パッチ チューズデーMicrosoft、Adobe、SAP は本日、今月のパッチ チューズデーに向けて大量のセキュリティ アップデートを配信しました。
レドモンドで80匹の虫を駆除
Microsoft が CVE リストに記載されている合計 80 件のバグに対する更新プログラムをリリースしたため、Windows PC およびサーバーの管理者とユーザーにとっては忙しい日になりそうです。
今月対処されたより深刻な問題の中には、実際に活発な攻撃を受けている権限昇格の脆弱性のペアである CVE-2019-1215 と CVE-2019-1214 があります。
専門家によると、どちらのケースでも、悪意のある攻撃者は古いマシンを狙っているという。CVE-2019-1215はWinsock、特にws2ifsl.sysを狙う。このサービスは2007年からマルウェアの標的となっている。一方、CVE-2019-1214のエクスプロイトは主にWindows 7マシンを狙っている。これらの脆弱性により、マシン上のマルウェアは管理者レベルのアクセス権を取得し、マシン全体を乗っ取ることが可能になる。
「Windows 7のサポート終了まであと6カ月未満であることをお知らせするのにはいいタイミングだ。つまり、来年2月には今回のようなバグに対するアップデートが提供されなくなるということだ」と、Zero Day Initiativeのダスティン・チャイルズ氏は述べた。
「システムにパッチを適用してから、アップグレード戦略に取り組んでください。」
マイクロソフトが重大なリスクに分類したバグのうち、4件はWindowsリモートデスクトップにおけるリモートコード実行の脆弱性に関するものでした。CVE-2019-0787、CVE-2019-0788、CVE-2019-1290、CVE-2019-1291はいずれも、悪意のあるサーバーがクライアントの接続後に被害者のPCを乗っ取るために悪用される可能性のあるリモートコード脆弱性に対処しています。
「攻撃者はユーザーを悪意のあるサーバーに強制的に接続させる方法はなく、ソーシャルエンジニアリング、DNSポイズニング、あるいは中間者(MITM)攻撃の手法を使ってユーザーを騙して接続させる必要がある」とマイクロソフトは指摘している。
「攻撃者は、正当なサーバーを侵害し、そこに悪意のあるコードをホストし、ユーザーが接続するのを待つこともできます。」
Eximがリモートコード実行の現場をマーク:メールサーバーの「Give Me Root」脆弱性に対するパッチが本日リリース予定
続きを読む
例年通り、今月の重要なパッチの大部分は、Microsoftのブラウザスクリプトエンジンの脆弱性に対処するものです。Chakra、VBScript、IEスクリプトエンジンの脆弱性が、重要な修正のうち8件を占めています。いずれの場合も、特別に細工されたWebページを使用することで、標的のPC上でリモートからコードを実行することが可能です。
Azure DevOps Server および Team Foundation Server を実行している企業は、攻撃者が汚染されたファイルをアップロードし、それが脆弱なサーバーによってインデックス化されたときにトリガーされるリモート コード実行バグである CVE-2019-1306 にパッチを適用することを検討してください。
Windowsのアプリケーションショートカットに使用される.lnk形式が、CVE-2019-1280の焦点となっています。このバグにより、攻撃者はリムーバブルドライブやリモート共有上の.lnkファイルの背後に悪意のあるアプリを隠蔽することで、(現在のユーザーの権限で)実行することが可能となります。
Windows テキスト サービス フレームワークの権限昇格の脆弱性である CVE-2019-1235 と、セキュア ブートのセキュリティ バイパスである CVE-2019-1294 も、すでに公開されているもののまだ悪用されていないため、優先的にパッチを適用する必要があります。
Adobeからの2つのFlash修正とアプリケーションマネージャのパッチ
Adobe の今月の Patch Tuesday は、CVE に記載されている 3 件の脆弱性に対処するための 2 つのアップデートのみがリリースされたため、比較的静かでした。
Flash Playerをまだご利用の方には、今回のアップデートでCVE-2019-8070とCVE-2019-8069の修正が提供されます。これらは、解放後使用(use-after-free)と同一オリジンメソッド実行エラーに起因する任意コード実行の脆弱性です。どちらも現時点では実環境での攻撃は確認されていません。
Adobe Application Manager(Adobeアプリの解凍に使用するインストーラーツール)もアップデートされ、ライブラリの不適切な処理に起因する任意コード実行バグ(CVE-2019-8076)が修正されました。現時点では、この脆弱性を悪用した攻撃は報告されていません。
幸運なことに、SAPからさらに13個のパッチがリリースされました
見逃せないのは、エンタープライズ大手の SAP の 9 月のパッチ バンドルです。
発行された 13 個のアップデートの中には、HANA 用のパッチが 2 つ、SAP Business Client 用のパッチが 1 つ、SAP Diagnostics Agent 用のアップデートが 2 つ含まれています。®
