
マイクロソフトは、Microsoft Office、Webブラウザおよびその他の製品のCVEリストに記載されている脆弱性を合計50件対応するため、2018年2月のセキュリティ更新プログラムをリリースしました。
セキュリティ更新プログラムのうちの14件がクリティカル、34件が重要と評価され、2件が重大度が中程度と評価されています。
クリティカルな更新プログラムは、EdgeブラウザとOutlookクライアント、WindowsのStructuredQueryコンポーネントのRCE、EdgeとInternet Explorerで使用されるスクリプトエンジンで、メモリにある、深刻なセキュリティ欠陥を修正します。
クリティカルなMicrosoft Outlookの脆弱性
最も深刻なバグの1つに、Microsoft Outlookにメモリ破損の脆弱性(CVE-2018-0852)が含まれています。この脆弱性は、対象マシンをリモートでコードを実行される可能性があります。
この脆弱性から侵入するためには、攻撃者は犠牲者を騙して、ウィルスに感染したメッセージの添付ファイルを開くか、Outlookのプレビューウィンドウで表示する経路が考えられます。この行為により、悪質な添付ファイル内の任意のコードが被害者のセッションのコンテキストで実行されてしまいます。
感染者が管理者権限でログオンしている場合、攻撃者はシステムを乗っ取り、プログラムをインストールしたり、完全なユーザー権限で新しいアカウントを作成したり、データを表示、変更、削除することができます。
Zero Day Initiative(ZDI)は、プレビューウィンドウが攻撃対象であり、プレビューウィンドウ内で、電子メールを表示するだけでコードが実行される可能性があり、本当に恐ろしい脆弱性であると述べています。
2番目のOutlookの脆弱性(CVE-2018-0850)は、影響を受けるバージョンのOutlookでローカルまたはリモートサーバーからSMBを介してメッセージストアを強制的に読み込める脆弱性問題です。
攻撃者は、特別に細工された電子メールをOutlookユーザーに送信することによってこの脆弱性を悪用することができます。メッセージが受信されたばかりであっても、開かれる前にバグが悪用される可能性があります。
「Outlookは、電子メールの受信時に電子メールに含まれる事前設定されたメッセージストアを開こうとするだろう」と注意勧告で説明している。この更新プログラムは、メッセージの内容を処理する前に、受信した電子メールの書式をOfficeが検証するようにすることで、この脆弱性を解決します。
クリティカルなMicrosoft Edgeの脆弱性
情報漏えいの脆弱性(CVE-2018-0763)であるもう1つの致命的な欠陥は、Microsoft Edgeがメモリ内のオブジェクトを不適切に処理しているため発生する可能性があるものです。
攻撃者はこの脆弱性を悪用して、被害者のマシンをさらに危険にさらす機密情報を正常に取得できます。
Webベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用する目的でWebサイトをホスティングし、脆弱性をついて攻撃ができます。
しかし、どのような場合でも、攻撃者はユーザーに攻撃者が管理するコンテンツを表示させることはできませんが、攻撃者はユーザーにリンクなどえ行動を促す必要があります。
その他の重要な問題には、Microsoft EdgeのScripting Engine Memory Corruptionの脆弱性がいくつか含まれています。これらの脆弱性は、現在のユーザーのコンテキストでリモートコードを実行するために悪用される可能性があります。
マイクロソフトエッジの欠陥(CVE-2018-0839)は、メモリ内のオブジェクトの不適切な処理のために存在する情報漏えいの脆弱性です。
バグの悪用を成功させると、攻撃者はユーザーのシステムをさらに侵食し機密情報を取得できる可能性があります。
Internet Explorerには、情報漏えいの脆弱性(CVE-2018-0847)に対処するためのパッチも用意されています。重要な点は、WebページがVBScriptを使用してメモリから格納された情報を取得できるようになることです。
パッチ適用前に公開されている脆弱性
パッチを当てた脆弱性のリストにはゼロデイの欠陥は含まれていませんが、パッチがリリースされる前にMicrosoft Edgeのセキュリティ欠陥(CVE-2018-0771)の1つが公に知られていました。
この問題は、マイクロソフトエッジがさまざまな起源の要求を不適切に処理したために発生する、同一起点ポリシー(SOP)のバイパス脆弱性です。
この脆弱性により、攻撃者はSOPの制限をバイパスし、他のサイトからのデータを送信し、Webページを作成することができます。
一方、Adobeは、Acrobat、Reader、およびExperience Manager製品のセキュリティアップデートを発表し、合計41のセキュリティ脆弱性を解決しました。そのうちの17は重篤とされ、24は重要されています。
ユーザーは、ハッカーやサイバー犯罪者がコンピュータを制御できないように、できるだけ早くセキュリティパッチを適用することを強く推奨します。
セキュリティ更新プログラムをインストールするには、[設定]→[更新とセキュリティ]→[Windows Update]→[更新プログラムの確認]の順に進むか、手動で更新プログラムをインストールします。
