ビデオ: therunofsummer (十一月 2024)
マイクロソフトは11月のパッチ火曜日リリースで8つのセキュリティ情報を発表し、Internet Explorer、Hyper-V、Graphics Device Interface(GDI)、Officeなどを含むMicrosoftソフトウェアの19の脆弱性に対処しました。 FireEyeが週末に公開したInternet Explorerのゼロデイ脆弱性も修正されました。
アドバイザリのうち、最も重要な3つのパッチは、Interent Explorerパッチ(MS13-088)、GDI(MS13-089)、およびInternet Explorerのいくつかのバージョン(MS13-090)、セキュリティに影響するActiveXコントロールのゼロデイ欠陥です。専門家は言った。
「Bulletin MS13-090は、現在標的型攻撃を受けているActiveX Controlの既知の問題に対処します。自動更新が有効になっているお客様はこの脆弱性から保護されており、何もする必要はありません」とMicrosoft Trustworthy Computingのグループマネージャー。
ゼロデイのステータス
マイクロソフトのセキュリティチームは、数日間忙しかった。 先週、セキュリティ会社FireEyeはMicrosoftにInternet Explorerの深刻な脆弱性を通知しましたが、ActiveXコントロールパッチ(MS13-090)がInformationCardSignInHelperの欠陥を修正するため、チームはすでにそれらについて知っていたようです。 攻撃者はすでに水飲み場スタイルの攻撃でバグを標的にしており、今朝、テキスト共有サイトPastebinにエクスプロイトコードが出現し、これが優先度の高い問題になりました。
BeyondTrustのCTO、Marc Maiffret氏は次のように述べています。
また、Microsoftは、Microsoft Windowsの一部のバージョンおよびMicrosoft Officeの古いバージョンがTIFFグラフィックス形式を処理する方法にゼロデイ脆弱性を開示しました。 このPatch Tuesdayリリースでは、この問題に対処するパッチは提供されていないため、FixItの一時的な回避策をまだインストールしていないユーザーは、できるだけ早くそれを検討する必要があります。
Rapid7のセキュリティエンジニアリングのシニアマネージャーであるRoss Barrettは、次のように述べています。
優先度の高いパッチ
別のIEパッチ(MS13-088)は、Webブラウザのさまざまなバージョンでの2つの情報開示バグと8つのメモリ破損問題を修正しました。 2つの脆弱性は、最新バージョンであるバージョン6〜11のIEのすべてのバージョンに影響します。 これらの脆弱性を悪用する攻撃はまだ報告されていませんが、非常に多くのバージョンのWindowsおよびInternet Explorerが影響を受けるという事実は、このパッチをできるだけ早く展開する必要があることを意味します。
悪意のあるWebページを作成し、ユーザーにそのページを表示させてドライブバイダウンロード攻撃をトリガーさせることにより、攻撃者はこれらの欠陥を悪用する可能性があるとMaiffret氏は述べています。
3番目に優先度の高いセキュリティ情報(MS13-089)は、GDIバグを修正します。これは、XPからWindows 8.1までのサポートされているすべてのバージョンのWindowsに影響します。 攻撃者は悪意のあるファイルを作成し、ユーザーにこの脆弱性を悪用するためにワードパッドで開くように仕向ける必要があるため、これは単純なブラウズと所有のシナリオではない、とMaiffretは警告しました。 しかし、「サポートされているWindowsのすべてのバージョンに影響を与えるという事実により、依然として強力です」と彼は言いました。
攻撃者は、GDIインターフェイスを使用していた実行中のアプリケーションと同じレベルの特権を受け取ります。
簡単なパッチ
修正プログラムはWindows、Internet Explorer、およびいくつかのOfficeコンポーネントに焦点を合わせていたため、今月のパッチ火曜日を「まっすぐ」と呼ぶ専門家もいました。 バレット氏によると、SharePointプラグインや.NETフレームワークなど、「難解なものやパッチを適用するのが難しいものはない」という。 残りのパッチは、Microsoft Officeのさまざまなバージョン(MS13-091)の脆弱性、新しいバージョンのOffice(MS13-094)の情報漏えいの脆弱性、Windows 8のHyper-V(MS13-092)の特権の昇格の脆弱性、 Server 2012 R2、Windowsの情報漏えいバグ(MS13-093)、およびオペレーティングシステムのサービス拒否(MS13-095)の問題。
「全体として、火曜日は中規模のパッチに過ぎませんが、2つの0日間とInternet Explorerの更新に特に注意してください。ブラウザは引き続き攻撃者のお気に入りの標的であり、Internet Explorerは市場シェアのトップを占めていますQualysのCTOであるWolfgang Kandek氏は次のように述べています。