Cisco Japan Blog

Microsoft Patch Tuesday – 2016 年 12 月

1 min read



2016 年最後の月例パッチが公開されました。Microsoft は本日、製品内のセキュリティの脆弱性に対応するための月次セキュリティ報告をリリースしました。今月のリリースには、48 の脆弱性に対応する 12 件の報告が含まれています。6 件の報告が「緊急」と評価されており、Internet Explorer、Edge、Microsoft Graphics コンポーネント、Microsoft Uniscribe、および Adobe Flash Player の脆弱性に対応しています。その他 7 つの報告が「重要」と評価されており、カーネル、暗号化ドライバ、インストーラを含む各種 Windows コンポーネントの脆弱性に対応しています。

「緊急」と評価された報告

今月の Microsoft のセキュリティ報告では、MS16-144 ~ MS16-148、および MS16-154 の脆弱性が「緊急」と評価されています。

MS16-144popup_icon は、今月の Internet Explorer 関連の報告です。これは合計 9 個の脆弱性に対応しており、各種のメモリ破損(CVE-2016-7202、CVE-2016-7279、CVE-2016-7283、CVE-2016-7287、CVE-2016-7293)、セキュリティ機能のバイパス(CVE-2016-7281、CVE-2016-7282)、情報漏洩に関するバグ(CVE-2016-7278、CVE-2016-7284)を含んでいます。このうち最も深刻な脆弱性では、巧妙に細工された Web ページに Internet Explorer からアクセスするとリモートでコードが実行される危険性があります。この脆弱性は Internet Explorer のバージョン 9、10、および 11 に影響します。脆弱性の重要度は、使用中の Internet Explorer と Windows のバージョンに応じて変化します。Windows Vista、7、8.1 および 10 のすべてが影響を受けます。また、Windows Server 2008、2012 および 2016 も影響を受けます。セキュリティの重要度は Windows クライアントでは「緊急」であるのに対して、Windows Server では「警告」です。ご注意ください。

MS16-145popup_icon は、今月の Edge browser 関連の報告です。これは合計 11 個の脆弱性に対応しており、各種のメモリ破損(CVE-2016-7181、CVE-2016-7279、CVE-2016-7286、CVE-2016-7287、CVE-2016-7288、CVE-2016-7296、CVE-2016-7297)、セキュリティ機能のバイパス(CVE-2016-7281、CVE-2016-7282)、情報漏洩バグ(CVE-2016-7206、CVE-2016-7280)を含んでいます。このうち最も深刻な脆弱性では、巧妙に細工された Web ページに Internet Explorer からアクセスするとリモートでコードが実行される危険性があります。この脆弱性は、Windows 10 および Windows Server 2016 にのみ影響します。Windows 10 の脆弱性は「緊急」、Windows Server 2016 では「警告」と評価されています。

MS16-146popup_icon の報告は、Windows Graphics Component における 3 件の脆弱性に対応しています。このうち最も深刻な脆弱性では、巧妙に細工された Web ページにアクセスするか、または巧妙に細工されたドキュメントを開くとリモートでコードが実行される危険性があります。メモリ破損の脆弱性が 2 件(CVE-2016-7272、CVE-2016-7273)、および情報漏えいの脆弱性が 1 件(CVE-2016-7257)含まれています。これらの脆弱性は、Windows Vista、7、8.1、10、Server 2008、Server 2008 R2、Server 2012、Server 2012 R2、および Server 2016 に影響します。

MS16-147popup_icon では、Windows Uniscribe においてリモートでコードが実行される脆弱性(CVE-2016-7274)に対応します。この脆弱性は、巧妙に細工された Web サイトを参照するか、または巧妙に細工されたドキュメントを開いた場合に利用される危険性があります。原因は Uniscribe がメモリ内のオブジェクトを処理する方法にあります。この脆弱性は、現在サポートが提供されている Windows の全バージョンに影響します。

