Interviews Brawte nfaq 0 Comments

マイクロソフトは112のセキュリティホール修正を公開。グーグルが公開したカーネルの脆弱性への対策も含まれる。

Table of Contents

マイクロソフトは112のセキュリティホール修正を公開。グーグルが公開したカーネルの脆弱性への対策も含まれる。

パッチ チューズデーMicrosoft は、11 月のパッチ チューズデーで 112 件のソフトウェア脆弱性に対する修正プログラムを公開しました。そのうち 17 件は「重大」と評価されています。

残りのうち、93 件は重要と評価され、2 件は重大度が低いと評価されています。

影響を受ける Microsoft 製品には、Microsoft Windows、Office、Internet Explorer、Edge (EdgeHTML および Chromium)、ChakraCore、Exchange Server、Dynamics、Windows Codecs Library、Azure Sphere、Windows Defender、Teams、Azure SDK、Azure DevOps、Visual Studio など 15 種類があります。

修正された欠陥の 1 つは、先月末に Google の Project Zero によって公開された Windows カーネル暗号化ドライバーの脆弱性 (CVE-2020-17087) であり、積極的に悪用されています。

この権限昇格の脆弱性は、Chrome JavaScriptエンジンのリモートコード実行の脆弱性CVE-2020-16009と併せて悪用され、悪意のあるウェブページなどにアクセスした被害者のコンピュータに侵入する攻撃に利用されました。また、CVE-2020-17087のドライババグは、Chromeのフォント解析コードに存在するリモートコード実行の脆弱性CVE-2020-15999と併せて悪用され、標的のPCを乗っ取る攻撃にも利用されました。これら3つのバグは現在修正されており、最新のソフトウェアアップデートをインストールすることで修正されます。

「今月のリリースで最も注目すべき修正の1つは、CVE-2020-17087に対するものです。これは、Windowsカーネルの権限昇格の脆弱性で、Google Chromeで使用されるFreeType 2ライブラリのバッファオーバーフローの脆弱性であるCVE-2020-15999との脆弱性チェーンの一部として実際に悪用されていました」と、セキュリティ企業Tenableのスタッフリサーチエンジニア、サトナム・ナラン氏はThe Registerに語った。

権限昇格の脆弱性は、Google Chromeのサンドボックスを回避し、悪用されたシステム上で権限を昇格するために利用されました。これは、昨年悪用されたGoogle Chromeの脆弱性とWindowsの脆弱性を関連付けた2番目の脆弱性連鎖です。

Rustの平和:CおよびC++コードのメモリバグがセキュリティ問題を引き起こすため、Microsoftは再び代替案を検討している

続きを読む

ナラン氏によると、サイバーセキュリティ・インフラセキュリティ庁(CISA)とFBIは先月、未修正の脆弱性を巧みに利用して標的へのアクセスを奪おうとする犯罪者がいると警告する共同勧告を発表した。実際、上記の状況、そしてAppleがGoogle Project Zeroによって発見されたフォントパーサーとカーネルコードにおける脆弱性を修正したことから判断すると、高度なスキルを持つ人物、あるいは何らかのトップレベルのグループが、悪意のあるWebページや文書を介して人々のコンピュータやデバイスを乗っ取ることに最近特に力を入れていると考えられる。

Zero Day Initiative の Dustin Childs 氏はブログ投稿で、今月は比較的多くのリモートコード実行 (RCE) バグが修復されたことを指摘しました。

「すでに述べた「緊急」評価の脆弱性に加え、Microsoft Teamsの脆弱性は特に目立っています。現在、多くの学生がTeamsを使用しており、大人ほどセキュリティに精通していない可能性があるためです」とチャイルズ氏は述べた。「この脆弱性はユーザーによる操作を必要とするため、お子様には知らない人からのリンクをクリックしないよう注意喚起してください。」

CVE-2020-17091 に指定された Teams RCE バグは、重要とのみ評価されています。

マイクロソフトは、パッチ公開に合わせて、オンラインセキュリティアップデートガイドにおける脆弱性情報の提示方法を刷新しました。レドモンド社は、このデザイン変更により脆弱性情報がより簡潔に伝わるようになったと主張しています。しかし、チャイルズ氏はレイアウトの変更を批判し、公開される情報が少なくなったことで、様々なバグのリスク評価が難しくなっていると述べています。

他社も独自のセキュリティ欠陥リストを公開しました。GoogleはAndroidの20件の脆弱性に加え、MediaTekとQualcommのコンポーネントで確認されたバグに関する詳細を公開しました。Adobeは先週、アウトオブバンドアップデートを配信した後、新たに2件のセキュリティ情報を発表しました。Intelは36件のセキュリティ勧告を公開しました。SAPは12件の新たな勧告と、既存勧告の3件のアップデートを提供しています。Red Hatは21件のセキュリティアップデートをリリースしました。

全体として、IT 管理者とユーザーがしばらくパッチ適用に忙しくするには十分です。®

Interviews

Smart Recommendations

Discover More