8月のパッチ火曜日:マイクロソフトはWindowsで23個のバグを取り除きます。
目次:
ビデオ: 'the 2024
マイクロソフトが脆弱性の修正を目的としたパッチを火曜日にリリースしたのはその月のことです。 先月の火曜日のパッチは、まだバグを引き起こしており、「中途半端」であるため、ユーザーにいくつかの問題を提起しました。 これは、今年8回目の火曜日のパッチであり、8つの新しいセキュリティ情報(偶然?)が含まれています。
マイクロソフトがリリースした8つのセキュリティ情報は、Windows、Internet Explorer、Exchangeの23の脆弱性に対処しています 。 Microsoftの推奨事項に従って、最も重要なパッチはMS13-059(Internet Explorer)およびMS13-060(Windows XPおよびServer 2003)です。 これらの最優先パッチを適用した後、使用しているマイクロソフトの他のすべてのソフトウェアにパッチを適用して、最高のセキュリティを確保する必要があります
Patch Tuesdayで見つかった23の脆弱性
セキュリティ情報MS13-059は、11件の非公開で公開された脆弱性を対象とするInternet Explorerの重要なセキュリティ更新プログラムです。 これらが広く使用されているのか、ハッカーにひどく悪用されているのかはわかりません。
最も深刻な脆弱性により、ユーザーがInternet Explorerを使用して特別に細工されたWebページを表示すると、リモートでコードが実行される可能性があります。 これらの脆弱性のうち最も深刻なものを悪用した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。
セキュリティ情報MS13-060は、Microsoft Exchange ServerのUnicode Script Processorが発見した脆弱性にパッチを当て、ハッカーがフォントを攻撃ベクトルとしてレンダリングできるようにします。 Qualys CTOのWolfgang Kandekは次のように説明しました。
フォントはカーネルレベルで描画されるため、何らかの方法でフォントの描画に影響を与えてオーバーフローさせることができます。 これにより、攻撃者は被害者のコンピューターを制御できます。
Qualys Vulnerability Labsのディレクター、Amol Sarwate:
これは非常に魅力的な攻撃ベクトルです。 攻撃者がしなければならないことは、被害者をドキュメント、電子メール、または悪意のあるWebページに誘導して、脆弱性を悪用することだけです。
上記のほかに、今月のパッチ火曜日のその他のハイライトと「特典」、およびその他のセキュリティ情報の説明があります。
- MS13-061 – Oracleライブラリ「Outside In」の脆弱性
- MS13-062 –すべてのWindowsバージョンのRPC処理コードに影響する脆弱性
- MS13-063 – ASLR(アドレススペースレイアウトランダム化)のバイパスと特権の昇格を可能にする3つのカーネル破損の脆弱性
- MS13-064 – Windows Server 2012 NATドライバーの単一のサービス拒否の脆弱性
- MS13-065 – XPおよびServer 2003を除くすべてのバージョンのWindowsのIPv6スタックにおける単一のサービス拒否の脆弱性
- MS13-066 – Server Core以外のすべてのIntelベースバージョンのWindows ServerのActive Directory Federation Services(AD FS)における情報漏えいの脆弱性。
これに加えて、MicrosoftはWindows 8とRTを「Windows Defenderの保護機能を改善するために」更新しました。