Endpoint Protection

マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2015 年 8 月 

08-13-2015 09:18 PM

ms-tuesday-patch-key-concept-white-light 2_5.png

今月のマイクロソフトパッチリリースブログをお届けします。 今月は、52 件の脆弱性を対象として 14 個のセキュリティ情報がリリースされています。 このうち 22 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 8 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/library/security/ms15-aug

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS15-079 Internet Explorer 用のセキュリティ更新プログラム(3082442)

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2441)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2442)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2443)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2444)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2446)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2447)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2448)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2450)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2451)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2015-2452)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer ASLR のバイパスの脆弱性(CVE-2015-2445)MS の深刻度: 重要

    Internet Explorer が Address Space Layout Randomization(ASLR)セキュリティ機能を使えない場合にセキュリティ機能バイパスの脆弱性が存在します。そのため、攻撃者が、特定のコールスタック内の特定の命令のメモリオフセットを、かなりの確率で予想できるようになります。 この脆弱性により、攻撃者は Address Space Layout Randomization(ASLR)セキュリティ機能をバイパスできる可能性があります。

    Internet Explorer ASLR のバイパスの脆弱性(CVE-2015-2449)MS の深刻度: 重要

    Internet Explorer が Address Space Layout Randomization(ASLR)セキュリティ機能を使えない場合にセキュリティ機能バイパスの脆弱性が存在します。そのため、攻撃者が、特定のコールスタック内の特定の命令のメモリオフセットを、かなりの確率で予想できるようになります。 この脆弱性により、攻撃者は Address Space Layout Randomization(ASLR)セキュリティ機能をバイパスできる可能性があります。

    安全ではないコマンドラインパラメータを渡すことによる脆弱性(CVE-2015-2423)MS の深刻度: 重要

    Internet Explorer 拡張保護モード(EPM)の整合性レベル「低」で実行されているとき、整合性レベル「中」のファイルがアクセスできるようになる場合に、Internet Explorer に情報漏えいの脆弱性が存在します。 攻撃者はこの欠陥を利用して、整合性レベル「低」ではアクセスできないはずのディスク上のファイルを読み取ることができます。

  2. MS15-080 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(3078662)

    Microsoft Office Graphics コンポーネントのリモートコード実行の脆弱性(CVE-2015-2431)MS の深刻度: 重要

    Microsoft Office が Open Graphic ライブラリ(OGL)フォントを正しく処理しない場合に、リモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    OpenType フォントの解析の脆弱性(CVE-2015-2432)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    OpenType フォントの解析の脆弱性(CVE-2015-2458)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    OpenType フォントの解析の脆弱性(CVE-2015-2459)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピュータが完全に制御される可能性があります。

    OpenType フォントの解析の脆弱性(CVE-2015-2460)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    OpenType フォントの解析の脆弱性(CVE-2015-2461)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    OpenType フォントの解析の脆弱性(CVE-2015-2462)MS の深刻度: 緊急

    特別に細工された OpenType フォントを Windows Adobe Type Manager ライブラリが正しく処理しない場合に、Microsoft Windows にリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    TrueType フォントの解析の脆弱性(CVE-2015-2435)MS の深刻度: 緊急

    Windows、Office、Lync、Silverlight のコンポーネントが TrueType フォントを正しく処理しない場合に、リモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    TrueType フォントの解析の脆弱性(CVE-2015-2455)MS の深刻度: 緊急

    Windows、.NET Framework、Office、Lync、Silverlight のコンポーネントが TrueType フォントを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    TrueType フォントの解析の脆弱性(CVE-2015-2456)MS の深刻度: 緊急

    Windows、.NET Framework、Office、Lync、Silverlight のコンポーネントが TrueType フォントを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    TrueType フォントの解析の脆弱性(CVE-2015-2463)MS の深刻度: 緊急

    Windows、.NET Framework、Office、Lync、Silverlight のコンポーネントが TrueType フォントを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    TrueType フォントの解析の脆弱性(CVE-2015-2464)MS の深刻度: 緊急

    Windows、.NET Framework、Office、Lync、Silverlight のコンポーネントが TrueType フォントを正しく処理しない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

    カーネル ASLR バイパスの脆弱性(CVE-2015-2433)MS の深刻度: 重要

    Windows カーネルがメモリアドレスの適切な初期化に失敗する場合に、セキュリティ機能バイパスの脆弱性が存在します。この脆弱性により、攻撃者は、Kernel Address Space Layout Randomization(KASLR)のバイパスに至る可能性がある情報を取得する可能性があります。

