まるでデジャブの繰り返しだ。先月、Internet Explorerの脆弱性が59件も修正されたという衝撃的な出来事があったが、7月には再びこのMicrosoftのウェブブラウザが注目を集めている。
先週の予測通り、マイクロソフトは7月の月例パッチで6件の新しいセキュリティ情報を公開しましたが、そのうち「緊急」と評価されているのは2件のみです。また、今月は「重要」と評価されているセキュリティ情報が3件、「中」と評価されているセキュリティ情報が1件あります。「緊急」と評価されている2件のセキュリティ情報は、Internet Explorerの累積的な更新プログラムと、Windows Journalの脆弱性に対するパッチです。これらの脆弱性により、攻撃者は脆弱なシステム上で悪意のあるコードをリモートから実行できる可能性があります。「重要」と評価されているセキュリティ情報は、オンスクリーンキーボード、補助機能ドライバー(AFD)、およびDirectShowの脆弱性に対処しており、「中」と評価されているセキュリティ情報は、Microsoft Service Busにおける潜在的なサービス拒否の脆弱性に対処しています。
画像: Shutterstock Microsoft は、2014 年 7 月の Patch Tuesday で 6 つの新しいセキュリティ情報をリリースしました。
Internet Explorerに依然として多くの脆弱性が残っているのは懸念すべき事態です。Microsoftは過去45日間だけで、ブラウザの脆弱性を83件も修正しました。「Microsoftが今後数ヶ月でInternet Explorerの脆弱性を一掃するのか、それともこれが新たな常態となるのかはまだ分かりません」と、BeyondTrustのCTO、Marc Maiffret氏は述べています。
もう一つの緊急セキュリティ情報(MS14-038)は、あまり知られていないソフトウェアやほとんど使用されていないソフトウェアが、依然として潜在的なリスクをもたらす可能性があることを示す例です。Windows Journal は、サポートされているほとんどのバージョンの Windows にデフォルトでインストールされていますが、一般的には使用されていません。
「この場合、影響を受けるソフトウェアをアンインストールするか、使用していないプログラムとの関連付けを削除することで、攻撃対象領域を大幅に縮小できます」と、Tripwireのセキュリティ研究者であるクレイグ・ヤング氏は述べています。「システムを強化するための最善の戦術の一つは、不要なソフトウェアや機能を削除することです。そうすることで、攻撃者にさらされるコード行数を制限することでシステムを保護できます。コード行一つ一つが、攻撃が成功するための新たな機会を生み出すのです。」
「MS14-039、MS14-040、そしてMS14-041は、Zero Day Initiativeの責任ある開示プロセスを通じて、今年のpwn2ownコンテストで公開された問題を修正するものです」と、Rapid7のセキュリティエンジニアリング担当シニアマネージャー、ロス・バレット氏は述べています。「これらはすべて、権限のないユーザーやプロセスが権限を昇格される可能性のある、ローカルな権限昇格の問題です。これらの脆弱性は、侵入を目的とした連鎖攻撃で明らかに利用されており、開示内容の性質上、エクスプロイトコードが存在することは周知の事実です。ZDIの禁輸措置が解除された今、そのエクスプロイトコードは公開される可能性があります。」
Tripwireのセキュリティリサーチマネージャー、タイラー・レグリー氏は、次のようにまとめています。「ITチームは、Internet ExplorerとWindows Journalに影響を与える2つの重大な問題に重点的に対処する必要があります。今すぐアップデートを適用できない場合でも、これらの重大な脆弱性には回避策があります。ユーザーは新しいブラウザに切り替え、そのブラウザをデフォルトに設定し、Windows Journalの.JNTファイルの関連付けをすべて無効にすることができます。パッチの適用は常に望ましいですが、攻撃対象領域を制限することも有効な対策となります。」
