10 月の Patch Tuesday では、 Adobe が今月のアップデートの大量提供を控える決定をしたため、管理者とユーザーにかかるパッチの負担は比較的軽くなりました。
Microsoft の Cloudy パッチバンドル
Microsoft にとって、今回の Patch Tuesday アップデートは、Windows、Edge、Office、Azure の CVE リストに掲載されている 59 件のバグに対する対処可能なものです。
今月修正された 9 件の重大な問題の中には、仮想マシン上で実行しているエンドユーザーがホスト マシンにコードを送信して実行できる Azure の欠陥である CVE-2019-1372 があります。
これは本質的に、権限昇格のバグとリモート コード実行の脆弱性の両方であるため、特に悪質です。
「攻撃者はこの脆弱性を悪用し、ユーザーが実行した権限のない関数にシステムレベルでコードを実行させる可能性があります。これにより、攻撃者は巧妙なサンドボックスからの脱出が可能になります」と、トレンドマイクロZDIのダスティン・チャイルズ氏は説明した。
「マイクロソフトは、この脆弱性を『悪用される可能性が低い』というエクスプロイト インデックス評価で評価していますが、Azure App Service を使用している場合は、これに依存せず、パッチを適用してください。」
Azureの脆弱性以外にも、10月のアップデートでは、Microsoft製品によくあるセキュリティホールの多くに対処しています。7つの重要な修正では、汚染されたWebページを介して悪用される可能性のあるChakraおよびVBScriptツールのリモートコード実行の脆弱性が修正されています。
CVE-2019-1333 により、リモートデスクトップクライアントは依然として懸念事項となっています。この脆弱性により、悪意のある攻撃者は標的を悪意のあるサーバーに接続させることで、リモートコード実行が可能になります。
Microsoftは通常、Officeのバグを重大とは考えていませんが、管理者はCVE-2019-1327を含むこれらの脆弱性にも特に注意を払う必要があります。攻撃者は、ユーザーを騙して不正なファイルを開かせることで、リモートコード実行を実行される可能性があります。
ビジネス環境においてユーザーが Excel スプレッドシートの添付ファイルを何の考えもなく開く頻度を考慮すると、この欠陥はブラウザベースの欠陥と同じくらい危険であると言えます。
Windows 10 Mobileも今月のパッチチューズデーに登場しました。このプラットフォームはCVE-2019-1314の影響を受けるためです。このセキュリティバイパスの脆弱性により、ユーザーはCortanaのロック画面を回避してデバイスにアクセスできるようになります。
「マイクロソフトはバグの詳細を公表しているものの、修正はしていません。その代わりに、Windows 10 Mobileのユーザーにはロック画面でCortanaを無効にすることを推奨しています」とチャイルズ氏は説明した。
「組織でこの OS を搭載したデバイスを使用している場合は、変更を行うためにデバイスを集め始めてください。」
Adobeの修正はないが、Androidにはパッチが必要
今月注目すべきはAdobeの不在です。このメディア界の巨人は、Flash、Reader、Acrobat、その他すべての製品に対する修正を一切公開しませんでした。Adobeの最新のリリースは、9月25日のColdFusionのアップデートでした。
一方、GoogleはAndroid向けに月例パッチを遅ればせながらリリースしました。このモバイルプラットフォームには複数の修正プログラムが提供されており、中でも注目すべきは、メディアフレームワークに存在する3つのリモートコード実行バグに対するパッチです。これらのバグは、改ざんされたファイルによる攻撃を許します。
Google ブランドのデバイスを持っている人は、Chocolate Factory から Android アップデートを直接入手できますが、その他の人は、デバイス ベンダーまたは通信事業者がパッチをリリースするまで待つ必要があります。
SAPからの8つのパッチ
macOS「Catalina」10.15には独自のセキュリティ修正が満載 – ありがとう、Apple
続きを読む
一方、SAPは今月のパッチチューズデーに喜んで参加しました。エンタープライズソフトウェアの大手である同社は、CVEリストに掲載されている8つの脆弱性に対するパッチをリリースしました。
最も深刻なのは、NetWeaver の認証チェックの欠如によるセキュリティバイパスバグである CVE-2019-0379 と、SAP Landscape Management の情報漏洩バグである CVE-2019-0380 です。
管理者はできるだけ早くすべてのパッチをテストしてインストールすることをお勧めします。
10 月は Adobe と Google が不在だったためパッチの負荷は軽減されましたが、MacOS と Cisco のアップデートを遅らせていた人は、今日のバンドルに加えてそれらのパッチをインストールできる可能性があります。®
