マイクロソフトのパッチ火曜日の更新プログラムは、ハイプロファイルの悪用をブロック

今月のパッチの火曜日は最近のメモリで最大のものの1つで、マイクロソフトのアップデートチャネルを介して14のセキュリティ関連のアップデートがリリースされています。更新プログラムのうち2つを除くすべてがWindows用です。 (あなたのOSにもよりますが、セキュリティ関連以外のアップデートもたくさんあります。入手したときの詳細。)

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

5つのアップデート(Windowsの場合は4つ、Officeの場合は1つ)はCriticalと評価されています。残りの9つのExchange Serverの唯一の唯一のパッチを除いて重要なすべてのWindowsの評価されます。

2つの修正点は、すでに公開されている脆弱性に対する修正です。マイクロソフトのセキュリティレスポンスチームの朗報は、Google Project Zeroリストから未解決の問題をすべて解決したことです。

今月のスーパーサイズコレクションのセキュリティ関連アップデートの概要を示します。

MS15-018は累積的なセキュリティ更新プログラムで、偶数ダースの脆弱性に対処し、サポートされているすべてのバージョンのInternet Explorerに影響を与えます。これには、2月のパッチの火曜日より前に一般に公開されたクロスサイトスクリプティングの脆弱性に対する修正が含まれていますが、先月の修正は行われませんでした。公式に公開されているメモリ破損の脆弱性に対する対応もありますが、CVEの公式ページにはまだ詳細が更新されていません。

MS15-019は、一部の古いWindowsバージョンではスクリプティングの脆弱性を修復しますが、Windows 7以降のデスクトップバージョンまたは同等のサーバーバージョン、Windows Server 2012および2012 R2には影響しません。

MS15-020は、Microsoft Text Servicesがメモリ内のオブジェクトを処理する方法、およびMicrosoft WindowsがDLLファイルのロードをどのように処理するかの欠陥を修正します。いくつかの報告によると、この修正は、もともと2010年にStuxnetに関連付けられたゼロデバグの1つに対処しています。現在、National Vulnerability Databaseエントリには追加の詳細は含まれていません。このバグを発見した2つの組織の1つであるZero Day Initiativeは、2014年10月31日にMicrosoftにその問題を公開したと語った。

MS15-021は、Adobe Font Driverに関する問題を解決します。両方の脆弱性により、理論的にはリモートでコードが実行される可能性がありますが、Microsoftの要約では可能性は低いと言われています。

MS15-022は、サポートされているすべてのMicrosoft Officeバージョン(2007、2010、および2013)、およびサーバーベースのOffice Web AppsおよびSharePoint Server製品に適用されます。 Officeドキュメント形式の3つの既知の脆弱性と、SharePoint Serverの複数のクロスサイトスクリプティングの問題を修正しました。最悪の結果はリモートコード実行を可能にします。

多くの取締役会は、主にセキュリティ技術者にITセキュリティを委ねるのはなぜですか?また、技術者は、取締役会に、利害関係者の情報を保護するための犠牲を払うことを納得させることができません。私たちは、ITセキュリティガバナンスのギャップを埋めるためのガイダンスを提供しています。

残りの9つの更新のうち8つがMicrosoft Windowsに影響しますが、Microsoft Exchange Serverの問題に対する修正は例外です。

1つの更新プログラムは、Windowsタスクスケジューラの問題を解決し、ローカルユーザーがファイルアクセスコントロールをバイパスして特権実行可能ファイルを実行する可能性があります。もう1つは、リモートデスクトッププロトコル(RDP)が有効になっているシステムにのみ影響する、サービス拒否の可能性のある問題を修正したものです。 (デフォルトでは、RDPはすべてのWindowsバージョンでオフになっています)。

そして、広く知られている(そしてクロスプラットフォーム)Schannelの脆弱性を修正するMS15-031があります。これは、一般的にFREAKテクニックとして知られています。このアップデートは、マイクロソフトとアップルのプラットフォームが保護されていることを意味し、脆弱なAndroidのバージョンはまだパッチが適用されていません。 (アップデート:それは約36時間かかりましたが、Windows 10 Technical Previewビルド9926のInternet Explorerでこのパッチを利用できるようになりました。次のプレビュー版にフィックスが組み込まれると想定するのは妥当です)。

Internet Explorer 11(すべてのWindows 8.1がインストールされている)を搭載したシステムには、組み込みのFlash Playerコードの更新版も提供されています。このアップデートで修正されたセキュリティ上の問題は、Adobeからはまだ入手できません。ああ、今月の悪意のあるソフトウェアの削除ツールのアップデートでは、Lenovo PCから不要なSuperfishの証明書が削除されると伝えられています。

多数のセキュリティ関連の更新に加えて、多数の推奨更新があります。 Windows 8.1のインストールでは、16個の個別のアップデートを数えました。慣習的(および不満)であるように、各修正プログラムの理由を説明する関連ナレッジベースの記事のほとんどは、更新プログラム自体がWindows Updateに登場してから数時間利用できませんでした。

これらの追加の更新内容の詳細については、このフォローアップ記事を参照してください。この月のWindowsおよびOfficeアップデートの超一式のバッチは何でしたか?

アップデート:一部のWindows 7 PCには、1つのアップデートで問題が発生していると伝えられています(KB3033929)。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命