Microsoft が 2019 年 3 月のセキュリティ更新プログラムを公開

ゼロデイエクスプロイトを防止するために先週 Chrome をアップデートしたユーザーは、Microsoft の月例アップデートも適用してください。今月のアップデートでは、同じ攻撃に利用される Windows 7 の別の脆弱性が修正されています。

簡単に振り返っておくと、3 月 1 日に Chrome の脆弱性 (CVE-2019-5786) の情報が公開され、その数日後エクスプロイト発見のニュースが報じられたタイミングで修正プログラムが公開されました。このパッチにより、Chrome のバージョンは 72.0.3626.121 に更新されました。

今回のアップデートの 2 つの軸のうちの 1 つは、Win32k に存在したローカルでの権限昇格 (EoP) が可能な脆弱性 (CVE-2019-0808) の修正です。Windows 7 および Windows Server 2008 がこの脆弱性の影響を受けます。

Google の Clement Lecigne 氏が指摘している通り、Windows 7 ユーザーはアップグレードすることによっても問題を修正できます。

(引用文日本語訳) 影響を最小限に抑えるためのアドバイスとして、古いバージョンの Windows を利用し続けているユーザーは Windows 10 へのアップグレードを検討すべきです。

2 件目のゼロデイ脆弱性

「緊急」に分類された 17 件を始めとする CVE 番号が付与された 64 件の脆弱性の中には、すべてのバージョンの Windows が影響を受ける第 2 のゼロデイ脆弱性 (CVE-2019-0797) が含まれています。この脆弱性は、中東の APT 攻撃グループによって悪用されたとみられており、同じくローカルアクセスを要求する EoP の脆弱性であると Microsoft は説明しています。

(引用文日本語訳) この脆弱性を悪用する攻撃者は、最初にシステムにログオンする必要があります。その後、脆弱性を悪用するために作成されたアプリケーションを起動して、影響を受けるシステムのコントロールを奪うことができます。

さらに、CVE-2019-0683 (Active Directory の EoP)、CVE-2019-0754 (Windows の DoS)、CVE-2019-0757 (NuGet Package Manager の改ざん)、CVE-2019-0809 (Visual studio の RCE (リモートでのコード実行)) の 4 件の脆弱性が、現在パブリックドメインにあるという理由で「重要」に分類されています。

緊急性の高い脆弱性

Windows の DHCP クライアントに影響を与える 3 件の RCE (CVE-2019-0697CVE-2019-0698CVE-2019-0726) など、「緊急」に分類された脆弱性については他の懸念も存在します。

月例アップデートには 3 カ月連続で、少なくとも 1 件の DHCP に関係する緊急の脆弱性に対する修正が含まれていることになります。これらの脆弱性は RCE であり、すべての Windows でこのソフトウェアが実行されていることから、大きな問題になる可能性があります。

ほかにも、Internet Explorer に影響を与える「緊急」の脆弱性 (CVE-2019-0763) があります。これは、IEに影響を与える十数件の脆弱性の 1 つであり、後継ブラウザである Edge にもほぼ同数の脆弱性が発見されています。事実、スクリプトエンジンのメモリ破損の対策とされている少なくとも 7 件のものを含め、今回のアップデートの約 3 分の 1 がブラウザに関係するものでした。

この傾向は、CanSecWest の Pwn2Own コンテストが例年 3 月に開催され、研究者がブラウザを中心とするソフトウェアの脆弱性を発見しようと競っていることと無関係ではないようです。

アップデート自体の問題

今月のセキュリティ更新により、 Windows が他のリカバリ方法では解決できない問題を引き起こすアップデートは、自動的にロールバックされるようになりました。その場合、以下のメッセージが表示されます。

(引用文日本語訳) 最近インストールされた更新プログラムを削除して、起動エラーからデバイスを回復しました

削除された更新プログラムは、30 日間の Microsoft による調査ののち再びインストールが試みられます。これは、月例のセキュリティ更新の一部として行われるアップデートに限らず、すべてのアップデートに適用されます。

Adobe 製品

先月のセキュリティ更新では数多くの Reader および ColdFusion の問題が修正されましたが、今月は Adobe Digital Editions および Photoshop CC の 2 製品についてセキュリティアドバイザリが公開されただけでした。