執筆者:Jaeson Schultz
今月も Microsoft Patch Tuesday が発表されました。新しいセキュリティの脆弱性からシステムを保護する時期がまたやってきたということです。今月のリリースには 50 件のセキュリティ脆弱性に対応する 14 の報告が含まれています。そのうち重大度が「緊急」と評価された報告は 7 つあります。これらの「緊急」の報告は、Internet Explorer、Microsoft Edge、Microsoft Graphics コンポーネント、Microsoft Exchange Server、Microsoft Office、VBScript スクリプト エンジンの OLE オートメーション、Adobe Flash Player に影響があります。残りの 7 つの報告は、Silverlight、Windows、Windows カーネル、Windows のロック画面、Windows セキュア カーネル モード、Windows SMBv1 サーバ、および Microsoft Windows PDF ライブラリに影響します。
緊急と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-104、MS16-105、MS16-106、MS16-107、MS16-108、MS16-116、MS16-117 が緊急と評価されています。
MS16-104 と MS16-105 は、それぞれ Internet Explorer と Edge に関する今月のセキュリティ報告です。これらの報告は、主にメモリ破損と情報漏えいに関する合計 22 件の脆弱性に対応しています。6 件は IE と Edge に共通であり、両方に影響します。両方の製品に影響を及ぼす最も重大な脆弱性はメモリ破損に関する脆弱性で(CVE-2016-3295)、メモリ内のオブジェクトの処理方法に問題があります。攻撃者は、ユーザを巧妙に細工された Web ページに誘導することにより、リモート コードを実行する可能性があります。
MS16-106 では、Microsoft Graphics コンポーネントに存在する少数の脆弱性に対応しています。最も深刻な脆弱性(CVE-2016-3356)は、Windows のグラフィックス デバイス インターフェイス(GDI)がメモリ内のオブジェクトを処理する方法に影響します。攻撃者は、ユーザを巧妙に細工された Web ページに移動させたり、ユーザに細工されたドキュメント ファイルを開かせることで、リモート コードを実行できます。
MS16-107 では、Microsoft Office に関連する 13 件の脆弱性を修正します。脆弱性の大部分は、メモリ破損の脆弱性、セキュリティ機能のバイパス、そしてスプーフィングに関するものです。この報告で最も緊急性の高い脆弱性は CVE-2016-3357です。細工された MS Office ファイルをユーザに開かせることに成功した攻撃者は、リモート コードを実行することができるようになります。
MS16-108 では、Microsoft Exchange に関する 3 件の脆弱性を解決します。Talos ブログの読者であれば、7 月のブログで取り上げたTalos が特定した Oracle の Outside In Technology 内の脆弱性に関する説明を覚えているかもしれません。Oracle の Outside-In は、多様なファイル タイプの解析に使用するソフトウェア ライブラリです。攻撃者は、カスタム ファイルを作成することで、リモート コードを実行する可能性があります。
MS16-116 では、VBScript スクリプト エンジンの OLE オートメーションの脆弱性に対応しています。この脆弱性を悪用し、標的のマシンでコードを実行するためには、攻撃者はユーザに侵害を受けた Webサイトまたは悪意のある Web サイトを閲覧させる必要があります。Microsoft 社によると、この脆弱性からシステムを保護するためには、この更新プログラムと MS16-104 の報告に含まれる更新プログラムの 2 つをインストールする必要があることに注目してください。
MS16-117 は、Internet Explorer および Microsoft Edge に含まれる Adobe Flash ライブラリを更新します。この報告は、Adobe のセキュリティ情報 APSB16-29で特定された 29 件の脆弱性すべてを修正します。実際のところ、Adobe Flash では次々と脆弱性が特定されているため、ユーザは管理されていない Web ブラウザで Flash が実行されないように対策を講じる必要があります。
重要と評価された報告
MS16-109 では、StringBuilder で文字列を挿入および追加する際の Microsoft Silverlight のメモリの割り当て方に存在する脆弱性に対応します。ユーザがカスタムの Silverlight アプリケーションを表示するよう誘導することによって、リモート コードが実行される可能性があります。
MS16-110 では、Microsoft Windows の 4 件の脆弱性を解決します。この報告によって対処される脆弱性を悪用することで、攻撃者は権限を昇格させたり、ユーザの NTLM パスワード ハッシュにブルート フォース攻撃をしかけたり、DoS 攻撃を行ったり、さらには昇格された権限を使って任意のコードを実行したりする可能性があります。
MS16-111 では、Windows カーネルに存在する少数の権限昇格の脆弱性を修正します。脆弱性はすべて権限昇格に関するもので、攻撃者がシステム上でカスタム設計のアプリケーションを実行することで引き起こされます。
MS16-112 では、Windows のロック画面の 1 件の脆弱性に対応します。この脆弱性によって、Windows のロック画面から Web コンテンツが読み込まれる場合があります。ロックがかかったユーザのコンピュータに物理的にアクセスできる攻撃者は、コンピュータを悪意のある Wi-Fi ホットスポットに接続したり、標的のコンピュータにモバイル ブロードバンド アダプタを挿入します。この脆弱性が悪用された場合、攻撃者はユーザのコンピュータ上でコードを実行する可能性があります。
MS16-113 では、Windows 保護カーネル モードがメモリ内のオブジェクトを不適切に処理した場合に起こる情報漏えいの脆弱性 1 件を解決します。ローカルで認証された攻撃者は、標的のシステムでアプリケーションを実行することで、この脆弱性を悪用できます。この情報漏えいの脆弱性だけでは、十分にシステムを侵害できないことに留意してください。システムを完全に侵害するためには、攻撃者はこの脆弱性を他の脆弱性と一緒に悪用する必要があります。
MS16-114 では、Windows Server Message Block 1.0(SMBv1)サーバでリモート コードが実行される 1 件の脆弱性を解決します。この脆弱性を悪用するには、SMBv1 サーバの認証を受けた攻撃者が、対象の SMBv1サーバでファイルを開く権限を取得している必要があります。
MS16-115 では、Microsoft Windows PDF ライブラリに存在する複数の情報漏えいの脆弱性を修正します。これらの脆弱性は、Windows PDF ライブラリがメモリ内のオブジェクトを処理する方法に存在します。これらの脆弱性を悪用することで、攻撃者は標的システムへの侵害の度合いを強めるために使用できる追加情報を取得する可能性があります。
カバレッジ
Talos は Microsoft と Adobe 両社の情報開示に応じて、次の Snort ルールをリリースしています。これらのルールは、新しい脆弱性情報が公開されるまでの間に変更される場合があります。最新のルールの詳細については、FireSIGHT Defense Center、または Snort.org を参照してください。
- Microsoft のセキュリティ報告の SID:40129、40146、40035-40036、40073-40080、40082-40124、40127-40128、40132-40145、40147-40150
- Adobe のセキュリティ報告の SID:40151-40181
本稿は 2016年9月1日に Talos Group のブログに投稿された「Microsoft Patch Tuesday – September 2016」の抄訳です。