2018年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起

各位

JPCERT-AT-2018-0016
JPCERT/CC
2018-04-11

JPCERT/CC Alert 2018-04-11

2018年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起

https://www.jpcert.or.jp/at/2018/at180016.html

I. 概要マイクロソフトから 2018年 4月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあります。

脆弱性の詳細は、次の URL を参照してください。

2018 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d

[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを挙げています。

ADV180007
2018 年 4 月の Adobe Flash のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV180007
- KB4093110

CVE-2018-0870
Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0870
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114
KB4093118, KB4093119

CVE-2018-0979
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0979
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0980
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0980
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0981
スクリプトエンジンの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0981
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114
KB4093118, KB4093119

CVE-2018-0988
スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0988
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114
KB4093118, KB4093119

CVE-2018-0990
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0990
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0991
Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0991
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093118, KB4093119

CVE-2018-0993
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0993
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0994
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0994
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0995
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0995
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

CVE-2018-0996
スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-0996
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093118, KB4093119

CVE-2018-1000
スクリプトエンジンの情報漏えいの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1000
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093118, KB4093119

CVE-2018-1004
Windows VBScript エンジンのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1004
- KB4092946, KB4093107, KB4093108, KB4093109, KB4093111, KB4093112,
KB4093114, KB4093115, KB4093118, KB4093119, KB4093122, KB4093123

CVE-2018-1010
Microsoft Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1010
- KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223

CVE-2018-1012
Microsoft Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1012
- KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223

CVE-2018-1013
Microsoft Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1013
- KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223

CVE-2018-1015
Microsoft Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1015
- KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223

CVE-2018-1016
Microsoft Graphics のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1016
- KB4093107, KB4093108, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093115, KB4093118, KB4093119, KB4093122, KB4093123, KB4093223

CVE-2018-1018
Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1018
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093118, KB4093119

CVE-2018-1019
Chakra スクリプトエンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1019
- KB4093112

CVE-2018-1020
Internet Explorer のメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1020
- KB4092946, KB4093107, KB4093109, KB4093111, KB4093112, KB4093114,
KB4093118, KB4093119

CVE-2018-1023
Microsoft ブラウザーのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-1023
- KB4093107, KB4093109, KB4093111, KB4093112, KB4093119

また、CERT/CC より Microsoft Outlook に関する情報 (CVE-2018-0950) が公開されています。マイクロソフトは、2018年 4月のセキュリティ更新プログラムにて本脆弱性を修正しており、深刻度を「重要」としています。こちらも併せて、ご確認ください。

Vulnerability Note VU#974272
Microsoft Outlook retrieves remote OLE content without prompting
https://www.kb.cert.org/vuls/id/974272

なお、マイクロソフトによると、今回のアップデートに関連する脆弱性の悪用は確認されていないとのことですが、セキュリティ更新プログラムの早期の適用をご検討ください。

また、マイクロソフトより、Microsoft Visual Studio 2008 や Microsoft
SQL Server Compact 3.5 のサポートに関する情報が公開されています。詳細は、マイクロソフト社の情報を確認してください。サポート終了後は、セキュリティ更新プログラムが提供されなくなるため、セキュリティ上の脅威が高まります。古いバージョンを使用している場合は、アプリケーションの対応状況などをふまえた上で、サポート対象のバージョンへの移行をご検討ください。

マイクロソフト株式会社
2018 年にサポートが終了する製品
https://support.microsoft.com/ja-JP/help/4043450/products-reaching-end-of-support-for-2018

対象となる製品およびバージョンは以下の通りです。

- Microsoft SQL Server Compact 3.5
- Microsoft Visual Studio 2008 (すべてのエディション)
- Microsoft Visual Studio Team System 2008 (すべてのエディション)
- Microsoft Visual Studio Team System 2008 Team Foundation Server
- Microsoft Dynamics CRM 4.0
- Microsoft Office Accounting 2008 (すべてのエディション)
- Microsoft System Center Capacity Planner 2007
- Microsoft Visual Basic 2008 Express Edition
- Microsoft Visual C# 2008 Express Edition
- Microsoft Visual Web Developer 2008 Express Edition
- Windows Embedded CE 6.0

II. 対策Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。

Microsoft Update / Windows Update
http://www.update.microsoft.com/

Microsoft Update Catalog
https://www.catalog.update.microsoft.com/

III. 参考情報
マイクロソフト株式会社
2018 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d

マイクロソフト株式会社
2018 年 4 月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/04/11/201804-security-updates/

マイクロソフト株式会社
Windows Update: FAQ
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

アドビシステムズ株式会社
Security updates available for Flash Player | APSB18-08
https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

JPCERT/CC
Adobe Flash Player の脆弱性 (APSB18-08) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180015.html

CERT/CC
Microsoft Outlook retrieves remote OLE content without prompting
https://www.kb.cert.org/vuls/id/974272

今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