Microsoft Patch Tuesday – 2016 年 10 月
10 月度の Patch Tuesday がリリースされました。Patch Tuesday は、Microsoft が脆弱性に対応するために毎月提供しているセキュリティ情報ですが、今回のリリースでは、新たに公開された 37 件のセキュリティ ホールに対する修正が提供されています。合計 10 件の報告のうち 5 件が「緊急」と評価され、Edge、Graphics コンポーネント、Internet Explorer、ビデオ コントロール、Adobe Flash Player の脆弱性に対応しています。また 4 件の報告が「重要」と評価され、Office、Windows 診断ハブ、Windows カーネルモード ドライバ、Windows レジストリの問題に対応しています。「警告」と評価されたのは 1 件で、Microsoft Internet Messaging API の問題に対応しています。
「緊急」と評価された報告
「緊急」と評価されたのは次の報告です:MS16-118、MS16-119、MS16-120、MS16-122、MS16-127
MS16-118 と MS16-119 は、それぞれ Internet Explorer と Edge に関する今月のセキュリティ報告です。Internet Explorer については 11 件の脆弱性、Edge については 13 件の脆弱性が修正されたことがそれぞれ報告されています。また、7 件の脆弱性が Internet Explorer と Edge の両方に影響することが明らかになっています。修正された脆弱性の大半はメモリ破損に関するもので、これを悪用すると任意のコードを実行できる可能性があります。その他に、権限の昇格と情報漏えいに関する複数の問題が今月のリリースで修正されています。
MS16-120 では、Microsoft Graphics コンポーネントに関する 7 件の脆弱性に対応しています。CVE-2016-3393 と CVE-2016-3396 では、それぞれ GDI コンポーネントとフォント ライブラリで任意のコードを実行できる問題が報告されています。これら 2 つの不具合は、特別に細工された Web サイトにユーザがアクセスするか、または、この不具合を利用するために細工されたファイルを開くことにより、悪用が可能になります。権限昇格に関する 2 つの不具合が報告された、CVE-2016-3270 と CVE-2016-7182 も対応されました。ここでは、TrueType フォントの解析方法における不具合と、特別に細工されたアプリケーションにより管理者権限に昇格されてしまう不具合が報告されています。残りの 3 件の脆弱性(CVE-2016-3209、CVE-2016-3262、CVE-2016-3263)は、ASLR の回避に利用される可能性のある、情報漏えいに関するものです。
MS16-122 では、CVE-2016-0142 に対応しています。これは、Microsoft のビデオ コントロールにおいて任意のコード実行が可能となる脆弱性です。この脆弱性は、メモリ内における不適切なオブジェクト処理によるもので、特別に細工されたファイルを開いたり、悪意のある実行ファイルを起動することにより、悪用される可能性があります。攻撃シナリオとしては、電子メールを受信したユーザがファイルや実行ファイルを自分のマシンにダウンロードして実行するケースなどが考えられます。
MS16-127 は、Internet Explorer と Edge に組み込まれた Adobe Flash Player をアップデートすることにより、APSB16-32 で修正されたすべての脆弱性に対応しています。Adobe Flash Player に関する報告の詳細については、Adobe の Web サイトに掲載されているセキュリティ情報を参照してください。
「重要」と評価された報告
「重要」と評価されたのは次の報告です:MS16-121、MS16-123、MS16-124、MS16-125
MS16-121 は、CVE-2016-7193 で報告された、Microsoft Office のすべてのサポート対象バージョンにおける任意のコード実行の脆弱性に対応しています。CVE-2016-7193 は、Microsoft Office がリッチ テキスト形式(RTF)ファイルを解析および処理する際のメモリ破損に関するものです。この不具合を悪用するために特別に細工されたファイルをユーザが開くことによって、脆弱性の悪用が可能になります。
MS16-123 は、Windows カーネルモード ドライバで発見された、ローカル権限昇格に関する 5 件の脆弱性に対応しています。これら 5 件の脆弱性はすべて、特別に細工されたバイナリ コードを認証ユーザが実行することにより、悪用される恐れがあります。5 つのうち、4 つの脆弱性(CVE-2016-3266、CVE-2016-3376、CVE-2016-7185、CVE-2016-7211)はカーネル自体に関するもので、残りの 1 つの脆弱性(CVE-216-3341)は Windows の Transaction Manager に関するものです。
MS16-124 は、Windows カーネルにおけるローカル権限昇格の 4 つの脆弱性に対応しています。4 つの脆弱性(CVE-2016-0070、CVE-2016-0073、CVE-2016-0075、CVE-2016-0079)では、Windows カーネル API がレジストリの機密情報の取得をユーザに対して不適切に許可し、管理者権限への昇格に利用されてしまう可能性がありました。これらの脆弱性は、特別に細工した実行ファイルをターゲット マシン上で起動することにより、悪用される可能性があります。
MS16-125 では、Windows 診断ハブでの権限昇格の脆弱性(CVE-2016-7188)に対応しています。CVE-2016-7188 は、Windows 診断ハブ標準コレクター サービスがユーザによる入力を適切にサニタイズできず、結果としてライブラリが安全ではない状態でロードされていたことが原因でした。この脆弱性を利用するために特別に細工された実行ファイルを認証ユーザが起動すると、悪用される可能性があります。
「警告」と評価された報告
MS16-126 は、今月、「警告」と評価された唯一のセキュリティ報告です。この報告は、Microsoft Internet Messaging API で発生する情報漏えいの脆弱性(CVE-2016-3298)に対応しています。CVE-2016-3298 は、メモリ内におけるオブジェクト処理の欠陥が原因でした。悪用された場合、ディスク上にファイルが存在するかどうかのテストを攻撃者に許可してしまう可能性がありました。この脆弱性を利用しようとする悪意ある Web サイトにユーザがアクセスした場合に、脆弱性が悪用される恐れがあります。
カバレッジ
Talos はこれらの報告の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール
- Microsoft のセキュリティ報告:40364 ~ 40381、40383 ~ 40405、40408 ~ 40412、40418 ~ 40428
Tags:本稿は 2016年10月11日に Talos Group
のブログに投稿された「Microsoft Patch Tuesday – October 2016
