2016 年 3 月度の Patch Tuesday が到来しました。Microsoft は本日、製品内のセキュリティの脆弱性に対応するための、月次セキュリティ報告をリリースしました。
今月のリリースには、44 の脆弱性に対応する 13 の報告が含まれています。5 つの報告が緊急と評価され、Edge、Graphic Fonts、Internet Explorer、Windows Media Player、Windows PDF の脆弱性に対応しています。その他 8 つの報告が重要と評価され、.NET、Office、およびその他の Windows コンポーネントの脆弱性に対応しています。
緊急と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-023、MS16-024、MS16-026 ~ MS16-028 が、緊急であると評価されています。
MS16-023 と MS16-024 は、それぞれ Internet Explorer と Edge に関する今月のセキュリティ報告です。この 2 つの報告にまたがる合計 24 の脆弱性に対する対策が実施されています。そのうち 5 つの脆弱性は Edge と IE の両方に共通しています。IE セキュリティ報告では 13 のメモリ コラプションに対応し、Edge セキュリティ報告では 10 のメモリ破損と、1 つの情報漏えいのバグに対応しています。この情報漏えいのバグは、Edge でリファラ ポリシーが不適切に処理され、ユーザの要求コンテンツまたは閲覧履歴が漏洩する可能性に関連しています。
MS16-026 は、Windows Adobe Type Manager Library での 2 つの非公開の脆弱性に対応しています。2 つのうち特に深刻な脆弱性である CVE-2016-0121 は、リモート コード実行の脆弱性です。もう一方の脆弱性 CVE-2016-0120 はサービス妨害の不具合であるため、重大度は中程度であると評価されています。どちらの脆弱性も、OpenType フォントが正しく解析されなかったことが原因です。これら 2 つの脆弱性の不正利用は、巧妙に細工されたドキュメントを開くか、巧妙に細工されて埋め込まれた OpenType フォントが含まれている Web ページにアクセスした場合に行われます。これらの攻撃のリスクを軽減する回避策が提供されています。詳細については、セキュリティ報告を参照してください。
MS16-027 は、Windows Media Player の 2 つの深刻な脆弱性に対応しています。CVE-2016-0101 と CVE-2016-0098 はどちらも、メディア コンテンツの不適切な解析を原因とする、リモート コード実行の脆弱性です。これらの脆弱性の不正利用は、たとえばユーザがアクセスする Web サイトに攻撃者が巧妙に細工されたメディア コンテンツを埋め込んだ場合に行われます。
MS16-028 は、任意のコード実行の原因となる、Windows PDF Library の 2 つの脆弱性に対応しています。CVE-2016-0117 と CVE-2016-0118 は、どちらもライブラリによる PDF ファイルの解析方法における不具合です。これら 2 つの脆弱性の不正利用は、巧妙に細工された PDF ファイルを開いた場合に行われます。2 つの脆弱性のいずれかの不正利用による任意のコード実行は、現在のユーザのコンテキストに限定されます。
重要と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-025、MS16-029 ~ MS16-035 が重要であると評価されています。
MS16-025 は、ライブラリのロード中の入力検証の不具合による任意のコード実行の脆弱性である、CVE-2016-0100 に対応しています。この脆弱性は、特定のライブラリをロードする前に、Windows が入力を適切に検証してサニタイズしなかった場合に発生します。認証された攻撃者が、この脆弱性を不正利用する悪意のあるアプリケーションを実行すると、現在のユーザの内容で任意のコードを実行できます。この脆弱性は、Windows Vista Service Pack 2 および Windows 2008 Service Pack 2(Server 2008 R2 を除く)に対してのみ影響します。
MS16-029 は今月の Office セキュリティ報告であり、3 つの非公開の脆弱性に対応しています。2 つの脆弱性(CVE-2016-0021 および CVE-2016-0134)は、Office ドキュメント ファイルの不適切な解析によるメモリ破損の脆弱性で、任意のコード実行の原因になります。3 つ目の脆弱性 CVE-2016-0057 は、Office バイナリが不適切に署名された場合に生ずる、セキュリティ機能バイパスです。CVE-2016-0057 の不正利用は、攻撃者が署名が無効なバイナリファイルの場所の書き込み権限を持ち、そのバイナリファイルを悪意のあるコードを含んだ内容で上書きすることで行われます。
MS16-030 は、Windows Object Linking and Embedded(OLE)の 2 つの非公開の脆弱性に対応しています。CVE-2016-0091/0092 はどちらも、任意のコード実行の脆弱性であり、Windows OLE が入力を適切に検証しサニタイズしなかった場合に発生します。これら 2 つの脆弱性の不正利用は、悪意のある巧妙に細工されたアプリケーションを実行し、現在のユーザのコンテキストで任意のコードが実行された場合に行われます。
MS16-031 は、Windows 内の非公開の権限昇格の脆弱性である CVE-2016-0087 に対応しています。CVE-2016-0087 は、Windows がユーザ偽装レベルを適切に検証して適用しなかった場合に発生します。この脆弱性の不正利用は、認証された攻撃者が、この不具合を利用する巧妙に細工されたアプリケーションを実行した場合に行われます。影響を受けるのは Windows Vista、Windows Server 2008, Windows 7、Windows Server 2008 R2 のみです。
MS16-032 は、Windows Secondary Logon Service での非公開の権限昇格の脆弱性である、CVE-2016-0099 に対応しています。CVE-2016-0099 は、Windows Secondary Logon Service がメモリ内の要求を処理する際の不具合として発生します。それにより、認証された攻撃者は、この不具合を利用する巧妙に細工された実行ファイルを実行して、ターゲットとするシステムの管理権限を取得できます。
MS16-033 は、Windows USB Mass Storage Class ドライバでの非公開の権限昇格の脆弱性である、CVE-2016-0133 に対応しています。CVE-2016-0133 は、USB Mass Storage Class ドライバがメモリ内のオブジェクトを検証して処理できなかった場合に発生します。攻撃者がこの脆弱性を不正利用するには、システムへの物理的なアクセスが必要です。攻撃者は、この脆弱性を不正利用する悪意のある巧妙に細工された USB デバイスを挿入して、カーネル モードで任意のコードを実行することができます。
MS16-034 は、Win32k での非公開の 4 つの権限昇格の脆弱性に対応しています。CVE-2016-0093 から CVE-2016-0096 は、すべてカーネル モード ドライバがメモリ内のオブジェクトを適切に処理できなかった場合に発生します。これらの脆弱性により、攻撃者がカーネル モードで任意のコードを実行する可能性があります。不正利用を行うには、攻撃者は認証を受けた上で、これらの弱点を利用する巧妙に細工されたアプリケーションを実行する必要があります。
MS16-035 は、.NET Framework 内のセキュリティ機能をバイパスする非公開の脆弱性である CVE-2016-0132 に対応しています。CVE-2016-0132 は、署名済み XML ドキュメント内の特定の要素を適切に検証できなかった場合に発生します。それにより攻撃者は、この脆弱性を不正利用して、XML ファイルのコンテンツをファイルの署名を無効にすることなく変更できます。
カバレッジ
Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Defense Center、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:38061 ~ 38086、38088 ~ 38101、38106 ~ 38115、38117 ~ 38120、38122 ~ 38123
本稿は 2016年3月8日に Talos Group のブログに投稿された「MICROSOFT PATCH TUESDAY – MARCH 2016」 の抄訳です。