Microsoft と Adobe が 9 月の月例セキュリティ更新を予定どおりに公開したため、管理者は再び残業することになります。
今月の Patch Tuesday バンドルには、Windows、SQL Server、Hyper V、および Flash と Cold Fusion の重要な修正が含まれています。
失礼なゲストと醜い画像がマイクロソフトを脅かす
マイクロソフトは今月、CVE に登録されている脆弱性 61 件に対処しましたが、そのうち 23 件はリモート コード実行の可能性があるものです。
これらのバグの中でも特に注目すべきは、CVE-2018-8475です。これは、Windowsで画像ファイルを表示するだけで悪用される可能性があるリモートコード脆弱性です。エクスプロイトコードは公開されていませんが、Microsoftは、この脆弱性に関する詳細は既に公開されていると警告しています。
「間違った画像を開くと、たとえウェブブラウザ経由であっても、コードが実行され、閲覧して所有するシナリオになります」とトレンドマイクロのゼロデイ・イニシアチブのダスティン・チャイルズは説明する。
「マイクロソフトは、この問題がどこで公開されているかについては何も情報を提供していないが、問題の深刻さと悪用の容易さを考えると、この問題はすぐにエクスプロイトキットに紛れ込むと予想される。」
また、注目を集めているのが CVE-2018-0965 です。これは Hyper-V のバグで、VM 内で特別に細工されたアプリケーションを実行するだけで、仮想マシン インスタンスがホスト サーバー上でリモート コード実行を実現できる可能性があります。
管理者は、現在活発に攻撃を受けている権限昇格の脆弱性であるCVE-2018-8440のパッチ適用を優先的に実施する必要があります。この脆弱性は、WindowsのAdvanced Local Procedure Call(ALPC)の処理における欠陥に起因しています。
「ALPCは通常、Windowsオペレーティングシステムのコンポーネントに限定された内部メカニズムです。スプーラープロセスにおける権限チェックの欠如が、昇格を可能にしてしまうのです」とチャイルズ氏は説明した。
「このバグは、すべての展開リストの一番上に載せるべきです。」
Safari、Edgeファンの皆様へ:あなたが訪問しているウェブサイトは本当にそのウェブサイトですか?URL偽装バグが発覚
続きを読む
いつものように、その他のリモートコードバグのほとんどは、EdgeブラウザとIEブラウザ、そしてそれぞれのスクリプトエンジンに存在します。これら2つのブラウザは、23件のリモートコード修正のうち11件を受け取っており、その中には既に公開されているCVE-2018-8440も含まれています。
Office には、Word (CVE-2018-8430)、Excel (CVE-2018-8331) のリモート コード実行バグ、SharePoint のクロスサイト スクリプティング バグ (CVE-2018-8426)、Lync for Mac 2011 のセキュリティ機能バイパス (CVE-2018-8457) など、多数の修正も含まれています。
一方、Azure ではサーバー スプーフィングの脆弱性 (CVE-2018-8479) が修正され、.NET フレームワークではリモート コード実行の脆弱性 (CVE-2018-8421) が 1 件修正されました。
CVE-2018-8421 は、攻撃者がファイル署名を偽造できるようにすることで PC を危険にさらす Device Guard のバグです。
「デバイスガードは、ファイルが悪意のないものであるかどうかを判断するために署名を使用するため、デバイスガードは悪意のあるファイルの実行を許可する可能性がある」とマイクロソフトは説明した。
一方、Adobe では…
今月はFlashにとってそれほど悪くなかった。インターネットの壊れたスクリーンドアは、CVEリストに登録されたバグ1件を修正するだけで済んだからだ。CVE-2018-15967と呼ばれるこの脆弱性は、情報漏洩を引き起こす可能性があり、Adobeが先月相次いで報告したリモートコード実行バグの常連とは一転、新鮮な展開を見せた。
Adobeがこの日公開した唯一のパッチはColdFusion向けでした。このWebアプリケーション開発スイートでは、CVEリストに掲載されている9件の脆弱性が修正されました。そのうち5件は、リモートコード実行の恐れがあります。®
