Microsoft と Adobe は協力し、本日リリースされた今月の Patch Tuesday バッチで 70 以上のパッチを提供しました。
今月リリースされた修正の大部分はMicrosoftが提供し、同社製品のCVEリストに登録されている60件の脆弱性に対するアップデートを公開しました。これらの修正は、テストと展開が可能になり次第、インストールしてください。
最優先事項の一つは、現在も悪用され、被害者のWindows PCを侵害している2つのゼロデイ脆弱性です。Internet Explorerのスクリプトエンジンにおけるリモートコード実行によるメモリ破損エラーであるCVE-2018-8373と、Windows Shellにおける無効なファイルパス処理に起因するリモートコード実行バグであるCVE-2018-8414は、どちらも悪意のある攻撃者によってコンピュータの乗っ取りに悪用されています。
IEの脆弱性は、パッチ未適用のブラウザを介してWebページから感染し、Windows Shellのプログラミングミスは、特別に細工されたPDFファイルによって悪用されます。管理者は、Windowsアップデートのインストールに加えて、今月のAdobeパッチ(詳細は後述)もできるだけ早く適用しておく必要があります。
レドモンドの最新情報
今月のMicrosoftの修正プログラムの大半がブラウザとスクリプトエンジンのバグに関するものであることは、読者の皆様にとって驚きではないでしょう。Internet Explorer、Edge、Chakra Scriptingにおける重大な脆弱性に対するパッチは、23件のバグに関係しており、そのうち13件は重大なリモートコード実行の脆弱性です。
ブラウザ外では、Microsoft は SQL Server のリモート コード実行バッファ オーバーフローの脆弱性 (CVE-2018-8273) と、Windows PDF ライブラリ コンポーネントのメモリ破損 RCE ホール (CVE-2018-8350) に対処しました。
セキュリティ研究者の注目を集めたもう 1 つの問題は、CVE-2018-8360 です。これは、特定の高密度サーバー環境で、あるデータ ストリームから別のデータ ストリームに情報が流出する可能性がある、.NET Framework のデータ漏洩問題です。
「表面的には、.NETの情報漏洩脆弱性はそれほど深刻には思えません」と、トレンドマイクロのゼロデイ・イニシアチブのダスティン・チャイルズ氏は指摘する。「しかし、この特定のバグにより、攻撃者はマルチテナント環境の情報にアクセスできるようになる可能性があります。攻撃者は異なるネットワークストリームを混在させる可能性があるため、主に高負荷/高密度環境に影響を与えると思われます。」
Oracle: この重大なデータベース乗っ取りバグを修正するには、歩くのではなく走ってください
続きを読む
本日、El Reg氏がIntelプロセッサの新たな設計上の欠陥3件について情報を公開しました。Microsoftは、ハードウェアレベルの脆弱性を軽減するため、OSとハイパーバイザーのコードを更新しました。修正内容は、月例アップデートに同梱されているセキュリティアドバイザリに記載されています。
Microsoft Office では、Excel (CVE-2018-8375、CVE-2018-8379) および PowerPoint (CVE-2018-8376) のリモート コード実行バグに対する修正が提供されます。
また、Office (CVE-2018-8378) および Excel (CVE-2018-8382) の情報漏えいの脆弱性、および Exchange (CVE-2018-8374) および Office (CVE-2018-8412) の権限昇格の脆弱性も修正されました。
AdobeがFlashとCreative Cloudにパッチをリリース
Adobeでは、8月にFlash PlayerのCVEリストに登録されている5件のリモートコード脆弱性と、Acrobat/Readerの2件の脆弱性が修正されます。どちらのパッチもできるだけ早くインストールしてください。
Adobe はまた、Creative Cloud の権限昇格の欠陥 1 件と Experience Manager の脆弱性 3 件に対する修正も公開しました。
Microsoft と Adobe からのリリースは、Oracle のデータベース サーバー向け緊急パッチの直後に行われるため、企業の IT 管理者は今週、多くの仕事に追われることになります。®