    Windows CSRSS の特権の昇格の脆弱性(CVE-2015-2453)MS の深刻度: 重要

    ユーザーがログオフするときに、Windows クライアント/サーバーランタイムサブシステム(CSRSS)がプロセスを終了する方法に、特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、その後にシステムにログオンしたユーザーの操作を監視するように設計されたコードを実行できる可能性があります。 これにより、影響を受けるシステム上で、ログオンしたユーザーがアクセスできる機密情報の漏えいが発生したりデータにアクセスされたりする可能性があります。 この機密データには、後続ユーザーのログオン資格情報が含まれ、攻撃者が後でその情報を使って、そのシステムで特権を昇格させたり、異なるユーザーとしてコードを実行したりする可能性があります。

    Windows KMD のセキュリティ機能のバイパスの脆弱性(CVE-2015-2454)MS の深刻度: 重要

    Windows カーネルモードドライバが偽装レベルの適切な検証と適用に失敗した場合に、セキュリティ機能のバイパスの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、偽装レベルのセキュリティがバイパスされ、ターゲットのシステムで攻撃者の特権が昇格される可能性があります。 攻撃者は、この脆弱性を別の脆弱性と組み合わせて使う可能性があります。

    Windows シェルのセキュリティ機能のバイパスの脆弱性(CVE-2015-2465)MS の深刻度: 重要

    Windows シェルが偽装レベルの適切な検証と適用に失敗した場合に、セキュリティ機能のバイパスの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、偽装レベルのセキュリティがバイパスされ、ターゲットのシステムで攻撃者の特権が昇格される可能性があります。 攻撃者は、この脆弱性を別の脆弱性と組み合わせて使う可能性があります。

  3. MS15-081 Microsoft Office の脆弱性により、リモートでコードが実行される(3080790)

    Microsoft Office のメモリ破損の脆弱性(CVE-2015-1642)MS の深刻度: 重要

    Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特別に細工したファイルを使って、現在のユーザーのセキュリティコンテキストで処理を実行する可能性があります。

    安全ではないコマンドラインパラメータを渡すことによる脆弱性(CVE-2015-2423)MS の深刻度: 重要

    Microsoft Office 拡張保護モード(EPM)の整合性レベル「低」で実行されているとき、整合性レベル「中」のファイルがアクセスできるようになる場合に、Internet Explorer に情報漏えいの脆弱性が存在します。 攻撃者はこの欠陥を利用して、整合性レベル「低」ではアクセスできないはずのディスク上のファイルを読み取ることができます。

    Microsoft Office のリモートコード実行の脆弱性(CVE-2015-2466)MS の深刻度: 緊急

    Microsoft Office ソフトウェアでテンプレートが適切に検証されない場合に、リモートでコードが実行される脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーのコンテキストで任意のコードを実行できる場合があります。 この脆弱性を悪用するには、ユーザーを誘導して、影響を受けるバージョンの Microsoft Office ソフトウェアで、特別に細工されたテンプレートファイルを開かせる必要があります。

    Microsoft Office のメモリ破損の脆弱性(CVE-2015-2467)MS の深刻度: 重要

    Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特別に細工したファイルを使って、現在のユーザーのセキュリティコンテキストで処理を実行する可能性があります。

    Microsoft Office のメモリ破損の脆弱性(CVE-2015-2468)MS の深刻度: 重要

    Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特別に細工したファイルを使って、現在のユーザーのセキュリティコンテキストで処理を実行する可能性があります。

    Microsoft Office のメモリ破損の脆弱性(CVE-2015-2469)MS の深刻度: 重要

    Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特別に細工したファイルを使って、現在のユーザーのセキュリティコンテキストで処理を実行する可能性があります。

    Microsoft Office のメモリ破損の脆弱性(CVE-2015-2477)MS の深刻度: 重要

    Office ソフトウェアがメモリ内のオブジェクトを処理する場合に、Microsoft Office ソフトウェアにリモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、特別に細工したファイルを使って、現在のユーザーのセキュリティコンテキストで処理を実行する可能性があります。

    Microsoft Office の整数アンダーフローの脆弱性(CVE-2015-2470)MS の深刻度: 重要

    Office で整数値が減算され、意図した最小値を下回るときに、リモートコード実行の脆弱性が存在します。 この脆弱性を悪用するには、ユーザーを誘導して、影響を受けるバージョンの Microsoft Office ソフトウェアで、特別に細工された Office ファイルを開かせる必要があります。

  4. MS15-082 RDP の脆弱性により、リモートでコードが実行される(3080348)

    リモートデスクトップセッションホストのなりすましの脆弱性(CVE-2015-2472)MS の深刻度: 重要

    リモートデスクトップセッションホスト(RDSH)が認証時に証明書を適切に検証しない場合に、なりすましの脆弱性が存在します。 攻撃者がこの脆弱性を悪用し、クライアントセッションに偽装する可能性があります。

