ビデオ: 戯言スピーカー水曜日ver (十一月 2024)
午後、マイクロソフトはWindows、Internet Explorer、およびExchangeを含む多くのサービスの23の脆弱性に対処する8つのセキュリティ情報をリリースしました。 これらのうち、3つはクリティカルの最高評価を獲得し、残りは重要としてマークされました。
パッチの優先順位付けを検討しているユーザーには、MS13-059およびMS13-060に焦点を当てることをお勧めします。 そうは言っても、できる限りすぐにすべてにパッチを適用する必要があります。
フォント攻撃とIEの脆弱性
Bulletin 059はInternet Explorer用の累積的なセキュリティ更新プログラムであり、非公開で公開された11件の脆弱性を対象としています。 「ユーザーがInternet Explorerを使用して特別に細工されたWebページを表示すると、最も深刻な脆弱性によりリモートでコードが実行される可能性があります」とMicrosoftは述べています。 「これらの脆弱性のうち最も深刻なものを悪用した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。」
BeyondTrustのCTOであるMarc Maiffret氏は次のように説明しています。「この脆弱性は単独でコードの実行を許可せず、代わりに別の脆弱性と組み合わされてユーザー権限でコードを実行します。」
IEアップデートは、2013年のpwn2ownコンテストでVUPEN Securityが使用した脆弱性の修正を含むことでも注目に値します。 見る? その競争はすべて報われています。
Bulletin 060はUnicodeスクリプトプロセッサの脆弱性に関連しており、基本的に攻撃者がフォントレンダリングを攻撃ベクトルとして使用できるようにします。 先月のパッチ火曜日の更新でも同様の問題が見られました。
QualysのCTOであるWolfgang KandekはSecurityWatchに、「フォントはカーネルレベルで描画されるため、何らかの方法でフォントの描画に影響を与えてオーバーフローさせることができる」と説明しました。 これは、攻撃者が被害者のコンピューターを制御できるようになる、とカンデックは言いました。
Windows XPのBangaliフォントに限定されていますが、この脆弱性は、攻撃のさまざまな手段が提供されるため、特に当惑させられます。 Qualys Vulnerability LabsのディレクターであるAmol Sarwateは、次のように述べています。 攻撃者がしなければならないことは、被害者をドキュメント、電子メール、または悪意のあるWebページに誘導して、脆弱性を悪用することだけです。
重大なExchangeの脆弱性
3番目の重要なセキュリティ情報は、Microsoft Exchangeサーバーでのリモートコード実行に関するものです。 KandekはSecurityWatchに、攻撃者が特別に作成されたPDFファイルを使用してこれら3つの脆弱性を悪用し、ダウンロードではなく表示すると被害者のメールサーバーを攻撃する可能性があると述べました。
以前、これらの脆弱性は、影響を受けるコンポーネントを作成するOracleによって開示されていました。 ありがたいことに、野生ではまだ実行が発見されていませんが、過去に同様の問題が繰り返しパッチされています。 Maiffretは、2つの脆弱性は「WebReadyのドキュメント表示機能内にあり、昨年(MS12-058、MS12-080、およびMS13-012)に何度もパッチが適用された」と述べています。一貫した黒目。」
Kandek氏は、「このソフトウェアコンポーネントの脆弱性を見つけるのは非常に簡単でした」と述べており、ユーザーはソフトウェアにパッチを当てるだけでなく、この機能を停止することを検討する必要があります。 これを行うと、ユーザーはメールの添付ファイルを表示するためにダウンロードするように強制されますが、これはセキュリティの代価としては少額かもしれません
今月のパッチリストには、IPv6の脆弱性、特権の昇格、サービス拒否、情報漏えいの脆弱性など、他にもいくつかの利点があります。 誰もがパッチを適用できるようになりますが、来月のバグ修正の準備が整います。