Reading Time: 2 minutes
皆さま、こんにちは。
ManageEngine Desktop Centralの製品担当の植松です。
本日も2018年12月度のMicrosoftセキュリティ更新プログラムの概要と、パッチ管理に強みのある資産管理ソフトManageEngine Desktop Centralについてご紹介いたします。
【概要】
Microsoftは、2018年12月12日(日本時間)に以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。
・Adobe Flash Player
・Internet Explorer
・Microsoft Edge
・Microsoft Windows
・Microsoft Office、Microsoft Office Servers および Web Apps
・ChakraCore
・.NET Framework
・Microsoft Dynamics NAV
・Microsoft Exchange Server
・Microsoft Visual Studio
・Windows Azure Pack (WAP)
今回のセキュリティ更新プログラムでは39件の脆弱性が修正されていますが、脆弱性の深刻度が「緊急」に指定されているものは9件ございます。
脆弱性の概要については以下の表をご覧ください。
| 脆弱性の概要 | KB番号 | 深刻度 | 概要 | 影響を受ける製品 | 参考URL |
| CVE-2018-8540 | KB4470491 KB4470492 KB4470493 KB4470498 KB4470499 KB4470500 KB4470502 KB4470600 KB4470601 KB4470602 KB4470622 KB4470623 KB4470629 KB4470630 KB4470633 KB4470637 KB4470638 KB4470639 KB4470640 KB4470641 KB4471102 KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 |
緊急 | .NET Framework のコード挿入の脆弱性 | Windows Server 2008以降 | https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8540 |
| CVE-2018-8583 | KB4471324 KB4471327 KB4471329 KB4471332 | 緊急 | Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8583 |
| CVE-2018-8611 | KB4471318 KB4471319 KB4471320 KB4471321 KB4471322 KB4471323 KB4471324 KB4471325 KB4471326 KB4471327 KB4471328 KB4471329 KB4471332 | 重要 | Windows カーネルの特権の昇格の脆弱性 | Windows 7以降 Windows Server 2008以降 |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8611 |
| CVE-2018-8617 | KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 | 緊急 | Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8617 |
| CVE-2018-8618 | KB4471321 KB4471324 KB4471327 KB4471329 KB4471332 | 警告 緊急 |
Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8618 |
| CVE-2018-8624 | KB4471321 KB4471324 KB4471327 KB4471329 KB4471332 | 警告 緊急 |
Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8624 |
| CVE-2018-8626 | KB4471320 KB4471321 KB4471322 KB4471324 KB4471329 KB4471332 | 警告 緊急 |
Windows DNS Server のヒープ オーバーフローの脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8626 |
| CVE-2018-8629 | KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 | 警告 緊急 |
Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8629 |
| CVE-2018-8631 | KB4470199 KB4471318 KB4471320 KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 |
警告 緊急 |
Internet Explorer のメモリ破損の脆弱性 | Internet Explorer 9以降 | https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8631 |
| CVE-2018-8634 | KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 | 緊急 | Microsoft 音声合成のリモートでコードが実行される脆弱性 | Windows 10 Windows Server 2016以降 |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8634 |
| CVE-2018-8557 | KB4467680 KB4467686 KB4467691 KB4467696 KB4467702 KB4467708 | 緊急 | Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8557 |
| CVE-2018-8588 | KB4467680 KB4467686 KB4467691 KB4467696 KB4467702 KB4467708 | 緊急 | Chakra スクリプト エンジンのメモリ破損の脆弱性 | ChakraCore Microsoft Edge |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8588 |
| CVE-2018-8589 | KB4467106 KB4467107 KB4467700 KB4467706 | 重要 | Windows Win32k の特権の昇格の脆弱性 | Windows7 Windows Server 2008 |
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8589 |
| CVE-2018-8609 | KB4467675 | 緊急 | Microsoft Dynamics 365 (on-premises) version 8 Remote Code Execution Vulnerability | Microsoft Dynamics 365 (on-premises) version 8 | https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8609 |
これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるコンピューター制御など、様々な被害が発生する可能性があります。
またCVE-2018-8611の脆弱性について、Microsoft社は脆弱性悪用の事実を確認済みと公表しているため、被害が拡大する可能性があります。
【対策】
上記の脆弱性への対策としてはMicrosoftが提供しているセキュリティ更新プログラムを適用する必要があります。
さて前回のブログでは、パッチ自動配布タスクの作成方法(パッチ配布を自動化する方法)についてご紹介いたしました。今回のブログでは、前回のブログ内で告知した通り、「パッチの拒否」機能をご紹介いたします。
「パッチの拒否」機能は、「業務システムがJavaの特定のバージョンでしか動作がサポートされていない…!」といったケースにおいて、非常に有用です。設定方法も非常にシンプルで、事前に作成したコンピューターグループに対して、パッチを拒否したいアプリケーションや特定のバージョンなどを指定するだけで完了します。
具体的な設定方法は以下の2ステップです。
①パッチの拒否を行うグループを設定
②パッチを拒否するアプリケーションやバージョンを指定
①パッチの拒否を行うグループを設定 
「カスタムグループ」というグループ作成機能で事前に作成したグループを設定します。業務システムが動いているサーバーなどを事前にグループにしておく必要があります。「カスタムグループ」で作成したグループは、「パッチの拒否」機能以外においても利用可能です。「カスタムグループ」機能の詳細については次回のブログにてご紹介いたします。
② パッチを拒否するアプリケーションやバージョンを指定
上記のように、アプリケーション単位での拒否をはじめ、特定のバージョンを指定して拒否することも可能です。
最後になりますが、パッチを拒否することによって、脆弱性が放置されるリスクが伴います。そのため脆弱性の緩和対策を別途実施し、脆弱性による影響を最小限に抑える必要があることをご留意ください。
以上です。本日は2018年12月度のMicrosoftセキュリティ更新プログラムの概要と、Desktop Centralの「パッチの拒否」機能をご紹介いたしました。
Desktop Centralについて、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、無償で弊社の技術サポートを受けられます。
<<Desktop Centralのダウンロードページ>>
https://www.manageengine.jp/products/Desktop_Central/download.html
それではSee you next month!
【参照先URL】
Microsoft社
2018 年 12月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d
Microsoft社
2018 年 12月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
2018年 12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180050.html
IPA 情報処理推進機構
Microsoft 製品の脆弱性対策について(2018年12月)
https://www.ipa.go.jp/security/ciadr/vul/20181212ms.html
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。