Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、月例パッチ14件を公開 - 2件のゼロデイ脆弱性に対応

日本マイクロソフトは、8月の月例セキュリティ更新を公開した。あわせて58件の脆弱性を修正しており、2件に関してはゼロデイ攻撃が発生しているという。

20150812_ms_001.jpg
8月の月例セキュリティ更新一覧(表:MS)

最大深刻度が、4段階中もっとも高い「緊急」にレーティングされたアップデートは4件。「MS15-079」では、「Internet Explorer」の累積的な脆弱性12件に対応した。コマンドラインパラメータを渡すことにより、情報漏洩が生じる脆弱性「CVE-2015-2423」は、すでに公開されている。また「MS15-091」では、「Microsoft Edge」の累積的な脆弱性4件を修正した。

さらに「Microsoft Graphicsコンポーネント」の脆弱性16件に対して、「MS15-080」で対応。「ASLR(Address Space Layout Randomization)」をパイパスする「CVE-2015-2433」は公開済みの脆弱性だという。

「Office」に対しては「MS15-081」を提供する。リモートでコードが実行される脆弱性や情報漏洩が生じる脆弱性など8件に対応した。メモリ破壊が生じる「CVE-2015-1642」に関してはすでに悪用が確認されている。

IEと同様に「CVE-2015-2423」についても修正しているが、「MS15-079」をあわせて適用する必要がある。また同プログラムには、脆弱性の修正にくわえて、多層防御によりMicrosoft Officeのセキュリティを強化する機能を盛り込んだとしている。

のこる10件の更新はいずれも深刻度「重要」のプログラム。

なかでも「MS15-085」において修正された特権の昇格が発生するマウントマネージャの脆弱性「CVE-2015-1769」に関しては、未公開だが悪用が確認されているという。悪意あるUSBデバイスによりバイナリをディスクに書き込まれ、実行されるおそれがある。

「MS15-082」ではRDP、「MS15-083」では「サーバメッセージブロック」に関する脆弱性を修正。悪用された場合、リモートよりコード実行される問題を解決した。

「Windows」や「.NET Framework」「System Center Operations Manager」「UDDIサービス」において特権の昇格が生じる脆弱性を、それぞれ「MS15-090」「MS15-092」「MS15-086」「MS15-087」で解消した。

情報漏洩につながる「XMLコアサービス」や「WebDAV」の脆弱性を「MS15-084」「MS15-089」で修正。コマンドラインパラメーターの受け渡しに存在する脆弱性「CVE-2015-2423」を「MS15-088」で対応した。同アップデートに関しても、IE向けに提供される「MS15-079」とあわせて適用する必要があるので注意が必要。

(Security NEXT - 2015/08/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
MS、月例パッチで脆弱性90件を修正 - すでに2件は悪用済み
「FortiManager」狙う攻撃 - IoC情報など更新、被害ないか確認を
「FortiManager」脆弱性、6月下旬より悪用 - 被害機器は50以上か
「Firefox」に脆弱性 - わずか5日で再度アップデート
「Ivanti CSA」にゼロデイ脆弱性 - 既知脆弱性と連鎖させた攻撃
米当局、「Adobe Flash Player」脆弱性を悪用リストに追加 - 使用中止求める
1週間で脆弱性7件を悪用リストに追加 - 米当局
9月のMS月例パッチで「悪用なし」の脆弱性 - 7月以前に悪用
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.