11月2日目はパッチ火曜日。MicrosoftとAdobeがセキュリティアップデートをリリースしました。定番のFlashとInternet Explorerに加え、Edgeが新登場です。
主要ニュース: 今月はゼロデイ攻撃はありませんが、Microsoft から 4 つの重要なアップデートと 8 つの重要なアップデートがリリースされています。そのうち 4 つは、すでに公開されているセキュリティホールに対応するものなので、パッチの適用が必要です。
MicrosoftのアップデートのほとんどはWindows向けですが、OfficeとSkype(for Business)も対象です。そのうちの1つ(MS15-113)は、Windows 10の新しいEdgeブラウザを対象としています。これは、今週木曜日に予定されているWindows 10の「秋のリフレッシュ」後に適用する必要があります。
簡単に概要を説明すると、シャブリクからの便利なグラフがここにあります。
パッチの全文は次のとおりです。
MS15-112。深刻度:緊急。リモートコード実行。Internet Explorer。一連の修正。最悪の場合、特別に設計されたWebページにアクセスした際に、ユーザーと同じ権限でリモートコードが実行される可能性がある。
MS15-113。緊急。リモートコード実行。Edge。別のバンドル。上記の112と同じ問題。
MS15-114。緊急。リモートコード実行。Windows Journal。特別なジャーナルファイルを開くと、リモートコードが実行される。
MS15-115。緊急。リモートコード実行。Windows。特定のドキュメントを開く、または特定のWebページにアクセスする(埋め込みフォント)。
MS15-116。重要。リモートコード実行。Office。特殊なファイルを開く。ユーザーレベルのアクセス。
MS15-117。重要。アクセスレベルの引き上げ。Windows NDIS。攻撃者はログインして特別なアプリケーションを実行できる場合、アクセスレベルを引き上げることができます。
MS15-118。重要。アクセスレベルの引き上げ。.NET。攻撃者は、特定のWebページにアクセスしたり、特別なメールを開いたりすると、アクセスレベルを上げることができます。
MS15-119。重要。アクセスレベルが引き上げられました。Winsock。
MS15-120。重要。サービス拒否。Windows。攻撃者はログインしている必要がありますが、サーバーをオフラインにすることができます。
MS15-121。重要。スプーフィング。Schannel。中間者攻撃。
MS15-122。重要。セキュリティをバイパス。Kerberos/BitLocker。攻撃者は物理的なアクセスが必要ですが、Kerberos認証を通過してBitLockerドライブを復号化できます。
MS15-123。重要。情報漏洩。Skype for Business。ターゲットをIMセッションに招待すると、JavaScriptの挿入によって情報漏洩が発生する可能性があります。
アドビ
いつものように、Flashのアップデートは豊富で、実に17件あります。多くは「優先度1」で、早急にパッチを適用する必要があります。また、IE、Firefox、Chromeのプラグインアップデートも予定されています。
これらの脆弱性により、攻撃者は影響を受けるシステムを制御できる可能性があります。CVEに登録されている脆弱性は、CVE-2015…7651~7663および8042~8046です。®
