更新積極的に狙われている 2 つの Windows の欠陥が、管理者がため息をつき、何を修正すべきかを決定する月例の Redmond の Patch Tuesday の今月のハイライトです。
Microsoftの場合、月例の脆弱性フォルダでは、WindowsとOfficeのCVEリストに記載されているセキュリティバグ合計74件が修正されています。そのうち33件は、攻撃者が悪用した場合、リモートコード実行を許してしまう脆弱性です。
いつものように、リモートコード実行の脆弱性のほとんどはブラウザとスクリプトエンジンで発見されました。これらには、XMLの脆弱性(CVE-2019-0791、CVE-2019-0792、CVE-2019-0793)と、Chakraスクリプトエンジンの6件のリモートコード脆弱性が含まれます。いずれの場合も、攻撃者は特別に細工したウェブページを使って脆弱性を悪用します。
その他の脆弱性のうち、専門家はユーザーと管理者に対し、現在攻撃対象となっている2つのバグの修正を優先するよう勧告しています。CVE-2019-0803とCVE-2019-0859は、Win32kにおける権限昇格の脆弱性です。どちらの脆弱性も、攻撃者が既に脆弱なPCにアクセスできる必要があるため、このエクスプロイトが悪用された場合、状況が悪化するだけです。
「これらのバグにより、攻撃者はシステムにアクセスした後、権限を昇格してシステムを乗っ取ることができる」とトレンドマイクロZDIのダスティン・チャイルズ氏は述べた。
「これらのバグがどのように利用されているかについては多くの情報がありませんが、標的型マルウェアが最も可能性の高い発生源と思われます。」
ZDI の研究者の注目を集めたもう 1 つの問題は、Windows のリモート コード実行の脆弱性である CVE-2019-0856 です。奇妙なことに、この脆弱性を悪用するには、攻撃者がログインし、脆弱な PC 上ですでにコードを実行している必要があります。
「タイトルにはリモートコード実行と記載されているが、説明を読むと、攻撃者がこのバグを悪用するにはシステムにログオンする必要があることがわかる」とチャイルズ氏は指摘した。
パッチだらけの Apache a-patchin: HTTP サーバーがルートアクセスの懸念事項を修正
続きを読む
「いずれにせよ、サポートされているすべての Windows バージョンに影響し、Windows がメモリ内のオブジェクトを処理する方法を修正することで修正されたことを考慮すると、このパッチは絶対に見逃すべきではありません。」
Office では、Jet データベースのコンポーネントである Office Access Connectivity Engine の 4 つの脆弱性を含む、多数のリモート コード実行脆弱性に対する修正も受けています。
Microsoft は、Office RCE は、被害者が攻撃ファイルを実際に開く必要がある (単に Web ページにアクセスするだけではない) ため、ブラウザー内のものよりもリスクが低いと主張しています。それでも、ユーザーが Office ドキュメントを無計画に開くことを考慮すると、管理者はそれらの更新を優先するのが賢明でしょう。
一方、Adobe は、PDF アプリの 21 件のリモートコード実行の脆弱性を修正した Acrobat および Reader のアップデートをリリースしました。
Flash Playerも今月アップデートされましたが、このパッチはCVEリストに登録されている2つの脆弱性(リモートコード実行を許すもの)のみに対応しています。Adobeは、これらのバグを狙った攻撃が実際に行われているという報告は受けていないと述べています。®
追加更新
パッチ パーティーに遅れて SAP が参加しました。
SAPにとって、今月はHANAのXML外部エンティティ(XXE)脆弱性に対する高優先度修正を含む11件のセキュリティアップデートがリリースされます。この脆弱性を発見した研究者を擁するセキュリティ企業Onapsisによると、この脆弱性は実際には複数のSAP製品に存在しており、NetWeaverとABAPに次いでHANAへの修正が最後にリリースされたとのことです。
「この重大な脆弱性は、悪用されやすく、事業継続性に悪影響を与える可能性があるため、標的型攻撃に利用される可能性が高いため、特別な注意を払う必要がある」とオナプシスは、このバグについて述べている。
「パッチが適用されない場合、この脆弱性により、攻撃者はサーバーの重要なファイルにリモートでアクセスし、Webアプリのカスタムコードを盗むことができます。」
