Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

本日のVERTアラートでは 13件の新しいマイクロソフトセキュリティ情報に対処しています。

VERTは24時間以内に対応するため、こうした速報に積極的に取り組んでおり、4月13日(水)にASPL-666のリリースを予定しています。

 

リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化

Automated Exploit
Easy
MS16-050 MS16-039
Moderate
Difficult
Extremely Difficult
MS16-037 MS16-046
No Known Exploit
MS16-048 MS16-038
MS16-040
MS16-042
MS16-044
MS16-045
MS16-047
MS16-049 MS16-041
Exposure
Local
Availability
Local
Access
Remote
Availability
Remote
Access
Local
Privileged
Remote
Privileged

 

MS16-037 複数のInternet Explorer (IE)用セキュリティ更新プログラム KB3148541
MS16-038 複数のMicrosoft Edge用セキュリティ更新プログラム KB3148531
MS16-039 Microsoft Graphics Component用のセキュリティ更新プログラム KB3148522
MS16-040 Microsoft XML Core Service用のセキュリティ更新プログラム KB3148541
MS16-041 .NET Framework用のセキュリティ更新プログラム KB3148789
MS16-042 Microsoft Office用のセキュリティ更新プログラム KB3148775
MS16-044 Windows OLE用のセキュリティ更新プログラム KB3146706
MS16-045 Windows Hyper-V用のセキュリティ更新プログラム KB3143118
MS16-046 Secondary Logon用のセキュリティ更新プログラム KB3148538
 MS16-047 SAMとLSADリモートプロトコル用のセキュリティ更新プログラム  KB3148527
 MS16-048 CSRSS用のセキュリティ更新プログラム  KB3148528
 MS16-049 HTTP.sys用のセキュリティ更新プログラム  KB3148795
 MS16-050 Adobe Flash Player用のセキュリティ更新プログラム  KB3151231


MS16-037

2016年4月の最初のパッチはInternet Explorer向けのアップデートで、典型的なIEの脆弱性がいくつか解決されています。この一覧にはCVE-2016-0160が含まれていて、IEがDLLファイルを読み込む際の入力チェック問題が公表されています。

MS16-038

今月の2番目の速報は、Microsoft Edgeに関するいくつかの脆弱性の修正です。先月は月次速報がIEとEdgeで重なる点がかなり多くみられましたが、今月は共通のCVEは1つだけです。その他のCVEは個々の速報に特有のものです。

MS16-039

今月の最も重要な速報は、Windows、.NET Framework、Skype for Business、Lync、Officeを対象とするため、大規模なものと見なされています。この速報のポイントは、出来る限り速やかにパッチを適用した方が良いという点です。2つ脆弱性が既に盛んに悪用されているからです。関係する製品数を考えると、この速報に基づいて確実に全てのアップデートを適切に適用することが重要です。このような速報の場合、1つのアップデートで全ての問題を解決出来るものではなく、システムにインストールされたアプリケーションを踏まえて複数のアップデートを適用する必要があるかも知れません。

MS16-040

この速報はMS16-037とMS16-038に類似したWebベースの攻撃ベクトルについて記載しています。この場合、攻撃者はMSXMLパーサーを呼び出す悪意のあるコードを埋め込み、ユーザーがその悪意のあるウェブサイトを閲覧する必要があります。特定のバージョンのMSXMLを搭載しないバージョンのWindowsであってもそのMSXMLがインストールされている可能性があることを忘れてはいけません。

MS16-041

.NET Framework において唯一公表されているコード実行の脆弱性はMS16-041で解決されています。影響のあるソフトウェアの一覧は一見かなり少なそうに見えますが、旧バージョンの.NET Frameworkに対するサポートを1月に遡って終了するというMicrosoftによる注意書きがあります。

MS16-042

今月の次の速報は、複数の製品に及ぶいくつかのMicrosoft Officeの脆弱性を解決するものです。OfficeとWordに加えて全てのサポート対象バージョンのExcel用のアップデートが提供されています。SharePointとOffice Web Appsも影響を受ける一覧に含まれています。1つ重要な注意点は、Word ViewerとExcel Viewerが含まれていることです。この2つの製品に対するアップデートは企業のパッチ戦略で見落とされがちですが、複数のシステムにインストールされていることも多々あります。

MS16-044

MS16-044は、先月もアップデートされたMicrosoft OLEに影響する2つの脆弱性を解決するものです。

MS16-045

次のMS16-045は、Windows Hyper-VのゲストOSエスケープ(脱出)を解決するものです。攻撃者はゲストOSの認証情報を要求し、その後Hyper-VのホストOSでコードを実行する可能性があります。一般的にこの脆弱性によって複数のユーザーが同一ホストのゲストOSにアクセスする共有ホスティング環境でのリスクが増大します。

MS16-046

MS16-046はWindows 10固有の脆弱性(今月の2つうちの最初の方)で、 セカンダリーログオン(別名RunAs)サービスに影響するものです。この脆弱性によってログインユーザーの特権昇格を許してしまいます。

MS16-047

次は、3週間前の事前開示の発表で多くの人が待ち望んでいた今月のバグ、Badlockです。この脆弱性はMicrosoftの深刻度評価は「重要」ですがソーシャルメディアで相当議論を巻き起こしました。この脆弱性はセキュリティ・アカウント・マネージャ (SAM)とローカルセキュリティ認証(ドメインポリシー)(LSAD)プロトコルに対する中間者攻撃に関するものです。攻撃者はクライアントとサーバー間の通信にアクセスし、認証レベルをダウングレードさせたり、ユーザーになりすます可能性があります。

MS16-048

今月の次の脆弱性は、メモリ内のプロセストークンの不適切な管理に起因するクライアント/サーバー・ランタイム・サブシステム (CSRSS)のセキュリティ機能を回避するものです。この脆弱性によりログインユーザーは管理者としてコードを実行出来る可能性があります。

MS16-049

今月の最後から2番目のアップデートは、Windows 10専用の速報の2番目のもので、HTTP.sysに影響します。もっと厳密に言うと、Windows 10のHTTP 2.0実装に影響します。サービスサーバーに悪意のあるコードが送信されるとHTTP2.0のHTTP.sys実装がサービス拒否を引き起こし、結果的にシステムが反応しなくなります。これがMicrosoft製品に影響するHTTP2.0プロトコルの脆弱性で最初に報告されたものと思われます。

MS16-050

今月の最後のアップデートはMicrosoft製品に組み込まれたFlash用のFlash Playerアップデートを参照しています。この速報で参照されているCVEは以下のAPSB16-10で参照されているCVEと同一です。

追加情報

AdobeはFlash Playerの複数の脆弱性を解決するためにAPSB16-10をリリースしました。

例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に(可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。

元の記事はこちらからご覧いただけます。

 

The State of Security 日本語版 ニュースレター