Microsoftは米国時間12月10日、2019年12月の月例セキュリティパッチ「Patch Tuesday」をリリースした。12月のPatch Tuesdayでは、実際に悪用されている「Windows」OSのゼロデイ脆弱性を含む36件の脆弱性が修正された。
Microsoftはゼロデイ脆弱性(CVE-2019-1458)について、「Win32kコンポーネントがメモリー内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格が可能になる脆弱性が存在する」と説明している。
「攻撃者がこの脆弱性を悪用した場合、カーネルモードで任意のコードを実行される可能性がある。攻撃者はその後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性がある」(同社)
Microsoftは、このゼロデイ脆弱性を発見したKaspersky Labのセキュリティ研究者に謝意を表した。
Trend Microの「Zero Day Initiative」(ZDI)のメンバーであるDustin Childs氏は、このWindowsゼロデイ脆弱性について、Googleが先ごろ修正した「Google Chrome」のゼロデイ脆弱性(CVE-2019-13720)と関連しているとみているようだ。
Childs氏は、「(Kaspersky)は、Chromeでアクティブに悪用されている解放後使用(UAF)の脆弱性を報告した。その(Chromeの)バグが公表されたとき、Windowsのカーネルのバグと組み合わせることでサンドボックスを回避しているのではないかとの憶測が流れた」と述べている。
「このパッチとChromeに対する攻撃の関連性は確認されていないが、これはサンドボックス回避に使われるタイプのバグだ」(Childs氏)
Kasperskyによると、このChromeのゼロデイ脆弱性は、WizardOpiumと呼ばれるハッカーグループによって悪用されているという。WizardOpiumはユーザーを悪意あるサイトに誘導し、この脆弱性を使ってマルウェアに感染させる。
Kasperskyは公式ブログで、これら2つのゼロデイ脆弱性には関連性があると述べ、Childs氏の説を立証した。
Microsoftは12月、計36件のセキュリティ脆弱性を修正した。深刻と評価されたものは7件だった。
また、Win32k Graphicsのリモートでコードが実行される脆弱性(CVE-2019-1468)や「Hyper-V」のリモートでコードが実行される脆弱性(CVE-2019-1471)も修正されている。
その他、12月のセキュリティ更新などの情報について役立つ情報を以下にまとめた。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetも要点を1ページにまとめて掲載している。
- Cisco Talos、SANS ISC、Tenable、Trend Microも12月の月例パッチについての解説を公開している。
- Adobe関連のセキュリティ更新情報は、同社の公式ウェブサイトで詳しく説明されている。
- SAP関連のセキュリティ更新プログラムは、同社の公式ウェブサイトで詳しく説明されている。
- Intel関連のセキュリティ更新情報は、同社の公式ウェブサイトで詳しく説明されている。
- 2019年12月の「Android Security Bulletin」も公開されている。
- Google Chromeの新版がリリースされた。
- 「iOS」「iPadOS」のアップデートも公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。