Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、8件の月例パッチを公開 - 公表済みゼロデイ脆弱性の修正は含まれず

日本マイクロソフトは、当初の予告通り8件の月例セキュリティ更新プログラムを公開した。ゼロデイ攻撃が発生している「InformationCardSigninHelperクラス」の脆弱性など修正を実施したが、11月6日付けでアドバイザリが公開されたグラフィックスコンポーネントの修正は、今回のアップデートに含まれておらず、引き続き回避策の適用が推奨されている。

4段階中、もっとも深刻度が高いとされる「緊急」のプログラムは3件。いずれも悪用された場合はリモートでコードを実行される可能性があり、同社では適用優先度についても3段階中もっとも高い「1」に設定している。

「MS13-090」は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」を解消する更新プログラム。細工されたウェブページを「IE」で表示するなど脆弱性が悪用されると、リモートでコードを実行されるおそれがある。

同社では「限定的」としているが、すでに標的型攻撃への悪用が確認されているという。セキュリティ更新プログラムでは、「IE」において「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することで対処した。

さらに「MS13-088」では、「IE」における10件の累積的な脆弱性を修正。「MS13-089」で「Windows Graphics Device Interface」の脆弱性1件に対応している。いずれも脆弱性の公開や悪用は確認されていない。

のこる5件のプログラムは、いずれも深刻度が1段階低い「重要」にレーティングされている。「MS13-094」では、すでに公開されている「Outlook」の脆弱性に対応。細工されたメールを開いたり、プレビューした際に情報漏洩が生じる問題を解消した。同プログラムを適用するとS/MIME証明書の認証に問題が生じる可能性があり、注意が必要。

また「MS13-091」は、Officeにおける非公開の脆弱性3件を修正するプログラム。悪用されると任意のコードを実行されるおそれがある。「MS13-095」では、細工された電子証明書を処理するときにサービス拒否が発生する脆弱性1件を解決した。

「MS13-092」では、特権の昇格が生じる可能性がある「Hyper-V」の脆弱性を解消。「MS13-093」では「Windows Ancillary Function ドライバ」における情報漏洩の脆弱性を解決した。

また同社は、11月6日付けでセキュリティアドバイザリを公表し、グラフィックスコンポーネントに未修正の脆弱性「CVE-2013-3906」が存在し、脆弱性を狙ったゼロデイ攻撃が発生していることから、修正プログラムの開発を進めているが、今回の月例更新には含まれていない。

20131113ms_001.jpg
回避策として公開されている「Fix it」

問題の脆弱性は「Windows」や「Office」「Lync」など同社製品に含まれるグラフィックスコンポーネントにおける「TIFFファイル」の処理に存在。細工されたファイルを開いたり、プレビューで表示して脆弱性が攻撃を受けた場合、端末の制御が奪われる可能性がある。

同社では、脆弱性の回避策として「Fix it」を公開しているほか、脆弱性緩和ツールである「EMET(Enhanced Mitigation Experience Toolkit)」の活用を呼びかけている。

(Security NEXT - 2013/11/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware AirWatch Console」のアクセス制御に脆弱性
一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大