Microsoft は月例セキュリティ更新プログラムの 4 月版をリリースし、今回は合計 63 件の CVE リストの脆弱性に対処しました。
今月のアップデートには、Windows、Edge、Internet Explorer、Officeといったおなじみの脆弱性に対する重要な修正に加え、Redmondが以前に予定外のアップデートで修正した脆弱性1件も含まれています。まだシステムにこれらの修正が適用されていない場合は、できるだけ早くインストールしてください。
今月のパッチのうち、ゼロデイ脆弱性に対するものは1つだけです。CVE-2018-1034はSharePointにおける権限昇格の脆弱性で、ポイズニングされたWebリクエストを介して悪用されると、攻撃者は現在のユーザーのセキュリティ権限でスクリプトを実行できるようになります。Microsoftによると、このバグが最も悪用される可能性が高いのはクロスサイトスクリプティング攻撃です。
より深刻なバグの中には、WindowsおよびWindows Serverのグラフィックコンポーネントに存在する5件のリモートコード実行の脆弱性(CVE-2018-1010、CVE-2018-1012、CVE-2018-1013、CVE-2018-1015、CVE-2018-1016)があります。これらの脆弱性を悪用すると、攻撃者は特別に細工したフォントを介してPCを乗っ取ることが可能になり、場合によっては、標的のPCが閲覧するWebページにフォントを配置するだけで乗っ取られる可能性もあります。
「Duqu を経験した私たちは、フォント関連のバグを見るといつも少し身震いしますが、今回のバグはまさに身震いするほどです」と、Zero Day Initiative の Dustin Childs 氏は書いています。
「フォントを表示する方法はウェブ閲覧、ドキュメント、添付ファイルなど多岐にわたるため、攻撃対象領域が広く、攻撃者にとって魅力的です。」
脚本、脚本、そしてまた脚本
EdgeとInternet Explorerでは、スクリプトエンジンに関する通常のバグ修正が行われました。両ブラウザでは、メモリ破損およびリモートコード実行に関するスクリプト脆弱性が合計10件修正されました。また、Internet Explorerでは、メモリ破損およびリモートコード実行に関する脆弱性が4件(CVE-2018-0870、CVE-2018-0991、CVE-2018-1018、CVE-2018-1020)修正されました。
一方、Office では、VBScript のリモート コード実行の脆弱性 (CVE-2018-1004)、Excel の脆弱性 (CVE-2018-0920)、.RTF ファイルを処理するアプリの情報漏洩の脆弱性 (CVE-2018-0950) など、多数の厄介なバグが修正されています。
サーバー管理者は、悪意のある VM がハイパーバイザー外部のホスト システムのメモリ内容を表示できる情報漏洩の脆弱性である CVE-2018-0957 の修正に注目する必要があります。
3月の狂乱メルトダウン!マイクロソフトのパッチのためのパッチのためのパッチは、さらに別のパッチを必要とするかもしれない
続きを読む
月例アップデートには、CVE-2018-0986 のパッチも含まれていた。これは、Windows Defender のリモート コード脆弱性で、Microsoft が数年前にフォークしたオープンソースのアーカイブ ツールに起因している。
Childs氏は、Malware Protection Engineは月次パッチスケジュールに含まれていないため、これは「アウトオブバンド」修正とはみなされないと指摘しています。彼の指摘は技術的には正しいです(最高の意味で正しいです)。
マイクロソフトは4月のアップデートにハードウェア修正をこっそりと盛り込みました。このパッチには、ワイヤレス850キーボードの特に厄介なバグCVE-2018-8117への修正が含まれています。このバグは、攻撃者が古いAESによるセキュリティチェックを回避し、キー入力を記録したり、ワイヤレスキーボードからPCに送信されるパケットを乗っ取って不正に挿入したりすることを可能にします。
また、最近の AMD プロセッサをお持ちの場合は、チップ ファミリの Spectre CPU 欠陥修正が含まれているため、KB4093112 をインストールしてください。
これで Windows の使用は完了です...
Windows アップデートをインストールしたら、Adobe から今月の修正プログラムを確実に取得してください。
これらには、3件のリモートコード実行脆弱性と3件の情報漏洩脆弱性を修正するFlash Playerのアップデートが含まれています。Microsoftは、Internet Explorer版のFlash Player向けに独自のパッチを公開しています。
ColdFusion ユーザーは、5 つの欠陥 (リモート コード実行の脆弱性 1 件、情報漏洩のバグ 3 件、およびローカル権限昇格の脆弱性 1 件) に対処するためにアップデートをダウンロードする必要があります。
Adobe はまた、Experience Manager の 3 つのクロスサイト スクリプティングのバグ、InDesign のメモリ破損と権限昇格の脆弱性、Digital Editions の情報漏洩の脆弱性、および PhoneGap プラグインの同一オリジン メソッド実行の脆弱性に対する修正もリリースしました。®
