Microsoft 緊急パッチを公開も2件の脆弱性

Microsoftは、同社が提供するブラウザにて、「緊急」にて「Adobe Flash Player」の脆弱性に対応した複数のパッチを公開しました。

今回のパッチは「Windows8.1」以降の「Internet Explorer」および「Windows10」の「Edge」を利用するユーザー向けになります。

同プログラムを提供するAdobe Systemによると、重要度を3段階中もっとも高い「クリティカル(critical)」のレーティングに値するとしており、これらの脆弱性を放置すると「メモリ破壊」、「バッファオーバーフロー」、「型の取り違え」、「use after free」などの恐れのある、合計13件の脆弱性に対処したということです。

しかし今回のパッチではさらに見つかっている2件の脆弱性には対応していらず、パッチ前に概念実証コードのみが公開されています。

一つはWindowsの通信プロトコル「Server Message Block(SMB)」に関するもので、もう一つはGoogleによって14日に公表された、WindowsのGDIライブラリに関するものということです。


【今回修正した脆弱性は以下】

CVE-2017-2982
CVE-2017-2984
CVE-2017-2985
CVE-2017-2986
CVE-2017-2987
CVE-2017-2988
CVE-2017-2990
CVE-2017-2992
CVE-2017-2991
CVE-2017-2993
CVE-2017-2994
CVE-2017-2995
CVE-2017-2996

【サイバーセキュリティソリューションズの見解】
これらは典型的なアプリケーションによる脆弱性になります。脆弱性はパソコン本体のOSにも存在しますが、サードパーティー社製のアプリケーションにも存在します。代表的なところでは、今回のFLASHやPDFリーダー、Office、JAVAなどです。攻撃者はこれらのプログラムに脆弱性を見つけて攻撃してきます。これらのアップデートは頻繁にあるためについ、業務に忙しいときは後回しにしがちです。しかし、これを放置することは既存の脆弱性を放置することになり、アップデートを怠っていたことにより、マルウェア・ウィルスに感染し会社の業務に支障がでた場合、社員の責任も問われかねません。プログラムのアップデートは面倒くさがらず、こまめに行うようにしましょう。

詳細;日本マイクロソフト

<