Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

本日のVERTアラートでは、14件の新しいMicrosoftセキュリティ情報を取り上げています。VERTは24時間SLAを満たすよう、これらの情報を積極的にお知らせし、9月14日水曜日にASPL-689をリリースする予定です。

リスクテーブル : 悪用されやすいか(公表されたエクスプロイトが存在するか)、悪用された場合に取得される権限でマトリクス化

Automated Exploit
Easy
Moderate
Difficult
Extremely Difficult
No Known Exploit
MS16-113
MS16-115
MS16-104
MS16-105
MS16-107
MS16-111
MS16-112
MS16-114
MS16-116
MS16-117
MS16-108 MS16-106
MS16-110
Exposure
Local
Availability
Local
Access
Remote
Availability
Remote
Access
Local
Privileged
Remote
Privileged

MS16-104 複数の Internet Explorer (IE) 用セキュリティ更新プログラム KB3183038
MS16-105 複数のMicrosoft Edge用セキュリティ更新プログラム KB3183043
MS16-106 Microsoft Graphics Components用セキュリティ更新プログラム KB3185848
MS16-107 Microsoft Office 用セキュリティ更新プログラム KB3185852
MS16-108 Microsoft Exchange Server 用セキュリティ更新プログラム KB3185883
MS16-109 Silverlight 用セキュリティ更新プログラム KB3182373
MS16-110 Microsoft Windows 用セキュリティ更新プログラム KB3178467
MS16-111 Windows Kernel 用セキュリティ更新プログラム KB3186973
MS16-112 Windows Lock Screen 用セキュリティ更新プログラム KB3178469
MS16-113 Windows Secure Kernel Mode 用セキュリティ更新プログラム KB3185876
MS16-114 Windows SMBv1 Server 用セキュリティ更新プログラム KB3185879
MS16-115 Microsoft Windows PDF Library 用セキュリティ更新プログラム KB3188733
MS16-116 VBScript Scripting Engine の OLE オートメーション 用セキュリティ更新プログラム KB3188724
MS16-117 Adobe Flash Player 用セキュリティ更新プログラム KB3188128

MS16-104

今月も Internet Explorer のアップデートから始めますが、IE のゾーンと整合性の設定、クロスオリジン コンテンツ、メモリ内オブジェクトと URLファイルの処理に関する問題に対応する更新プログラムが含まれています。IEアップデート 3185319 と OLE オートメーションアップデート 3184122 の双方が解決されるまで、CVE-2016-3375は完全に解決されないことに留意してください (MS16-116)。さらに、Microsoft が今年初め、多数の IE 製品のサポート終了を宣言したことを注意喚起しましょう。未だにサポート終了となったブラウザをお使いの方は、この情報から脆弱性がないと判断しないでください。Microsoft は、サポート対象のソフトウェアのみを、脅威対象ソフトウェアリストに掲載しています。

CVE-2016-3351 は、悪用されています。

MS16-105

多くの場合と同様、今月の Microsoft Edge情報には、Internet Explorer 情報との重複が多数見られます。さらに、Chakra JavaScript エンジンと、ASLR バイパスの脆弱性は、このアップデートで解決されています。

MS16-106

この情報では、コード実行、特権昇格と情報漏えいを含む、Win32k とGDI に影響を与える脆弱性を解決します。この情報の興味深い留意事項のひとつは、重大なコード実行の脆弱性は、最新リリースの Windows 10  (ビルド 1607) のみに影響するということです。

MS16-107

今月の Microsoft Office アップデートは、各種の Office Viewer、SharePoint、Office Web Apps と Office Online Server など、Microsoft Office スイートと、スタンドアロン製品をともに含んだ、大きな影響のあるソフトウェアに対応します。この速報の興味深い留意事項のひとつに、重大なコード実行の脆弱性は、最新リリースの Windows 10 (ビルド 1607) のみに影響するということがあります。特に、Microsoft Outlook は、RFC 2046、MIME Part Two: Media Types を守りません、メールがウイルス対策とスパム対策ソリューションをバイパスする可能性があります。

MS16-108

ここで取り上げた、3 つの Microsoft Exchange 固有の脆弱性に加え、Oracle Outside In ライブラリを取り上げた、2016 年 7 月の Oracle Critical Patch Update(CPU) の 18 件のCVE も取り上げられています。

MS16-109

次に、ひとつの Microsoft Silverlight の脆弱性がありますが、これは、StringBuilder に文字列を挿入および追加する場合に Silverlight がメモリを割り当てる方法を変更することで解決されました。

MS16-110

MS16-110 は、特に興味深い、CVE-2016-3352 をはじめとする、多数の Windows 固有の脆弱性を解決します。この情報漏えいをひきおこす脆弱性は、ユーザに強制的に悪意のある Web サイトまたは SMB サーバにアクセスさせることで、Windows アカウントの資格情報を NTLM パスワード ハッシュとして漏えいさせます。このパッチは、NTLM SSO 認証が公開されたサービスに送信される状況を変更します。

CVE-2016-3352 は公開されています。

MS16-111

この情報は、Windows カーネルの多数の特権昇格の脆弱性を解決します。

MS16-112

この情報は、Windows Lock Screen のひとつの特権昇格の脆弱性を解決します。この脆弱性を悪用するためには、攻撃者は、コンピュータに物理的にアクセスでき、悪意のあるホットスポットに接続する必要があります。

MS16-113

MS16-113 は、Windows 10 のみに影響を及ぼす、ひとつの Windows Secure Kernel Mode の情報漏えいの脆弱性を解決します。

MS16-114

今月の非常に興味深い脆弱性のひとつとして、MS16-114 では、SMBv1 を実行するサーバに対してコード実行される可能性のある脆弱性について記載しています。攻撃者は、システムを思い通りにするにはホストに認証でき、ファイルをオープンできる必要があります。パッチのほかにも、Microsoft は、すぐにパッチを適用できないシステムのために SMBv1 をオフにするためのステップを発表しました。

MS16-115

Microsoft PDF Library の脆弱性は、リリースからほぼ定期的に発生しています。この情報は Microsoft PDF Library の2つの情報漏えいの脆弱性を解決します。ここで説明した 2 つの脆弱性に見覚えがあるかもしれませんが、それは、Microsoft Edge 情報 (MS16-105) でも言及されていたからです。

MS16-116

今月の最後から 2 番目のアップデートは、OLE オートメーション メカニズムと IE の VB Script Scripting エンジン間の対話に存在するひとつの脆弱性を解決します。これは、MS16-104 に見られるのと同様の脆弱性で、この脆弱性を修正するには、2 つのアップデートをインストールする必要があります。

MS16-117

今月最後の情報は、APSB16-29で見つかったAdobe Flash Playerに関する脆弱性に対するものです。 システムに導入されているソフトウェアによっては、MicrosoftとAdobeのアップデート両方をインストール必要があるかもしれないことに留意ください。

追加情報

例によってVERT は、これら全てのパッチを出来る限り速やかに適用することを推奨しています。同時に (可能であれば)十分パッチを検証してから本番システムに適用することをお勧めしています。

元の記事はこちらからご覧いただけます。

 

The State of Security 日本語版 ニュースレター