ESET/マルウェア情報局
マイクロソフトとアドビシステムズが公開した最新パッチのポイントとは
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された2018年9月のマイクロソフト社、アドビシステムズ社のセキュリティアップデートを解説するを再編集したものです
マイクロソフトが9月に公開した恒例の「Patch Tuesday」では、Windowsや他のソフトウェア、特にInternet ExplorerやMicrosoft Edgeといったウェブブラウザーだけでなく、Microsoft Office、Microsoft Sharepoint、Hyper-V、.NET Frameworkなど合計61件のセキュリティ上のバグに対処している。SANS Technology Instituteによる表に理解しやすいようにまとめられているが、アップデートのうち17件が「緊急」(Critical) レベルとなっている。
重要な点として、今月のアップデートではWindows 7からWindows 10までのOSにおいて「重要」(Important) レベルの脆弱性が修正されている。バグがTwitterへの投稿 (現在は削除済み) で公表されてからわずか2日後に、PowerPoolと呼ばれる新たに発見された犯罪グループがユーザー環境でこの脆弱性を悪用していたため、ESETの研究者はこの脆弱性に気づいたのである。CVE-2018-8440にもとづいて追跡されてしまうゼロデイ脆弱性により、権限が限定されたWindowsユーザーでもパッチ非適用のシステム上で管理者権限を取得可能となってしまうのだ。
さらに、今月のパッチでは、公開前に明らかになったものの、攻撃を受けているかどうか判明していない3件の脆弱性に追加で対処している。System.IO.Pipelines(ライブラリー)に対するDoS 攻撃を可能とする脆弱性である、CVE-2018-8409は「重要」レベルであるが、他2件のバグもこれを上回る「緊急」レベルのものであった。
マイクロソフト社のアドバイザリーによると、2件の脆弱性のうち最初の1件であるCVE-2018-8457は、遠隔でコードが実行されるバグであり、これは「マイクロソフトのブラウザーでスクリプトエンジンがメモリー内のオブジェクトを処理する方法」によるものである。攻撃者はこれを悪用し、ターゲットとなったユーザーがマイクロソフトのウェブブラウザーで悪意のあるウェブサイトにアクセスするよう誘導される恐れがある。「脆弱性の悪用に成功した攻撃者は、ターゲットとなったユーザーと同じユーザー権限を取得できる可能性がある」と同社は述べている。
もう一つの公表済みの「緊急」な脆弱性であるCVE-2018-8475も、Windowsにおいて遠隔でコードが実行される脆弱性であり、攻撃者が巧妙にバグを仕込んだ画像ファイルをシステムが適切に処理できず生じるものである。攻撃者はセキュリティホールを悪用し、ターゲットとなるユーザーがそのような画像ファイルを読み込むように誘導して任意のコードを実行させる恐れがある。
一方、アドビシステムズ社は独自のパッチをまとめて提供しているが件数は多くない。同社の今月のアップデートでは、ウェブアプリケーション開発プラットフォームであるColdFusionの特に2018、2016そして11のバージョンで発見された、9件の脆弱性に対処している。これには、「緊急」レベルのアップデートが6件含まれており、そのうち5件は攻撃者が攻撃対象のシステムで任意のコードを実行できる恐れがあるものだ。
そして今回、Windows、macOS、Linux、Chrome OSを対象としたAdobe Flash Playerのアップデートも公開している。「この権限昇格というバグは『重要』レベルであり、この悪用を防がなければ情報漏洩の恐れがある」と同社は見解を示している。
[引用・出典元]