MS、8月のセキュリティ更新プログラムを公開--ゼロデイ脆弱性2件にも対処

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部2018年08月16日 11時21分

 Microsoftは米国時間8月14日、8月のセキュリティ更新プログラムを公開した。計60種類の脆弱性が修正される。

 アップデートの影響を受けるのは、「Windows」「Internet Explorer」「Microsoft Edge」「Microsoft Office」「ChakraCore」「.NET Framework」「Microsoft Exchange」「SQL Server」「Visual Studio」など。また2種類のゼロデイ脆弱性(CVE-2018-8414CVE-2018-8373)も修正されている。

 CVE-2018-8414はリモートコード実行の脆弱性で、「Windows Shell」がパスを適切に検証しない場合に発生する。このバグは、特別に細工されたファイル(フィッシング電子メール経由で送信される可能性もある)の使用を通して悪用される。

 攻撃者はこの脆弱性を悪用して、現在のユーザーのコンテキストで任意のコードを実行し(被害者が管理者としてログインしている場合は、特に深刻な問題だ)、不要なプログラムのインストール、マルウェアの展開、データの閲覧、削除、および変更、新しいアカウントの作成などを実行できる。

 CVE-2018-8341の「Windowsカーネルの情報漏えいの脆弱性」も今回修正されている。これはWindowsカーネルによるメモリ内のオブジェクトの不適切な処理によって引き起こされる情報漏えいの脆弱性だ。

 この脆弱性を悪用するには、攻撃者が脆弱なシステムにログインして、特別に細工されたアプリケーションを実行する必要がある。

 Microsoftは「MySQL Server 2016」と「MySQL Server 2017」のバッファオーバーフローの脆弱性(CVE-2018-8273)も修正した。この脆弱性を悪用されると、SQL Server Database Engineサービスアカウントのコンテキストでリモートからコードを実行されるおそれがある。

 Windows OSと「Windows Server」に影響を及ぼす3種類の重要な情報漏洩の脆弱性(CVE-2018-8398CVE-2018-8396CVE-2018-8394)も修正された。

 同社はまた、Intelのプロセッサにみつかった投機的実行の新しい脆弱性「L1 Terminal Fault」(L1TF)に対する技術分析と緩和策のオプションを記したガイダンスも公開している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]