MS16-148popup_icon は、今月の Microsoft Office 関連の報告です。これは合計 16 個の脆弱性に対応しており、各種のメモリ破損(CVE-2016-7263、CVE-2016-7277、CVE-2016-7289、CVE-2016-7298)、情報漏えい(CVE-2016-7257、CVE-2016-7264、CVE-2016-7265、CVE-2016-7268、CVE-2016-7276、CVE-2016-7290、CVE-2016-7291)、セキュリティ機能のバイパス(CVE-2016-7262、CVE-2016-7266、CVE-2016-7267)、権限昇格(CVE-2016-7300)、および単一 OLE DLL のサイドローディング脆弱性(CVE-2016-7275)を含んでいます。このうち最も深刻な脆弱性では、巧妙に細工された Office ドキュメントを開くとリモートでコードが実行される危険性があります。Windows 版および Mac 版のいずれの Office も影響を受けます。これには、Office 2007、2010、2013、2016、および Office 2011/2016 for Mac が含まれます。それら以外にも、Microsoft Sharepoint Server 2007/2010 上の Office サービスだけでなく Office Web Apps 2010 も影響を受けます。

MS16-154popup_icon は、今月の Adobe Flash Player 関連の報告です。これは、リモートでコードが実行される危険性がある、合計 15 件の脆弱性に対応しています。このうち最も深刻な脆弱性では、巧妙に細工された Web ページにアクセスするとリモートでコードが実行される危険性があります。この脆弱性は、Adobe Flash Player を実行している限り、現在サポートが提供されている Windows の全バージョンに影響します。唯一の代わりとなる軽減措置は、Internet Explorer や Microsoft Office で Flash Player の動作を防止することです。これはローカルだけでなく、グループ ポリシーを通して行うこともできます。

「重要」と評価された報告

Microsoft のセキュリティ報告 MS16-149 ~ MS16-153、および MS16-155 は、「重要」と評価されています。

MS16-149popup_icon では 2 件の脆弱性、すなわち Windows Crypto における情報漏えいの脆弱性(CVE-2016-7219)、および Windows Installer における権限昇格の脆弱性に対応しています。このうち最も深刻な脆弱性では、特別に細工されたアプリケーションがローカルの攻撃者により実行されると権限の昇格が起こる危険性があります。これらの脆弱性は、Windows のクライアントとサーバの両バージョンに影響します。対象には、Windows Vista、7、8.1、10、Server 2008、Server 2012、および Server 2016 が含まれます。

MS16-150popup_icon は、Windows セキュア カーネル モードにおける 1 件の権限昇格の脆弱性(CVE-2016-7271)に対応しています。このうち最も深刻な脆弱性では、特別に細工されたアプリケーションが攻撃者により実行されると権限の昇格が起こる危険性があります。攻撃が成功すると、仮想信頼レベルへの違反も起きる可能性があります。この脆弱性は、Windows 10 および Windows Server 2016 に影響します。

MS16-151popup_icon は、Windowsカーネルモード ドライバにおける 2 件の権限昇格の脆弱性(CVE-2016-7259、CVE-2016-7260)に対応しています。このうち最も深刻な脆弱性では、特別に細工されたアプリケーションが攻撃者により実行されると権限の昇格が起こる危険性があります。この脆弱性は、現在サポートが提供されている Windows の全バージョンに影響します。

MS16-152popup_icon は、Windows カーネルにおける 1 件の情報漏えいの脆弱性(CVE-2016-7258)に対応しています。この脆弱性では、Windows カーネルがメモリ内の特定オブジェクトを不適切に処理すると情報漏えいが起きる危険性があります。この脆弱性は、Windows 10 および Server 2016 に影響します。

MS16-153 は、Windows Common Log File System における 1 件の情報漏えいの脆弱性(CVE-2016-7295)に対応しています。この脆弱性では、Windows カーネルがメモリ内の特定オブジェクトを不適切に処理すると情報漏えいが起きる危険性があります。また、特別に細工されたアプリケーションを攻撃者が実行することで利用される可能性もあります。この脆弱性は、現在サポートが提供されている Windows の全バージョンに影響します。

MS16-155popup_icon は、.NET Framework における 1 件の情報漏えいの脆弱性(CVE-2016-7270)に対応しています。この脆弱性は特に .NET 4.6.2 に影響があり、さまざまな暗号化保護で保護されるはずの情報が漏えいする危険性があります。この脆弱性は、現在サポートが提供されている Windows の大半のバージョンに影響します。

カバレッジ

Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。

Snort SID:40647-40648、40936-40990、40992-40993

 

本稿は 2016年12月13日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday – December 2016popup_icon」の抄訳です。

 

コメントを書く