あるサイトにアクセスすると乗っ取られるWindows PC。Microsoftの月例パッチで修正。
突然だが、悪質なリンクをクリックするかウェブサイトを開くだけでハッキングすることは出来るのか。
ーー答えはYesだ。
Happy Patch Tuesday
マイクロソフトは、月例パッチ(通称、Patch Tuesday)で、Windowsオペレーティングシステムや、その他のMS社製品の重大な脆弱性に対処するセキュリティ更新プログラムを4月にリリースした。
そのうちの5つは、攻撃者が攻撃者の用意したウェブサイトを訪問するだけでコンピュータに侵入する可能性があったようだ。
これらの脆弱性は、Flexera Softwareのセキュリティ研究者であるHossein Lotfiによって発見され、Microsoft社に公開されたようだ。
脆弱性の対象となるのは、サポートされているWindowsOSの全てとなる。
- Windows 10 / 8.1 / RT 8.1 / 7
- Windows Server 2008 / 2012/ 2016
修正されたのは、Windows Graphics Componentに存在する5つの脆弱性。
Windows font libraryによって埋め込まれるフォントの処理方法に問題があったとされている。
Microsoft社は、この”Critical”レベルに分類される5つの脆弱性にパッチを提供した。
この脆弱性を悪用すると、攻撃者は、疑わしいユーザーに悪意のあるファイルや特別に細工されたWebサイトを悪意のあるフォントを使用して開かせ、ユーザーシステムの制御を奪う事が出来た。
以下は、修正された脆弱性に割り振られたCVE番号である。
- CVE-2018-1010
- CVE-2018-1012
- CVE-2018-1013
- CVE-2018-1015
- CVE-2018-1016
Windows Microsoft Graphicsは、サービス拒否の脆弱性の影響を受け、攻撃者がターゲットシステムの応答を停止させる可能性があります。
この欠陥は、Windowsがメモリ内のオブジェクトを処理する方法に存在します。
今回修正された他の脆弱性
マイクロソフトはWindows VBScript Engineに存在し、Windowsのすべてのバージョンに影響する”Critical”に分類されるRCEの脆弱性(CVE-2018-1004)の詳細を公開。
この脆弱性の悪用方法について、Microsoft社は以下のようにコメントしている。
Webベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用するように細工を施したWebサイトをホストし、ユーザーにInternet Explorerを介してWebサイトを表示させる。
攻撃者は、”Safe for initialization”とマークされたActiveXコントロールを、IEレンダリングエンジンをホストするアプリケーションまたはMicrosoft Officeドキュメントに埋め込む。
この他に、マイクロソフトでは、Microsoft OfficeとMicrosoft Excelで複数のリモートでコードが実行される脆弱性も修正。
この脆弱性を修正しなければ、攻撃者はシステムをリモートで制御できたようだ。
更に、セキュリティアップデートには、Adobe Flash Playerの6つの脆弱性に関するパッチも含まれていた。
そのうちの3つは"Critical"と評価されている。
他にも、Windows、Microsoft Office、Internet Explorer、Microsoft Edge、ChakraCore、Malware Protection Engine、Microsoft Visual Studio、Microsoft Azure IoT SDK、Adobe Flash Playerにそれぞれ潜んでいたバグも修正された。
結論:とにかくアップデートしよう
ユーザーは、ハッカーやサイバー犯罪者がコンピュータを制御できないようにできるだけ早くセキュリティパッチを適用することを強く推奨する。
セキュリティアップデートをインストールするには、以下の手順で行って貰いたい。
- 「設定」
- 「アップデートとセキュリティ」
- 「Windows Update」
- 「アップデートを確認」