マイクロソフトのパッチの火曜日のリリースはパッチのない大きな脆弱性を残す

マイクロソフトのパッチ火曜日のアップデートは、今朝公開され、公開されている製品のセキュリティ上の欠陥に関する同社の頭痛を続ける。先月、GoogleのProject Zeroによって発見され公開されたバグの修正が見られました。

今月の9つのアップデートのバッチには、パッチが適用されていないシステムでリモートでコードが実行される可能性のあるCriticalの3つが含まれています

MS15-011のアップデートは、ICANNの契約に基づいて作業中にバグを発見したJeff Schmidtの研究者によってMicrosoftに初めて秘密裏に報告されてから1年以上前に修正されました。 Schmidt氏によると、この脆弱性に関連する状況は、「前例ではないにしても珍しいことですが、非常に長い修復サイクルを必要とすることは珍しい」とされています…. Microsoftはオペレーティングシステムのコアコンポーネントを再設計し、いくつかの新機能を追加する必要がありました。

マイクロソフトは、このTechNetのブログ記事でこの修正プログラムの詳細な説明を公開しています。

Windows Server 2003を実行しているユーザーは、そのオペレーティングシステムではリリースされない最新の更新プログラムに特に注意する必要があります。掲示板が説明するように

Windows Server 2003の拡張サポートは2015年7月14日に終了します。この脆弱性を考慮すると、管理者は運用環境での停止を加速する必要があります。

マイクロソフトは、アドバンスノーティフィケーションサービスを非公開にしているが、その変更はユーザーが事前のセキュリティ通知を希望する方法の変更によるものだと主張している。

また、過去2週間の3回目のリリースであるInternet Explorer 10および11のFlash Player用の最新のセキュリティ更新プログラムもあります。

MS15-009 Internet Explorer用のこのセキュリティ更新プログラムは、Internet Explorerで一般に公開されている脆弱性1件と非公開で報告された40件の脆弱性を修正した、凶悪犯です。 MS15-010このセキュリティ更新プログラムには、公表されているものを含む6件の脆弱性がクローズされています(MSS)。この脆弱性は、攻撃者が侵害されたWebサイトへの訪問者からの資格情報を盗む可能性のある、最近報告されたクロスサイトスクリプティング(XSS) Windows 7および8.x、Windows Server 2008 R2およびそれ以降のエディションでは、問題が報告されています。 MS15-011 Windowsドメインに接続されたデバイスは、Windows、デスクトップ、およびサーバーのサポートされているすべてのバージョンに影響を及ぼすこの更新プログラムに修正された脆弱性の影響を受ける危険性があります。この脆弱性はTrueTypeフォントを処理するWindowsカーネルレベルのコンポーネントにあります。この欠陥は、ユーザーがWi-Fiホットスポットなどの信頼できないネットワークに接続するように誘導することによって悪用される可能性があります。

残りの5つのアップデートはすべて重要と評価されます。

2つはMicrosoft Officeに影響を及ぼし、MS15-012はOffice XPの脆弱性によって引き起こされる欠陥を修復し、MS15-013はOffice 2007以降のバージョンで公開された「セキュリティ機能のバイパス」を修正しました。

MS15-014の修正により、グループポリシー設定を既定の(おそらく安全性の低い)状態に戻そうとするman-in-the-middle攻撃がブロックされますが、MS15-015では権限の昇格攻撃が防止され、悪用されたシステム上で管理者の資格情報を取得するために認証されたユーザー。

MS15-016には、特別に細工されたTIFFファイルを悪用する可能性のあるMicrosoftグラフィックスコンポーネントの脆弱性に対する修正が含まれています。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

サーバー管理者はMS15-017に特別な注意を払う必要があります。この修正プログラムは、Microsoft System Center 2012 R2 Virtual Machine Manager更新プログラムのロールアップ4に対して重要と評価されています。デスクトップWindowsユーザーには影響しませんが、VMMを使用して複数の仮想サーバーを管理するサイトには大きな影響があります。

今月の大規模なアップデートには、Microsoft Excel用のセキュリティ情報MS14-083が再リリースされました。

セキュリティアドバイザリ3009008は、もともと昨年10月にリリースされましたが、改訂されました。この勧告は、SSL 3.0の脆弱性により情報漏えいが発生する可能性があり、SSL 3.0標準の問題を文書化しています。今日の更新では、Internet Explorer 11の保護モードサイトでのSSL 3.0への安全なフォールバックが防止され、Internet Explorer 11(およびMicrosoftオンラインサービス)の既定の構成ではSSL 3.0が無効になります。

SSL 3.0の変更の詳細は、IEのブログの記事で入手できます。

最後に、更新プログラムが一部のシステムでハングアップする原因となっているという報告が広範囲にわたって報告されてから2時間以内に、Office Runtime用のVisual Studio 2010ツール用の更新プログラムロールアップが2時間以内に配布から取り除かれました。これは、balkyアップデートのための最も速い応答の記録かもしれません。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています