Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

本日のVERTアラートでは、4件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、1月11日水曜日にASPL-706をリリースする予定です。

リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化

Automated Exploit
Easy
MS17-001
Moderate
Difficult
Extremely Difficult
MS17-004
No Known Exploit
MS17-002 MS17-003
Exposure
Local Availability
Local Access
Remote Availability
Remote Access
Local Privileged
Remote Privileged

MS17-001 Microsoft Edge 用セキュリティ更新プログラム KB3214288
MS17-002 Microsoft Office 用セキュリティ更新プログラム KB3214291
MS17-003 Adobe Flash Player 用セキュリティ更新プログラム KB3214628
MS17-004 Local Security Authority Subsystem Service 用セキュリティ更新プログラム KB3216771

MS17-001

マイクロソフトは2017年を、4個の情報と、12個のFlash関連のものを含めた15個のCVEという最低限のパッチを公開することから開始しています。今月1番目のセキュリティ情報は、単一のMicrosoft Edgeの脆弱性を解決するものです。この脆弱性はEdgeに固有のものであるため、今月はIEセキュリティ情報がないことを意味します。この脆弱性は、about:blank page に対するクロスドメイン ポリシーの強制実行の欠如により発生する特権昇格です。

CVE-2017-0002 は公開されています。

MS17-002

今月の2番目の情報は、Microsoft Word とSharePoint Enterprise Server 2016に存在するひとつの脆弱性を解決します。この脆弱性は悪意のあるファイルを開くとコードを実行させるものです。

MS17-003

次今月の最後から2番めのアップデートは、APSB17-02のコンパニオンアップデートです。このアップデートは、Adobe Flash に影響を及ぼす多数の脆弱性を解決します。

MS17-004

今月最後の情報は、LSASS としてよりよく知られているLocal Security Authority Subsystem Service の非認証のサービス拒否型の脆弱性です。悪意のある認証要求は、ターゲットシステムのクラッシュを引き起こす可能性があります。

CVE-2017-0004 は公開されています。

追加情報

例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。

元の記事はこちらからご覧いただけます。

The State of Security 日本語版 ニュースレター