Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、月例パッチ14件を公開 - 2件のゼロデイ脆弱性に対応

日本マイクロソフトは、8月の月例セキュリティ更新を公開した。あわせて58件の脆弱性を修正しており、2件に関してはゼロデイ攻撃が発生しているという。

20150812_ms_001.jpg
8月の月例セキュリティ更新一覧(表:MS)

最大深刻度が、4段階中もっとも高い「緊急」にレーティングされたアップデートは4件。「MS15-079」では、「Internet Explorer」の累積的な脆弱性12件に対応した。コマンドラインパラメータを渡すことにより、情報漏洩が生じる脆弱性「CVE-2015-2423」は、すでに公開されている。また「MS15-091」では、「Microsoft Edge」の累積的な脆弱性4件を修正した。

さらに「Microsoft Graphicsコンポーネント」の脆弱性16件に対して、「MS15-080」で対応。「ASLR(Address Space Layout Randomization)」をパイパスする「CVE-2015-2433」は公開済みの脆弱性だという。

「Office」に対しては「MS15-081」を提供する。リモートでコードが実行される脆弱性や情報漏洩が生じる脆弱性など8件に対応した。メモリ破壊が生じる「CVE-2015-1642」に関してはすでに悪用が確認されている。

IEと同様に「CVE-2015-2423」についても修正しているが、「MS15-079」をあわせて適用する必要がある。また同プログラムには、脆弱性の修正にくわえて、多層防御によりMicrosoft Officeのセキュリティを強化する機能を盛り込んだとしている。

のこる10件の更新はいずれも深刻度「重要」のプログラム。

なかでも「MS15-085」において修正された特権の昇格が発生するマウントマネージャの脆弱性「CVE-2015-1769」に関しては、未公開だが悪用が確認されているという。悪意あるUSBデバイスによりバイナリをディスクに書き込まれ、実行されるおそれがある。

「MS15-082」ではRDP、「MS15-083」では「サーバメッセージブロック」に関する脆弱性を修正。悪用された場合、リモートよりコード実行される問題を解決した。

「Windows」や「.NET Framework」「System Center Operations Manager」「UDDIサービス」において特権の昇格が生じる脆弱性を、それぞれ「MS15-090」「MS15-092」「MS15-086」「MS15-087」で解消した。

情報漏洩につながる「XMLコアサービス」や「WebDAV」の脆弱性を「MS15-084」「MS15-089」で修正。コマンドラインパラメーターの受け渡しに存在する脆弱性「CVE-2015-2423」を「MS15-088」で対応した。同アップデートに関しても、IE向けに提供される「MS15-079」とあわせて適用する必要があるので注意が必要。

(Security NEXT - 2015/08/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NETGEAR製品に10件のゼロデイ脆弱性 - 多数製品に影響
「iOS 13.5.1」など公開 - 脱獄可能となる脆弱性を修正
最新「iOS」にゼロデイ脆弱性 - ジェイルブレイクツールが公開される
Apple、iOSアップデートの脆弱性修正内容を公開
WP向けプラグイン「Elementor Pro」に深刻な脆弱性 - ゼロデイ攻撃で発覚
インフラ構成管理ツール「SaltStack」に深刻な脆弱性 - 悪用コード公開、早急に対処を
MSが4月の月例パッチ、脆弱性113件を修正 - すでに3件で悪用
「Firefox 74.0.1」が公開、ゼロデイ脆弱性を修正 - 標的型攻撃を確認
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.