本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA10784
Microsoft Windowsの複数の脆弱性
更新日: 07/05/2018
検出日
?
04/12/2016
危険度
?
緊急
説明

Microsoft Windowsでは複数の深刻な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用して、任意のコードを実行したり、機密情報を取得したり、特権を取得したり、セキュリティ制限をバイパスしたり、

以下は、脆弱性の完全なリストです

  1. OLEの不適切なユーザー入力の検証は、特別に設計されたコンテンツを介してリモートから悪用され、任意のコードを実行できます。
  2. Hyper-Vでの不適切なユーザー入力の検証は、認証されたユーザーが、特別に設計されたアプリケーションを使用して任意のコードを実行したり、機密情報を取得したりすることができます。
  3. Windowsセカンダリログオンサービスで管理されている不適切な要求は、特別に設計されたアプリケーションを介して認証された攻撃者によって悪用され、特権を得ることができます。
  4. セキュリティアカウントマネージャとローカルセキュリティ機関(ドメインポリシー)での認証レベルの制限の不備は、man-in-the-middle攻撃SAMデータベースを経由してリモートから利用することができます。
  5. 不適切なプロセストークン管理は、CSRSSのセキュリティ制限をバイパスするように特別に設計されたアプリケーションを介してログインした攻撃者によって悪用される可能性があります。
  6. 不適切なHTTP 2.0要求の解析は、特別に設計されたHTTPパケットを介してリモートから悪用され、サービス拒否を引き起こす可能性があります。

注:この脆弱性には公開CVSS評価がないため、評価は時間によって変更できます。


技術的な詳細

ゲストシステムでのユーザー入力に関する脆弱性(2) 。 Hyper-Vを有効にしないユーザーは、この脆弱性の影響を受けません。

不適切なRPC呼び出しの確立によって適切に保護されない認証レベルを受け入れるSAMおよびLSADリモートプロトコルによって引き起こされる脆弱性(4) 。この脆弱性を悪用するために、攻撃者はMiTM攻撃を開始し、SAMおよびLSADの認証レベルを強制的にダウングレードし、認証されたユーザーを偽装することができます。

HTTP.sysに関連する脆弱性(6)

影響を受ける製品

Microsoft Windows Vista Service Pack 2
Microsoft Windows Server 2008 Service Pack 2
Microsoft Windows 7 Service Pack 1
Microsoft Windows Server 2008 R2 Service Pack 1
Microsoft Windows 8.1
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows RT 8.1
Microsoft Windows 10

解決法

Windows UpdateにリストされているKBセクションから必要な更新プログラムをインストールします(Windows Updateは通常、コントロールパネルからアクセスできます)

オリジナル勧告

MS16-046
MS16-047
MS16-044
MS16-045
MS16-048
MS16-049

影響
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
関連製品
Windows RT
Microsoft Windows Vista
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Windows 8
Microsoft Windows 7
Microsoft Windows 10
CVE-IDS
?

CVE-2016-0167
CVE-2016-0165
CVE-2016-0153
CVE-2016-0151
CVE-2016-0150
CVE-2016-0145
CVE-2016-0143
CVE-2016-0135
CVE-2016-0128
CVE-2016-0090
CVE-2016-0089
CVE-2016-0088

Microsoftの公式アドバイザリ
MS16-046
MS16-047
MS16-044
MS16-045
MS16-048
MS16-049
KBリスト

3149090
3147461
3135456
3146723
3147458
3146706
3145739
4038788
4093112


オリジナルへのリンク