Microsoftは米国時間4月9日、月例パッチ「Patch Tuesday」と呼ばれるセキュリティアップデートをリリースした。広範囲のMicrosoft製品に関わる74件の脆弱性に対処しており、そのうち2件は実際に悪用されているゼロデイ脆弱性だ。

https://japan.cnet.com/storage/2019/04/10/7672e3f36e4d0e1b7223e31021150739/microsoft.png
提供:Image: Microsoft

 今月対処されたゼロデイ脆弱性2件は同じ種類で、どちらも「Windows」OSの中核コンポーネントである「Win32k」に影響する特権昇格の脆弱性だ。

 これら2件は「CVE-2019-0803」と「CVE-2019-0859」と呼ばれる。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0803
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0859
発見したのは、前者がAlibaba Cloud Intelligence Security Teamで、後者がKaspersky Labと別々のセキュリティチームだが、Microsoftはこれら2つのゼロデイ脆弱性を同じように説明している。

□□
 Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。攻撃者によりこの脆弱性が悪用された場合、カーネルモードで任意のコードが実行される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

 この脆弱性の悪用には、攻撃者はまずシステムにログオンする必要があります。次に、攻撃者はこの脆弱性の悪用を意図して特別に細工したアプリケーションを実行し、影響を受けるコンピューターを制御する可能性があります。

 この更新プログラムは、Win32kがメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性を解決します。
□□

 ほかに、攻撃者が脆弱なシステム上でコードを実行することを可能にする「Microsoft Office Access Connectivity」の脆弱性が3件ある(「CVE-2019-0824」「CVE-2019-0825」「CVE-2019-0827」)。いずれもリモートから悪用されるおそれがあり、企業の環境に危険をもたらす。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0824
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0825
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0827

 同じようなリモートコードが実行される脆弱性(「CVE-2019-0853」)は、拡張メタファイル(EMF)形式の画像ファイルを読み込む際、「Windows GDI+」コンポーネントに影響する。この脆弱性は、ユーザーをそそのかしてウェブサイトを訪問させたり、悪意あるファイルをユーザーにメールしたりといった方法で悪用されるおそれがある。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0853

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/microsofts-april-patch-tuesday-comes-with-fixes-for-two-windows-zero-days/

2019年04月10日 12時17分
CNET Japan
https://japan.cnet.com/article/35135519/