ビデオ: ¡™£¢∞§¶•ªº–≠‘“πøˆ¨¥†®´∑œåß∂ƒ©˙∆˚¬…æ÷≥≤µ˜∫√ç≈∆ (九月 2024)
Microsoftは、12月のPatch Tuesdayリリースで11のセキュリティ情報を発表し、Microsoft Windows、Internet Explorer、Office、ExchangeなどのMicrosoftソフトウェアの24の脆弱性を修正しました。 Microsoftは、11月に発見されたXP / Server 2003のゼロデイの欠陥に対処していませんでしたが、Windows、Office、およびLyncエンタープライズメッセージングシステムに影響を与えたTIFFバグを修正しました。
5つのセキュリティ情報は「重要」と評価され、残りの6つは「重要」と見なされます。 この場合の重大な意味は、悪用された場合、攻撃者がリモートでコードを実行できることを意味します。 このコンテキストで重要なのは、この脆弱性によりユーザーデータが侵害されたり、特定のプロセスが中断したりする可能性があることを意味します。 マイクロソフトは、重要なパッチをすぐに適用し、重要なパッチを「できるだけ早く」適用することをお勧めします。
Rapid7のセキュリティエンジニアリングのシニアマネージャーであるRoss Barrettは、次のように述べています。
修正されたゼロデイ
グラフィックコンポーネントのゼロデイ問題は、Windows Vista、Windows Server 2008、Office 2003/2007/2010、およびLync 2010/2013に影響を及ぼしました。 この脆弱性は、悪意を持って作成されたTIFFイメージをプレビューまたは開くことで悪用される可能性があり、XPシステム上のOffice 2010を標的とした攻撃が成功します。 このバグはMS13-096で修正された、とMicrosoft Trustworthy ComputingのグループマネージャーであるDustin Childsは述べた。
11月にホットフィックスをインストールしたとしても、ユーザーと管理者はこのパッチを最優先事項として扱う必要があると、Lumensionのフォレンジックアナリスト、ポールヘンリーはSecurityWatchに語りました。 「クリックするようにユーザーを説得するのは必ずしも難しいことではないので、このパッチは絶対に歓迎します」とヘンリーは言いました。
Internet Explorerの多くの修正
次の優先度のパッチはMS13-097、つまりInternet Explorerの累積的な更新プログラムです。 このセキュリティ情報は、7つのバグを解決します。 これらの問題は現在ターゲットにされていませんが、多くのマルウェア作成者は、新しいエクスプロイトを作成するためにパッチをリバースエンジニアリングすることを好みます。 つまり、IEをすぐに更新しないユーザーは、これらのエクスプロイトの1つに巻き込まれる可能性があります。
IEパッチで修正されたバグの1つは、サポートされているInternet Explorerのすべてのバージョンに影響し、BeyondTrustのCTOであるMarc Maiffret氏は警告しました。 「できるだけ早くこのパッチを展開してください」と彼は言いました。
このWindowsコンポーネントはオペレーティングシステムのすべてのバージョンで配布されるため、Microsoftスクリプトランタイムオブジェクトライブラリ(MS13-099)の問題を修正するセキュリティ情報も優先度が高いと見なす必要があります。 攻撃者は、ドライブバイ攻撃を開始することでWebブラウザーを介してこの欠陥を悪用し、被害者のコンピューターをmaliciousして悪意のあるコードを実行させることができるとMaiffretは警告しました。
署名の検証に関する問題
Microsoftは、サポートされているすべてのバージョンのWindowsに存在するWinVerifyTrust署名検証メカニズム(MS13-098)の問題を修正しました。 攻撃者はこの欠陥を利用して、プログラムの署名を無効にすることなく、署名されたプログラムを変更することができます。 ユーザーは、実際には悪意のあるコードが含まれていたのに正当な署名があったため、実行可能ファイルは正当なプログラムであると考えるでしょう、とMaiffretは言いました。
この脆弱性を標的とするエクスプロイトは既に実環境で確認されており、このパッチの展開も優先事項となっています。
Outlook Web AccessのExchangeバグ
Microsoft Exchangeのセキュリティ情報(MS13-105)は、Outlook Web Access(OWA)の問題に対処し、OracleのOutside-Inコンポーネントに関連しています。 このパッチは、オラクルが10月にクリティカルパッチアップデートでコンポーネントの新しいバージョンをリリースした後に提供されます。 攻撃者は、悪意のあるドキュメントを電子メールで送信することにより、これらのバグを悪用できます。 QualysのCTOであるWolfgang Kandek氏によると、攻撃者はユーザーをだまして閲覧させた後、メールサーバー全体を制御できます。 「セットアップでOWAを使用する場合、MS13-105は組織にとって重要なパッチです」とKandek氏は述べています。
Adobe Flashのパッチ
同社はさらに4つのアドバイザリをリリースし、そのうちの1つはInternet ExplorerのAdobe Flash Playerを更新しました。 Adobeは本日、Flash Player 11.9.900.153とWindowsおよびMac OS Xの以前のバージョンの2つの脆弱性にパッチを当てました。問題の1つは現在、実際に標的にされているとAdobeは述べています。 マイクロソフトがアドバイザリをリリースした理由は、GoogleがChromeブラウザで行っていることと同様に、Flash PlayerをInternet Explorerの最新バージョンにバンドルしているためです。
別のマイクロソフトのアドバイザリは、ASP.NETアプリケーションに影響する重要な認証関連の問題に対処しました。.NETアプリケーション開発者は、アドバイザリに注意を払って、アプリケーションが影響を受けないようにする必要があります。
「ここに関係するすべてのチームにとって忙しい月となり、すべてにパッチを当てることができて嬉しい」とバレットは語った。
