56
マイクロソフト、最新の「パッチ火曜日」アップデートで多数の重大な脆弱性を修正

マイクロソフトは最新の「Patch Tuesday」アップデートをリリースし、Windows のほか、Office、Skype、Internet Explorer、Edge などの主力製品におけるいくつかの重大な脆弱性を修正しました。

インターネットエクスプローラー

おそらく既に予想されていた通り、Internet Explorerには依然としてバグが存在します。新たな一連のバグにより、Internet Explorer専用に開発されたウェブページにアクセスしたIEユーザーに対してリモートコード実行が可能になります。攻撃者はこの脆弱性を悪用し、サイトにアクセスしたユーザーと同じユーザー権限を取得する可能性があります。

つまり、ユーザーが管理者(ほとんどのWindowsユーザーを含む)としてログインしている場合、攻撃者はシステムを完全に制御できる可能性があります。攻撃者は新しいアプリをインストールしたり、データを削除したり、新しい管理者アカウントを作成したりすることも可能です。しかし、ユーザーが制限付きアカウントを使用している場合、攻撃者はユーザーに知られずにシステムに大きな変更を加えることはできません。

Edgeは、サンドボックスアーキテクチャのおかげでMicrosoftの新しいブラウザとなり、より安全になりましたが、それでもまだ完全に無防備というわけではありません。最新のバグはリモートコード実行も可能にし、攻撃者は現在のユーザーと同じユーザー権限を取得する可能性があります。制限付きアカウントのユーザーは、管理者権限を持つユーザーよりもこのバグの影響は少ないと考えられます。

オフィス

Officeは、レガシーコードが原因で、Microsoftのプログラムの中でも最も攻撃を受けやすいものの一つです。しかし、世界中の何億人ものユーザーがWordやExcelのドキュメントを頻繁に共有しているため、攻撃を受ける可能性も高くなります。ドキュメントの共有によって攻撃の可能性は高まり、攻撃者はマルウェアを仕込み、それを何も知らないOfficeユーザーに送りつける可能性があります。

グラフィックスコンポーネント

Microsoftは、Windows、Office、Skype for Business、そしてLyncエンタープライズメッセンジャーに影響を与えるWindowsグラフィックソフトウェアのセキュリティ脆弱性にもパッチを当てました。この脆弱性により、特別に細工されたWebページにアクセスしたり、特別に細工されたドキュメントを開いたりしたユーザーに対して、リモートコード実行が可能になります。

Windows カーネルモード ドライバー

バグの1つはWindowsカーネルモードドライバに影響を及ぼし、権限昇格を許していました。攻撃者は、例えば上記の脆弱性のいずれかを利用してシステムへのアクセスを既に取得している必要があります。ユーザーが制限付きアカウントを使用している場合、攻撃者はカーネルモードドライバのバグを利用して管理者権限も取得できます。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

セキュアブート

2人のセキュリティ研究者が既にMicrosoftに複数のセキュアブートの脆弱性を報告しています。これらのバグにより、攻撃者はWindowsのセキュリティ機能を回避できる可能性があります。Microsoftは今回のパッチチューズデーでこれらのバグの1つを修正したようですが、これらの脆弱性を発見した研究者によると、今回のアップデートではすべての脆弱性が修正されたわけではないとのことです。そのため、セキュアブートは現時点では依然として脆弱な状態が続いています。

その他のバグ

今回のアップデートで修正された他の脆弱性の中には、同一ドメインに接続されたシステムで権限昇格を許すものもありました。また、細工されたPDFファイルを開くユーザーを攻撃し、システムを完全に制御される可能性のある脆弱性もありました。ActiveSyncProviderにもバグが見つかり、Universal Outlookが安全な接続を確立できなかった場合に情報漏洩を引き起こす可能性がありました。

RC4はもうない

Internet ExplorerとEdgeの累積アップデートの一環として、Microsoftは古くて安全性の低いRC4暗号のサポートも削除しました。RC4に対する複数の実用的攻撃が効果的であることが証明された後、Microsoftは過去3年間、ウェブサイトに対しRC4のサポートを無効にするよう推奨してきました。

RC4 を必ずサポートする必要があるウェブサイトについては、Microsoft は Windows のインターネット オプションとレジストリ設定の変更によって RC4 を有効にするオプションを提供しています。ただし、Microsoft はこの方法は推奨していません。現時点でのベストプラクティスは、ウェブサイトが TLS 1.2 以降をサポートし、暗号化接続には AES-GCM モードを使用することです。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Tips
Posted by Lorlink