MS、月例パッチ14件を公開 - 2件のゼロデイ脆弱性に対応
日本マイクロソフトは、8月の月例セキュリティ更新を公開した。あわせて58件の脆弱性を修正しており、2件に関してはゼロデイ攻撃が発生しているという。

8月の月例セキュリティ更新一覧(表:MS)
最大深刻度が、4段階中もっとも高い「緊急」にレーティングされたアップデートは4件。「MS15-079」では、「Internet Explorer」の累積的な脆弱性12件に対応した。コマンドラインパラメータを渡すことにより、情報漏洩が生じる脆弱性「CVE-2015-2423」は、すでに公開されている。また「MS15-091」では、「Microsoft Edge」の累積的な脆弱性4件を修正した。
さらに「Microsoft Graphicsコンポーネント」の脆弱性16件に対して、「MS15-080」で対応。「ASLR(Address Space Layout Randomization)」をパイパスする「CVE-2015-2433」は公開済みの脆弱性だという。
「Office」に対しては「MS15-081」を提供する。リモートでコードが実行される脆弱性や情報漏洩が生じる脆弱性など8件に対応した。メモリ破壊が生じる「CVE-2015-1642」に関してはすでに悪用が確認されている。
IEと同様に「CVE-2015-2423」についても修正しているが、「MS15-079」をあわせて適用する必要がある。また同プログラムには、脆弱性の修正にくわえて、多層防御によりMicrosoft Officeのセキュリティを強化する機能を盛り込んだとしている。
のこる10件の更新はいずれも深刻度「重要」のプログラム。
なかでも「MS15-085」において修正された特権の昇格が発生するマウントマネージャの脆弱性「CVE-2015-1769」に関しては、未公開だが悪用が確認されているという。悪意あるUSBデバイスによりバイナリをディスクに書き込まれ、実行されるおそれがある。
「MS15-082」ではRDP、「MS15-083」では「サーバメッセージブロック」に関する脆弱性を修正。悪用された場合、リモートよりコード実行される問題を解決した。
「Windows」や「.NET Framework」「System Center Operations Manager」「UDDIサービス」において特権の昇格が生じる脆弱性を、それぞれ「MS15-090」「MS15-092」「MS15-086」「MS15-087」で解消した。
情報漏洩につながる「XMLコアサービス」や「WebDAV」の脆弱性を「MS15-084」「MS15-089」で修正。コマンドラインパラメーターの受け渡しに存在する脆弱性「CVE-2015-2423」を「MS15-088」で対応した。同アップデートに関しても、IE向けに提供される「MS15-079」とあわせて適用する必要があるので注意が必要。
(Security NEXT - 2015/08/12 )
ツイート
PR
関連記事
「Active! mail 6」に「XSS」や「CSRF」脆弱性 - 修正版へ更新を
「Chromium」の脆弱性狙う攻撃 - 派生ブラウザ利用者も注意を
「MS Edge」にアップデート - ゼロデイ脆弱性などに対応
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
「Chrome」にゼロデイ脆弱性 - アップデート公開、事前緩和策も
Samsung製デジタルサイネージの脆弱性狙う攻撃に注意
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に