Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

本日のVERTアラートは新規Microsoftセキュリティ情報について9件を取り上げています。VERTは24時間SLAを満たす様、これらの情報を積極的にお知らせし、8月10日水曜日にASPL-684をリリースする予定です。

リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化

Automated Exploit
Easy
Moderate
Difficult
Extremely Difficult
No Known Exploit
MS16-100
MS16-103
MS16-095
MS16-096
MS16-097
MS16-099
MS16-102
MS16-101 MS16-098
Exposure
Local
Availability
Local
Access
Remote
Availability
Remote
Access
Local
Privileged
Remote
Privileged

MS16-095 複数のInternet Explorer(IE)用セキュリティ更新プログラム KB3177356
MS16-096 複数のMicrosoft Edge用セキュリティ更新プログラム KB3177358
MS16-097 Microsoft Graphics Components用セキュリティ更新プログラム KB3177393
MS16-098 Windows Kernel-Mode Drivers用セキュリティ更新プログラム KB3178466
MS16-099 Microsoft Office用セキュリティ更新プログラム KB3177451
MS16-100 Secure Boot用セキュリティ更新プログラム KB3179577
MS16-101 Security Update for Windows Authentication Methods KB3178465
MS16-102 Microsoft Windows PDF Library用セキュリティ更新プログラム KB3182248
MS16-103 ActiveSyncProvider用セキュリティ更新プログラム KB3182332

MS16-095

今月もInternet Explorerのアップデートからです。CVEのいくつかはInternet Explorer固有のものですが、大半のCVEはIEとEdgeで共通しています。このアップデートに関しては一つ興味深い事項が記されています。「CVE-2016-3321のみ: 攻撃者は有効なログオン証明書を持たなければならず、それによってこの脆弱性を悪用するためにローカルにログオンすることができる。」このような特定の範囲に限定されたInternet Explorerの問題を目にすることは稀です。

MS16-096

MS16-095に続き、今月2つ目はMicrosoft Edgeのアップデートです。上述の通り、数多くの脆弱性が両アップデートに存在していますが、固有の脆弱性も混在しています。MS16-095に含まれない2つのCVEのうちの1つはMS16-102にも含まれていますが、CVE-2016-3296はこのアップデート固有のものです。このCVEはChakra JavaScriptのスクリプティングエンジンにおける脆弱性を記述しています。

MS16-097

次のアップデートは我々が時折目にする大量のアップデートのうちの1つです。単一の製品または製品群をカバーするのではなく、幅広い製品群に適用します。Microsoft Windows、Office 2007、Office 2010、Skype for Business、Lyncはすべてこのアップデートによりパッチが適用されます。この製品向けのアップデートFAQには興味深いことが記載されています。

影響のあるソフトウェアとしてリストに入っているOffice 2010を使用しています。しかし、なぜ私にはアップデートが提供されていないのでしょうか?

このアップデートは、Windows Vistaおよびそれ以降のバージョンのWindows上のOffice 2010には適用されません。なぜなら、脆弱性を含むコードが存在しないためです。

これは、Microsoft Office 2010がサポートされないオペレーティングシステムにインストールされている場合のみ脆弱性があることを意味しています。

MS16-098

月例パッチの中でも重要なWindows Kernel-Mode Drivers、特にWin32kに関するアップデートです。このアップデートは、4つの特権昇格の脆弱性を解決します。

MS16-099

今月のMicrosoft Officeのアップデートは、サポートされているすべてのバージョンのMicrosoft Word、Office、OneNoteにかかる問題を解決します。このアップデートに関する重要な記述として、CVE-2016-3316はPreview Paneを介して悪用される可能性があるため致命的であると記されています。そのため、このアップデートを優先的に実施することが重要です。

MS16-100

今年100番目のアップデートは、攻撃者に高レベルの保護機能を回避させるだけでなくBitLockerやDevice Encryption 向けのIntegrity Validation を回避させてしまうWindows Secure Boot にある脆弱性を解決します。これにより、攻撃者は整合性チェックを無効化し、テスト署名された実行ファイルやドライバーをロードすることができてしまいます。

MS16-101

Windows認証に関連した2つの脆弱性です。1つはドメインコントローラーとのセキュアでないNetlogon通信を修正するものであり、もう1つはパスワード変更失敗時にKerberos認証がNTLMへ戻ることを防止するものです。

MS16-102

今月最後から2番目のアップデートは、Microsoft PDFライブラリの脆弱性を解決するものです。このCVEはまたMicrosoft Edge累積アップデートでも参照されています。

MS16-103

今月最後のアップデートは、Universal Outlookがターゲットとなるサーバとセキュアな通信を適切に確立することができないことによってユーザ証明書を公開してしまうという、ActiveSyncProviderの脆弱性を解決するためのWindows 10の修正です。

追加情報

例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に(可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。

元の記事はこちらからご覧いただけます。

 

The State of Security 日本語版 ニュースレター