Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、8件の月例パッチを公開 - 公表済みゼロデイ脆弱性の修正は含まれず

日本マイクロソフトは、当初の予告通り8件の月例セキュリティ更新プログラムを公開した。ゼロデイ攻撃が発生している「InformationCardSigninHelperクラス」の脆弱性など修正を実施したが、11月6日付けでアドバイザリが公開されたグラフィックスコンポーネントの修正は、今回のアップデートに含まれておらず、引き続き回避策の適用が推奨されている。

4段階中、もっとも深刻度が高いとされる「緊急」のプログラムは3件。いずれも悪用された場合はリモートでコードを実行される可能性があり、同社では適用優先度についても3段階中もっとも高い「1」に設定している。

「MS13-090」は、「InformationCardSigninHelperクラス」の脆弱性「CVE-2013-3918」を解消する更新プログラム。細工されたウェブページを「IE」で表示するなど脆弱性が悪用されると、リモートでコードを実行されるおそれがある。

同社では「限定的」としているが、すでに標的型攻撃への悪用が確認されているという。セキュリティ更新プログラムでは、「IE」において「ActiveXコントロール」を実行できないよう「Kill Bit」を設定することで対処した。

さらに「MS13-088」では、「IE」における10件の累積的な脆弱性を修正。「MS13-089」で「Windows Graphics Device Interface」の脆弱性1件に対応している。いずれも脆弱性の公開や悪用は確認されていない。

のこる5件のプログラムは、いずれも深刻度が1段階低い「重要」にレーティングされている。「MS13-094」では、すでに公開されている「Outlook」の脆弱性に対応。細工されたメールを開いたり、プレビューした際に情報漏洩が生じる問題を解消した。同プログラムを適用するとS/MIME証明書の認証に問題が生じる可能性があり、注意が必要。

また「MS13-091」は、Officeにおける非公開の脆弱性3件を修正するプログラム。悪用されると任意のコードを実行されるおそれがある。「MS13-095」では、細工された電子証明書を処理するときにサービス拒否が発生する脆弱性1件を解決した。

「MS13-092」では、特権の昇格が生じる可能性がある「Hyper-V」の脆弱性を解消。「MS13-093」では「Windows Ancillary Function ドライバ」における情報漏洩の脆弱性を解決した。

また同社は、11月6日付けでセキュリティアドバイザリを公表し、グラフィックスコンポーネントに未修正の脆弱性「CVE-2013-3906」が存在し、脆弱性を狙ったゼロデイ攻撃が発生していることから、修正プログラムの開発を進めているが、今回の月例更新には含まれていない。

20131113ms_001.jpg
回避策として公開されている「Fix it」

問題の脆弱性は「Windows」や「Office」「Lync」など同社製品に含まれるグラフィックスコンポーネントにおける「TIFFファイル」の処理に存在。細工されたファイルを開いたり、プレビューで表示して脆弱性が攻撃を受けた場合、端末の制御が奪われる可能性がある。

同社では、脆弱性の回避策として「Fix it」を公開しているほか、脆弱性緩和ツールである「EMET(Enhanced Mitigation Experience Toolkit)」の活用を呼びかけている。

(Security NEXT - 2013/11/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性
「Apache Tomcat」にアップデート - 「同8.5」系は最後の更新
「macOS」にセキュリティアップデート - 脆弱性を修正
日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
Apple、「iOS」「iPadOS」のアップデートで脆弱性1件を修正
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能