ビデオ: Делаю себе мультяшный Windows (十一月 2024)
Microsoftは7月のパッチの一部として、.NET Framework、Windowsカーネル、およびInternet Explorerの34の固有のバグを修正する7つのセキュリティ情報をリリースしました。 セキュリティバグのあるアプリに関する、Microsoftマーケットプレイス向けの新しい180日間のポリシーもあります。
マイクロソフトは昨日午後にリリースされたパッチ火曜日のアドバイザリで、7つのセキュリティ情報のうち、6つがクリティカルと評価され、1つが重要と評価されたと述べた。 マイクロソフトは、最初にIEのセキュリティ情報(MS13-055)をインストールし、次にWindowsカーネルモードドライバーのセキュリティ情報(MS13-053)をインストールすることを推奨しました。 残りのTrueTypeおよびWindowsのセキュリティ情報は次の優先度グループにあり、唯一の「重要な」パッチがそれに続きました。
Rapid7のセキュリティエンジニアリングのシニアマネージャーであるRoss Barrettは、次のように述べています。「Microsoftのコアワールドのすべては、これらの1つ以上の影響を受けます。
Windows 8.1 PreviewおよびIE 11は、これらのセキュリティ情報の影響を受けません。
Uい、Uいフォント
3つの個別のセキュリティ情報(MS13-052、MS13-053、およびMS13-054)は、.NETのTrueTypeフォントの脆弱性を修正しました。 BeyondTrustのCTOであるMarc Maiffret氏によると、このTrueTypeフォントのバグは、StuxnetとDuquが悪用したバグと似ていますが、Windowsカーネルではなく.NETに存在するという事実が異なります。
MS13-054は、WindowsカーネルのコンポーネントであるGDI +のTrueType脆弱性を修正しました。 この欠陥は、サポートされているすべてのバージョンのWindows、Office 2003/2007/2010、Visual Studio.NET 2003、およびLync 2010/2013を含む複数の製品に影響します。 Maiffretは、非常に多くの製品がGDI +を使用しているため、この欠陥が近い将来攻撃者に悪用されると予測しました。
「MS13-053はグループの最悪です」とCORE SecurityのテクニカルサポートエンジニアであるTommy Chin氏は述べています。 攻撃者は、潜在的な被害者をソーシャルエンジニアリングして、悪意のあるTrueTypeコンテンツを含む細工されたファイルを表示できます。 成功した場合、攻撃者は影響を受けるシステムへの管理者アクセスを取得します、とチンは言いました。
セキュリティ研究者Tavis Ormandyによって発見されたWindowsカーネルのゼロデイ脆弱性もこのセキュリティ情報で修正されています。 この脆弱性の悪用はMetasploitなどのパブリックフレームワークに既に含まれていることを考慮すると、これは優先度が高いはずです。
インターネットエクスプローラ
Internet Explorerの大規模な更新プログラムは17の欠陥に対処し、そのうち16はメモリ破損の脆弱性であり、1つはクロスサイトスクリプティングのバグです。 メモリ破損の欠陥は、攻撃者が悪意のあるWebページを設定し、ソーシャルエンジニアリングの戦術を使用してユーザーを悪意のあるページに誘導するドライブバイ攻撃で使用できます。 過去2、3のパッチ火曜日にInternet Explorerで多くのメモリ破損バグが発生した、とMaiffret氏は、「このパッチはできるだけ早く展開することが不可欠です」と付け加えました。
マイクロソフトマーケットプレイスポリシーの変更
マイクロソフトは、マイクロソフト市場に関連するポリシーの変更も発表しました。 新しいポリシーでは、Microsoftが実行する4つのアプリストア(Windowsストア、Windows Phoneストア、Officeストア、Azure Marketplace)のいずれかのアプリには、セキュリティ問題を解決するために180日間が与えられます。 タイムラインは、クリティカルまたは重要と評価され、攻撃を受けていない脆弱性に適用されます。
その期間内にパッチが適用されない場合、アプリはストアから削除されるとMicrosoftは述べた。 このポリシーは、サードパーティの開発者とマイクロソフトの両方のアプリケーションに適用されます。
Tripwireのセキュリティ研究者であるCraig Young氏は、次のように述べています。
ただし、180日は長い時間であり、Microsoftがアプリをプルする可能性はほとんどありません。 開発者は重大な脆弱性の修正に6か月以上費やす可能性が低く、更新に予想よりも長い時間がかかる場合、マイクロソフトは例外を認めています。
それを考慮すると、新しいポリシーは、開発者に悪影響を与えることなく、Microsoftが厳しい意見を述べる方法のように聞こえます。
もっと先に
これは管理者にとって忙しい月になるでしょう。 Adobeは独自のアップデートをリリースし、Oracleは来週Javaを除くすべてのソフトウェアの四半期ごとのアップデートをリリースします。