    リモートデスクトッププロトコル DLL プランティングのリモートコード実行の脆弱性(CVE-2015-2473)MS の深刻度: 重要

    リモートデスクトッププロトコル(RDP)がバイナリを適切にロードしない場合に、リモートコード実行の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、RDP(ターミナル)NetworkService アカウントのコンテキストで任意のコードを実行できる場合があります。

  5. MS15-083 サーバーメッセージブロックの脆弱性により、リモートでコードが実行される(3073921)

    サーバーメッセージブロックのメモリ破損の脆弱性(CVE-2015-2474)MS の深刻度: 重要

    サーバーメッセージブロック(SMB)がある種のログ動作を適切に処理しない場合に発生するリモートコード実行の脆弱性が Windows に存在し、メモリが破損につながる場合があります。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。

  6. MS15-084 XML コアサービスの脆弱性により、情報漏えいが起こる(3080129)

    MSXML の情報漏えいの脆弱性(CVE-2015-2434)MS の深刻度: 重要

    MSXML が明示的に SSL(Secure Sockets Layer)2.0 の使用を許可している場合に、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、暗号化されたネットワーク情報トラフィックの一部が解読される可能性があります。

    MSXML の情報漏えいの脆弱性(CVE-2015-2440)MS の深刻度: 重要

    Microsoft XML コアサービス(MSXML)が一般公開を意図されていないメモリアドレスを公開する場合に、情報漏えいの脆弱性が存在します。 攻撃者は、この情報漏えいの脆弱性を他の脆弱性と組み合わせて、Address Space Layout Randomization(ASLR)をバイパスする可能性があります。 攻撃者がこの脆弱性の悪用に成功すると、個人データを読み取る可能性があります。

    MSXML の情報漏えいの脆弱性(CVE-2015-2471)MS の深刻度: 重要

    MSXML が明示的に SSL(Secure Sockets Layer)2.0 の使用を許可している場合に、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、暗号化されたネットワーク情報トラフィックの一部が解読される可能性があります。

  7. MS15-085 マウントマネージャの脆弱性により、特権が昇格される(3082487)

    マウントマネージャの特権昇格の脆弱性(CVE-2015-1769)MS の深刻度: 重要

    マウントマネージャコンポーネントがシンボリックリンクを正しく処理しない場合に、特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、悪意のあるバイナリをディスクに書き込み、それを実行する可能性があります。

  8. MS15-086 System Center Operations Manager の脆弱性により、特権が昇格される(3075158)

    System Center Operations Manager Web コンソールの XSS の脆弱性(CVE-2015-2420)MS の深刻度: 重要

    入力の不適切な検証が原因で、Microsoft System Center Operations Manager に特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、ユーザーのブラウザにクライアント側のスクリプトをインジェクトできる可能性があります。 このスクリプトは、コンテンツの詐称、情報の漏えい、またはユーザーが実行できる任意のアクションを、標的となったユーザーに代わって影響を受ける Web サイトで実行できる可能性があります。

  9. MS15-087 UDDI サービスの脆弱性により、特権が昇格される(3082459)

    UDDI サービスの特権昇格の脆弱性(CVE-2015-2475)MS の深刻度: 重要

    UDDI(Universal Description, Discovery, and Integration)サービスがタグで検索パラメータを適切に検証またはサニタイズしない場合に、Microsoft Windows に特権昇格の脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、認証 Cookie を漏えいさせたり、想定外の方法でユーザーを悪質な Web ページにリダイレクトしたりする可能性があります。

  10. MS15-088 安全ではないコマンドラインパラメータの受け渡しにより、情報漏えいが起こる(3082458)

    安全ではないコマンドラインパラメータを渡すことによる脆弱性(CVE-2015-2423)MS の深刻度: 重要

    Microsoft Windows 拡張保護モード(EPM)の整合性レベル「低」で実行されているとき、整合性レベル「中」のファイルがアクセスできるようになる場合に、Internet Explorer に情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、整合性レベル「低」ではアクセスできないはずのディスク上のファイルを読み取る可能性があります。

  11. MS15-089 WebDAV の脆弱性により、情報漏えいが起こる(3076949)

    WebDAV クライアントの情報漏えいの脆弱性(CVE-2015-2476)MS の深刻度: 重要

    Microsoft Web Distributed Authoring and Versioning(WebDAV)クライアントには、SSL(Secure Socket Layer)2.0 の使用を明示的に許可したときに発生する情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、暗号化されたトラフィックの一部が解読される可能性があります。 この脆弱性を悪用するために攻撃者は、暗号化された SSL 2.0 セッションを強制的に確立し、中間者(MiTM)攻撃を使って暗号化トラフィックの一部を解読します。

