本日のVERTアラートはMicrosoftの 2017年5月度セキュリティーアップデートを取り扱います。
セキュリティー速報の廃止に伴い、VERTアラートは様変わりする予定です。より充実したVERTアラートが登場するまで、この短縮版記事が代理を務めます。
出回っている&公開されているCVE
MS2017-0290
Microsoftセキュリティアドバイザリ4022344としても知られており、特定の目的で作成されたファイルがMicrosoftマルウェア対策エンジンでスキャンされた際に発生するコード実行です。悪用されればローカルシステムアカウントでコード実行される恐れがあります。MSRCセキュリティーガイダンスはこの脆弱性について、まだ一般公開されておらず悪用された形跡もないと言っていますが、Googleプロジェクトゼロのバグ追跡で概念実証を含む 技術的詳細を見ることができます。
Microsoftはこの脆弱性について、 悪用可能性指標 の2 (悪用される可能性は低い) と評価しています。
MS2017-0064
一般公開されているこの脆弱性を悪用すれば、Internet Explorerに読み込まれたコンテンツに安全でないコンテンツが混合されていたとしても、混合コンテンツの警告をバイパスできてしまいます。Internet Explorerバージョン9、10、11で影響を受けます。
Microsoftはこの脆弱性について、 悪用可能性指標 の2 (悪用される可能性は低い) と評価しています。
MS2017-0222
本日2件目のInternet Explorerに関する脆弱性です。これはまだ一般公開されていませんが、盛んに悪用されているとの報告があります。この脆弱性を悪用された場合、カレントユーザーでコードが実行される恐れがあります。Internet Explorerバージョン10と11が影響を受けます。
Microsoftはこの脆弱性について、 悪用可能性指標 の0 (悪用を確認済み) と評価しています。
MS2017-0241
Internet Explorerで2件続いたので、Edgeで脆弱性の報告があるのもうなずけます。この脆弱性が悪用された場合、ドメインのないページがインターネットゾーンに読み込まれ、通常は制限される機能にアクセスされる恐れがあります。この脆弱性に対するMicrosoftの評価は興味深く、悪用は確認されているものの、分類としては悪用ではなく、単に一般公開としています。
Microsoftはこの脆弱性について、 悪用可能性指標 の0 (悪用を確認済み) と評価しています。
MS2017-0261
次は、不正な形式のEFSファイルの構文解析に関するMicrosoft Officeの脆弱性です。悪用された場合、攻撃者にシステムをコントロールされる危険性があります。Microsoft Office 2010、2013、2016が影響を受け、それ以前のバージョンでもすでに悪用が確認されています。
Microsoftはこの脆弱性の悪用可能性指標 について、最新バージョンのソフトウェアでは1 (悪用される可能性が高い) 、以前のバージョンでは0 (悪用を確認済み) と評価しています。
MS2017-0263
本日最後の脆弱性は、Windows Win32kカーネルモードドライバーの脆弱性です。悪用された場合、攻撃者にカーネルモードでコードを実行される恐れがあります。Windows 7以降の全てのオペレーティングシステムが影響を受けます。
Microsoftはこの脆弱性の悪用可能性指標 について、最新バージョンのソフトウェアでは1 (悪用される可能性が高い) 、以前のバージョンでは0 (悪用を確認済み) と評価しています。
脆弱性の参考情報
今回修正された問題の多くはすでにセキュリティーガイダンス前に知られていましたが、いくつかは注目すべきものもありました。
DNS
1つ目は、Microsoft DNSサーバーの脆弱性です。バージョンクエリーに反応するよう設定されているDNSサーバーが悪意のあるバージョンクエリーを受け取った場合、反応しなくなる恐れがあります。もしMicrosoft DNSサーバーでインターネットに接続している場合は、パッチを適用するまでは注意した方がよいでしょう。サーバー2008以降の全てのバージョンでこの脆弱性 (CVE-2017-0171) の影響を受けます。
SMB
今月のリリースにはSMB脆弱性に対するパッチがたくさんあります。多くは情報開示とサーバー拒否の問題ですが、コードのリモート実行を引き起こす危険性のある脆弱性が4つあります。これらのRCE脆弱性はMicrosoft SMBv1に関連するもので、Windowsの全てのバージョンで影響を受けます。RCEリストに含まれるのは以下の脆弱性です: CVE-2017-0272、CVE-2017-0277、CVE-2017-0278、CVE-2017-0279。マイクロソフトは4つ全てについて「悪用される可能性は低い」と分類しています (悪用可能性指標: 2)
その他の情報
5月度セキュリティーガイダンスに含まれているMicrosoftの脆弱性に加え、セキュリティアドバイザリも公開されています。4月にMicrosoftはCVEのように見える表示形式のアドバイザリIDを使って混乱を招きましたが、今月はこの形式は無くなり、ADVYY####という形に置き換わりました。先月のアドバイザリにも新しいアドバイザリIDが割り当てられ、最新の表示形式にアップデートされています。
ADV170006
今月のアドバイザリは、Adobe Flashに関するセキュリティー報告 (APSB17-15) に関連するMicrosoftの表明です。これには以下の脆弱性に対する修正が含まれています: CVE-2017-3068、CVE-2017-3069、CVE-2017-3070、CVE-2017-3071、CVE-2017-3072、CVE-2017-3073、CVE-2017-3074。