ビデオ: ¡™£¢∞§¶•ªº–≠‘“πøˆ¨¥†®´∑œåß∂ƒ©˙∆˚¬…æ÷≥≤µ˜∫√ç≈∆ (十一月 2024)
これはソフトウェアパッチの3つの組み合わせであり、Microsoft、Adobe、およびOracleはすべて同じ日にセキュリティ更新プログラムをリリースします。
予想どおり、マイクロソフトは火曜日のかなり軽いパッチリリースで2014を開始し、4つのセキュリティ情報全体で6つのそれほど重要ではない脆弱性を修正しました。 同日、アドビは、Adobe Reader、Acrobat、およびFlashの3つの重大なリモートコード実行の欠陥を修正する2つの重大なアップデートを発行しました。 スケジュール上の問題により、オラクルの四半期ごとのクリティカルパッチアップデートも同じ火曜日に落ち、その結果、IT管理者が対処しなければならないパッチが大量に発生しました。 Oracleは、Java、MySQL、VirtualBox、およびその主要なOracleデータベースを含む40製品の144の脆弱性を修正しました。
QualysのCTOであるWolfgang Kandek氏は、次のように述べています。「Microsoftは4つのアップデートのみをリリースしていますが、AdobeとOracleによるリリースにより、IT管理者にとって多くの作業があります。
専門家によると、OracleのJavaパッチが最も優先順位が高く、次にAdobe ReaderとFlashの勧告、Microsoft WordとXPの更新が続くはずです。
OracleがJavaを採用
Oracleが四半期ごとにパッチを適用し、より多くの製品を修正していることを考慮しても、このCPUは修正された問題の数において依然として記録的な速さです。 144個のセキュリティ欠陥のうち、82個は、認証なしでリモートで悪用される可能性があるため、重大と見なされる可能性があります。
Oracleの巨大なCPUで対処された脆弱性の大部分はJava v7にありました。 オラクルは34のリモート実行の欠陥を修正し、Common Vulnerability Scoring Systemスケールでいくつかのスコア10をつけました。 CVSSは、欠陥の深刻さと、攻撃者がシステムを完全に制御する可能性を示しています。
Javaは2013年に最も攻撃されたソフトウェアの1つであり、専門家は引き続きJavaが人気のある標的であると警告しました。 使用しない場合は、アンインストールします。 Javaをインストールする必要がある場合は、少なくともWebブラウザーでJavaを無効にしてください。これまでのすべての攻撃はブラウザーを攻撃したためです。 Javaを必要とするWebアプリケーションにアクセスする場合は、デフォルトのWebブラウザーとは別のWebブラウザーに保持し、必要に応じて切り替えます。 必要ない場合は、保管しないでください。 そのままにしておく場合は、すぐにパッチを適用してください。
また、Oracleは自社のOracleデータベースにある5つのセキュリティ上の欠陥を修正しました。その1つはリモートで悪用される可能性があり、MySQLには18の脆弱性があります。 これらのバグのうち3つはリモートで攻撃され、最大CVSSスコアは10でした。サーバーソフトウェアSolarisには11の欠陥があり、そのうち1つはリモートで攻撃される可能性がありました。 最も深刻なSolarisバグのCVSSスコアは7.2でした。 CPUは、仮想化ソフトウェアVirtualBoxを含むOracle Virtualization Softwareの9つの問題に対処し、そのうち4つはリモートでトリガーできます。 最大CVSSスコアは6.2でした。
これらの製品のいずれかを実行している場合は、すぐに更新することが重要です。 MySQLは、WordPressやphpBBなど、多くの一般的なCMSおよびフォーラムソフトウェアのバックエンドシステムとして広く使用されています。
リーダーとフラッシュの修正
アドビは、Adobe Flash、Acrobat、およびReaderのセキュリティ問題を修正しました。これらの脆弱性が悪用された場合、攻撃者はターゲットシステムを完全に制御できます。 AcrobatおよびReaderのバグの攻撃ベクトルは、悪意のあるPDFファイルでした。 Flashの欠陥は、悪意のあるWebページにアクセスするか、Flashオブジェクトが埋め込まれたドキュメントを開くことにより悪用される可能性があります。
アドビ製品のバックグラウンド更新を有効にしている場合、更新はシームレスに行われます。 Google ChromeとInternet Explorer 10および11を使用しているユーザーは、ブラウザがソフトウェアを自動的に更新するため、新しいバージョンのFlashについて心配する必要はありません。
ライトマイクロソフトアップデート
Microsoftは、ユーザーがブービートラップされたWordファイルを開くとリモートで悪用される可能性があるMicrosoft Word(MS14-001)のファイル形式の脆弱性を修正しました。 Office 2003、2007、2010、2013を含むWindows上のすべてのMicrosoft Wordバージョン、およびWordドキュメントビューアーに影響します。 Mac OS Xユーザーは影響を受けません。
昨年11月に発見されたWindows XPおよびServer 2003システムに影響するゼロデイ脆弱性(CVE-2013-5065)がついに修正されました(MS14-002)。 NDProxyの権限昇格の欠陥はリモートでは実行できませんが、他の脆弱性と組み合わせることができるため、優先度を高くする必要があります。 11月の攻撃では、Windowsカーネルのバグにアクセスするために、悪意のあるPDFドキュメントを使用して、Adobe Reader(APSB13-15で2013年5月にパッチが適用されました)の欠陥を最初に引き起こしました。 Microsoftは、Windows 7およびServer 2008(MS14-003)の同様の特権エスカレーションの欠陥を修正しました。
「003ではなく002を心配している場合、Windows XPのサポートが終了する4月にいくつかの問題が発生する可能性が高いでしょう」とRapid7氏は述べています。
Trustwaveは、これらの脆弱性自体は重大ではないかもしれませんが、組み合わされるとさらに深刻になる可能性があると警告しています。 悪意のあるOfficeドキュメントを使用するキャンペーンが特権昇格のバグをターゲットにしたコードを実行した場合、「疑いを持たないユーザーへのフィッシングメールだけで十分です」とチームは言いました。