報には、Internet Explorer 情報との重複が多数見られます。さらに、Chakra JavaScript エンジンと、ASLR バイパスの脆弱性は、このアップデートで解決されています。
この情報では、コード実行、特権昇格と情報漏えいを含む、Win32k とGDI に影響を与える脆弱性を解決します。この情報の興味深い留意事項のひとつは、重大なコード実行の脆弱性は、最新リリースの Windows 10 (ビルド 1607) のみに影響するということです。
今月の Microsoft Office アップデートは、各種の Office Viewer、SharePoint、Office Web Apps と Office Online Server など、Microsoft Office スイートと、スタンドアロン製品をともに含んだ、大きな影響のあるソフトウェアに対応します。この速報の興味深い留意事項のひとつに、重大なコード実行の脆弱性は、最新リリースの Windows 10 (ビルド 1607) のみに影響するということがあります。特に、Microsoft Outlook は、RFC 2046、MIME Part Two: Media Types を守りません、メールがウイルス対策とスパム対策ソリューションをバイパスする可能性があります。
ここで取り上げた、3 つの Microsoft Exchange 固有の脆弱性に加え、Oracle Outside In ライブラリを取り上げた、2016 年 7 月の Oracle Critical Patch Update(CPU) の 18 件のCVE も取り上げられています。
次に、ひとつの Microsoft Silverlight の脆弱性がありますが、これは、StringBuilder に文字列を挿入および追加する場合に Silverlight がメモリを割り当てる方法を変更することで解決されました。
MS16-110 は、特に興味深い、CVE-2016-3352 をはじめとする、多数の Windows 固有の脆弱性を解決します。この情報漏えいをひきおこす脆弱性は、ユーザに強制的に悪意のある Web サイトまたは SMB サーバにアクセスさせることで、Windows アカウントの資格情報を NTLM パスワード ハッシュとして漏えいさせます。このパッチは、NTLM SSO 認証が公開されたサービスに送信される状況を変更します。
CVE-2016-3352 は公開されています。
この情報は、Windows カーネルの多数の特権昇格の脆弱性を解決します。
この情報は、Windows Lock Screen のひとつの特権昇格の脆弱性を解決します。この脆弱性を悪用するためには、攻撃者は、コンピュータに物理的にアクセスでき、悪意のあるホットスポットに接続する必要があります。
MS16-113 は、Windows 10 のみに影響を及ぼす、ひとつの Windows Secure Kernel Mode の情報漏えいの脆弱性を解決します。
今月の非常に興味深い脆弱性のひとつとして、MS16-114 では、SMBv1 を実行するサーバに対してコード実行される可能性のある脆弱性について記載しています。攻撃者は、システムを思い通りにするにはホストに認証でき、ファイルをオープンできる必要があります。パッチのほかにも、Microsoft は、すぐにパッチを適用できないシステムのために SMBv1 をオフにするためのステップを発表しました。
Microsoft PDF Library の脆弱性は、リリースからほぼ定期的に発生しています。この情報は Microsoft PDF Library の2つの情報漏えいの脆弱性を解決します。ここで説明した 2 つの脆弱性に見覚えがあるかもしれませんが、それは、Microsoft Edge 情報 (MS16-105) でも言及されていたからです。
今月の最後から 2 番目のアップデートは、OLE オートメーション メカニズムと IE の VB Script Scripting エンジン間の対話に存在するひとつの脆弱性を解決します。これは、MS16-104 に見られるのと同様の脆弱性で、この脆弱性を修正するには、2 つのアップデートをインストールする必要があります。
今月最後の情報は、APSB16-29で見つかったAdobe Flash Playerに関する脆弱性に対するものです。 システムに導入されているソフトウェアによっては、MicrosoftとAdobeのアップデート両方をインストール必要があるかもしれないことに留意ください。
例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。
元の記事はこちらからご覧いただけます。