  12. MS15-090 Microsoft Windows の脆弱性により、特権が昇格される(3060716)

    Windows オブジェクトマネージャの特権昇格の脆弱性(CVE-2015-2428)MS の深刻度: 重要

    Windows オブジェクトマネージャには、偽装レベルの適切な検証と適用に失敗した場合に、特権昇格の脆弱性があります。 攻撃者がこの脆弱性を悪用した場合、偽装レベルのセキュリティがバイパスされ、ターゲットのシステムで攻撃者の特権が昇格される可能性があります。 この脆弱性を悪用するには、攻撃者は影響を受けるシステムにログオンして、特別に細工されたアプリケーションを実行する必要があります。

    Windows レジストリの特権の昇格の脆弱性(CVE-2015-2429)MS の深刻度: 重要

    Microsoft Windows が脆弱なサンドボックスアプリケーション内からの特定のレジストリ操作を不適切に許可するとき、Microsoft Windows に特権昇格が存在します。 攻撃者がこの脆弱性の悪用に成功すると、レジストリを不適切に操作して、アプリケーションサンドボックスの回避を試みる可能性があります。 攻撃者がこの脆弱性を悪用するには、脆弱なサンドボックスアプリケーションを起動するように特別に細工したファイルをユーザーに開かせ、サンドボックスを侵害する必要があります。

    Windows ファイルシステムの特権昇格の脆弱性(CVE-2015-2430)MS の深刻度: 重要

    Microsoft Windows が脆弱なサンドボックスアプリケーション内からの特定のファイルシステム操作を不適切に許可するとき、Microsoft Windows に特権昇格が存在します。 攻撃者がこの脆弱性の悪用に成功すると、ファイルシステムを不適切に操作して、アプリケーションサンドボックスの回避を試みる可能性があります。 攻撃者がこの脆弱性を悪用するには、脆弱なサンドボックスアプリケーションを起動するように特別に細工したファイルをユーザーに開かせ、サンドボックスを回避する必要があります。

  13. MS15-091 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3084525)

    メモリ破損の脆弱性(CVE-2015-2441)MS の深刻度: 緊急

    Edge がメモリ内のオブジェクトに適切にアクセスしない場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    メモリ破損の脆弱性(CVE-2015-2442)MS の深刻度: 緊急

    Edge がメモリ内のオブジェクトに適切にアクセスしない場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Edge に破損の脆弱性(CVE-2015-2446)MS の深刻度: 緊急

    Edge がメモリ内のオブジェクトに適切にアクセスしない場合に、リモートコード実行の脆弱性が存在します。 この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Edge ASLR バイパスの脆弱性(CVE-2015-2449)MS の深刻度: 重要

    Edge が Address Space Layout Randomization(ASLR)セキュリティ機能を使えない場合にセキュリティ機能バイパスの脆弱性が存在します。そのため、攻撃者が、特定のコールスタック内の特定の命令のメモリオフセットを、かなりの確率で予想できるようになります。 この脆弱性により、攻撃者は Address Space Layout Randomization(ASLR)セキュリティ機能をバイパスできる可能性があります。

  14. MS15-092 .NET Framework の脆弱性により、特権が昇格される(3086251)

    RyuJIT 最適化の特権昇格に関する脆弱性(CVE-2015-2479)MS の深刻度: 重要

    RyuJIT コンパイラが特定のパラメータを不適切に最適化してコード生成エラーが発生するとき、Microsoft .NET Framework に特権昇格に関する脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。 攻撃者がこの脆弱性を悪用するには、特別に細工された .NET アプリケーションをホストし、ユーザーを誘導してアプリケーションを実行させる必要があります。

    RyuJIT 最適化の特権昇格に関する脆弱性(CVE-2015-2480)MS の深刻度: 重要

    RyuJIT コンパイラが特定のパラメータを不適切に最適化してコード生成エラーが発生するとき、Microsoft .NET Framework に特権昇格に関する脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。 攻撃者がこの脆弱性を悪用するには、特別に細工された .NET アプリケーションをホストし、ユーザーを誘導してアプリケーションを実行させる必要があります。

    RyuJIT 最適化の特権昇格に関する脆弱性(CVE-2015-2481)MS の深刻度: 重要

    RyuJIT コンパイラが特定のパラメータを不適切に最適化してコード生成エラーが発生するとき、Microsoft .NET Framework に特権昇格に関する脆弱性が存在します。 攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。 攻撃者がこの脆弱性を悪用するには、特別に細工された .NET アプリケーションをホストし、ユーザーを誘導してアプリケーションを実行させる必要があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.