本日のVERTアラートはMicrosoftの 2017年4月度セキュリティーアップデートを取り扱います。
セキュリティー速報の廃止に伴い、VERTアラートは様変わりする予定です。より充実したVERTアラートが登場するまで、この短縮版記事が代理を務めます。
出回っている&公開されているCVE
MS2017-0199
FireEyeが4月8日付のブログ記事「Microsoftゼロデイを利用する攻撃の通知」(英語)でこの脆弱性について言及しました。さらに4月11日付のブログ記事「CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler」(英語)で詳細が公開されました。この脆弱性は複数の攻撃に利用されており、システムにマルウェアを投下して重大な脆弱性を作り出すため、今すぐパッチをあてる必要があります。
MS2017-0210
MicrosoftはCVE-2017-0210について、広く開示され活発に悪用されていると指摘しています。このInternet Explorerの脆弱性はクロスドメインポリシー適用時の穴に起因して発生します。
MS2017-0203
この脆弱性は今のところ悪用は確認されていませんが、広く開示されているものです。Microsoftの指摘によれば、古いソフトウェアは影響を受けず、最近リリースされたソフトウェアについても悪用されることはなさそうです。この脆弱性は、Edgeのコンテンツセキュリティポリシー (CSP) が特定の文書の検証に失敗した場合、これを迂回することができるというものです。
脆弱性の参考情報
今回修正された問題の多くはすでにセキュリティーガイダンス前に知られていましたが、いくつかは注目すべきものもありました。
Silverlight
Microsoft Silverlightのパッチが再びリリースされました。SilverlightはゆっくりフェードアウトしようとしているWebテクノロジーです。Web Technology Surveysのデータ(英語)によれば、Webサイト全体のわずか0.1%でしかSilverlightは使われていません。もし日常のインターネット利用にSilverlightが必要ないのなら、関連する攻撃対象領域を取り除くために、完全にアンインストールするいい機会でしょう。
Hyper-V
リリースノートでは直接言及していませんが、Hyper-Vは今月解消された脆弱性の多くを抱えています。IT部門がより多くのシステムの仮想化を続ければ続けるほど、企業の中のハイパーバイザーの数も増え続けます。今回、たくさんのHyper-V脆弱性にパッチがあてられました。その中には、Hyper-Vゲスト上の認証ユーザーがHyper-Vホスト上でコードを実行できてしまうという、ゲストOSエスケープも2つ含まれています(CVE-2017-0180 と CVE-2017-0181)。
その他の情報
Microsoftの4月度セキュリティーガイダンスに含まれている脆弱性に加えて、CVEではないのにCVEのように見えてしまう文書が他に2つ発表されています。これらの文書ではドキュメントIDにYYYY-####というフォーマットが使われているため、CVE (CVE-YYY-####) と同じものであると誤解しやすくなっています。
2017-2605
CVEではないこれら文書の1番目は、Microsoft Officeの多層防御アップデートに関する記事です。このアップデートは、「EPSフィルター内の未パッチ脆弱性を利用する限定的な標的型攻撃を軽減する」ものです。Microsoftはこの軽減について、正式なセキュリティーアップデートがリリースできるまでの一時的な修正としています。MicrosoftのCVE関連資料ではこの問題に関係する指摘はされていません。
2017-3447
今月の2番目の非CVE文書は、Adobe APSB17-10 (英語)アップデート用コンテナーです。このAdobe Flashのアップデートは、次のCVEを解消します: CVE-2017-3058、CVE-2017-3059、CVE-2017-3060、CVE-2017-3061、CVE-2017-3062、CVE-2017-3063、CVE-2017-3064。
