ビデオ: Amito cosita ã ã ã (十一月 2024)
マイクロソフトは、火曜日の3月のパッチで、20を超える脆弱性を修正する7つのセキュリティ情報をリリースしました。 影響を受けるアプリケーションおよびコンポーネントには、Internet Explorer、Silverlight、Visio Viewer、Sharepoint、OneNote、Office for Mac、およびすべてのバージョンのWindowsのカーネルドライバーが含まれます。
火曜日にリリースされたマイクロソフトのセキュリティアドバイザリによると、セキュリティ情報のうち、4つがクリティカルと評価され、3つが重要と評価されました。 優先度が最も高い累積Internet Explorerパッチは、バージョン6から10までの、サポートされているすべてのバージョンのInternet Explorerに適用されます。
Kaspersky Labの上級セキュリティ研究者であるKurt Baumgartner氏はSecureListに次のように書いています。
IEアドバイザリは、数週間前にリリースされたWindows 7用IE 10をダウンロードしてインストールしたユーザーには適用されません。 現在、それらのどれも標的にされていませんが、IEは頻繁に標的となるため、すぐにパッチを適用する必要があります。
BeyondTrustのCTOであるMarc Maiffretは、「対処された9つのCVEのうち、7つがInternet Explorerのサポートされているすべてのバージョンに影響するため、脆弱性を選択する際に多くの選択肢があります」と SecurityWatch に語りました。
先週のCanSecWestでのPwn2Ownコンペティションの一部として開示された脆弱性は、今月のパッチには含まれていませんが、間もなくリリースされると確信しています。
Stuxnetのスペクター
今月パッチを当てたカーネルモードドライバの脆弱性は、2月と1月にパッチを当てたバグと似ているように見えるかもしれませんが、はるかに恐ろしい欠陥です。 USBデバイスドライバーの欠陥は、誰かがUSBドライブをコンピューターに挿入する行為によって引き起こされる可能性があります。 コンピューターがロックされているか、ユーザーがログアウトしているかは関係ありません。 コンピューターの電源を入れるだけです。
マイクロソフトはこのセキュリティ情報を「重要」ではなく「重要」と評価しました。攻撃では攻撃者がコンピューターに物理的にアクセスする必要があるためです。 リモートベクトルはありません。つまり、「非常に限定された標的型攻撃でのみ悪用される」ということです。
しかし、他の専門家は警戒していました。 nCircleのセキュリティオペレーションディレクターであるAndrew Stormsは、次のように述べています。 ロックされたキャビネットを持たない公共のキオスクとコロケーションセンターは、すべて危険にさらされています。 「この脆弱性が害を及ぼす可能性については言い過ぎない」とストームズ氏は述べた。
この脆弱性がどれほど深刻なのかを知るために、Stuxnetはユーザーの入力なしでWindowsがUSBドライブのコードを自動的に実行できる「自動実行」機能を利用しました。 Rapid7のRoss Barrettによると、それ以降の自動実行は無効になっていますが、自動実行にアクセスする前に最新のUSB脆弱性が発生します。
「あなたはこの攻撃方法を映画で何年も見てきましたが、今では世界中の企業で見られています」とストームズは言いました。
Silverlight、Office、SharePoint、Oh My!
重要な セキュリティ 情報の1つは、Microsoft Silverlightの問題を修正しました。これは、「世界中のだれもが実際にSilverlightを展開していることを知らなかったので興味深い」とRapid7のバレットは SecurityWatchに 語りました。 Silverlightを使用している人にとって、これは深刻な問題であり、「Flashの脆弱性と同等」とバレット氏は言います。 このバグはすべてのバージョンのSilverlightに影響しますが、パッチはSilverlight 5にのみ適用されます。ユーザーはパッチを適用する前にSilverlightを更新する必要があります。
Visio 2010 Viewerのパッチは、リモートでコードを実行できるため、重要と評価されています。 考えられる攻撃ベクトルは、ユーザーをだまして、電子メールで送信された不正なVisioドキュメントを読み取らせることです。 ただし、Visioの脆弱性を利用するには、Visio Viewer ActiveXコントローラーをインストールする必要があります、とBarrett氏は述べています。 緩和策としてパッチが完全に適用されるまで、管理者はその機能を無効にできると同氏は述べた。 SharePointの欠陥により、攻撃者はクロスサイトスクリプティングを使用して、保存されたクエリに悪意のあるコードを挿入できます。 そのクエリは、実行されると、管理者特権で攻撃コードを実行する可能性があります。
OneNoteとOutlook for Macの両方に今月パッチがあり、重要であると評価されています。 攻撃者は、ユーザーをだまして悪意のあるOneNoteファイルまたはフォルダーを開かせ、ユーザーのOneNoteファイルおよびフォルダーを読み取るためのパスワードおよび暗号化保護メカニズムをバイパスするバグをトリガーします。