グーグル, マイクロソフトのバグトップ 20 最も一般的なエンタープライズの脆弱性

サイバーセキュリティ企業のTenableは、エンタープライズセキュリティの観点から最も一般的な脆弱性の概要を示す脆弱性インテリジェンスレポートをリリースしました。.

どうやら, マイクロソフトとグーグルのソフトウェア製品は、エンタープライズシステム全体を混乱させるセキュリティ上の欠陥のリストの一番上にあります. このような脆弱性は破壊する可能性があります 20-30 パッチが適用されていないソフトウェアを実行している企業の割合.

脆弱性インテリジェンスレポート: 詳細

によると レポート, Microsoft.NetおよびMicrosoftOffice, アドビフラッシュ, オラクルのJavaは、企業資産に関して最高レベルのリスクを抱えています. Adobe Flashは、脆弱性に基づく企業の脅威の半分を非難します, およびMicrosoftOffice, 一般に, 責任があります 20 セキュリティ上の欠陥の割合. 特定の脆弱性について区別する必要があります, CVE-2018-8202, 最大に影響を与える可能性があります 32 企業の割合.

脆弱性はに含まれていました [wplinkpreview url =”https://Sensorstechforum.com/july-2018-patch-tuesday-cve-2018-8281-microsoft-office/”]7月 2018 火曜日のパッチ, .NETFrameworkの特権昇格のバグです.

もう1つの非常に脅威的な脆弱性は、Google Chromeにあり、CVE-2018-6153番号が割り当てられています. この問題はスタックバッファオーバーフロータイプであり、Skiaによる不適切な境界チェックが原因です。.

リストの次はCVE-2015-6136です, で発見されたMicrosoftIEの脆弱性 2015. CVE-2015-6136は影響を与える可能性があります 28 企業の割合. これがその 公式説明:

マイクロソフト (1) VBScript 5.7 と 5.8 と (2) JScript 5.7 と 5.8 エンジン, InternetExplorerで使用される 8 終えた 11 およびその他の製品, リモートの攻撃者が巧妙に細工されたWebサイトを介して任意のコードを実行できるようにする, 別名 “スクリプトエンジンのメモリ破損の脆弱性。”

企業への影響に関する4番目の脆弱性はCVE-2018-2938です:

OracleJavaSEのJavaSEコンポーネントの脆弱性 (サブコンポーネント: Java DB). 影響を受けるサポートされているバージョンはJavaSEです: 6u191, 7u181および8u172. 脆弱性を悪用するのが難しいため、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります.

また、注意する必要があります, 一方、JavaSEの欠陥, 追加の製品も影響を受ける可能性があります. この脆弱性の攻撃が成功すると、JavaSEが乗っ取られる可能性があります.

次にCVE-2018-1039が登場, デバイス ガード機能のバイパスにつながる .NET Framework の Microsoft エンタープライズ脆弱性.

残りの脆弱性も企業に影響を及ぼします. それらのいくつかにはCVE番号が割り当てられていません, 6番目の位置にあるSSLの欠陥のように:

SSLバージョン 2 と 3 プロトコル検出. リモートサービスは、SSLを使用して暗号化された接続を受け入れます 2.0 および/またはSSL 3.0. これらのバージョンのSSLは、いくつかの暗号化の欠陥の影響を受けます, CBC暗号を使用した安全でないパディングスキームと安全でないセッションの再ネゴシエーションおよび再開スキームを含む.

Tenableによって選択された残りの欠陥は:

GoogleChromeのCVE-2018-6130, これは、WebRTCの範囲外のメモリアクセスのバグです.

MicrosoftIEのCVE-2018-8242, これは、スクリプトエンジンがブラウザのメモリ内のオブジェクトを処理する方法に存在するリモートコード実行の脆弱性です。.

MicrosoftIEのCVE-2017-8517, これは、JavaScriptエンジンがMicrosoftブラウザでメモリ内のオブジェクトを適切に処理できないこととして説明されています. バグは任意のコードの実行につながる可能性があります.

AdobeFlashPlayerのCVE-2018-5007, これは、ソフトウェアのバージョンにおけるタイプの混乱の脆弱性です 30.0.0.113 およびそれ以前. また、任意のコードの実行につながる可能性があります.

CVE-2018-8249, MicrosoftIEのCVE-2018-0978, これは、不適切なオブジェクトアクセスによって引き起こされるリモートコード実行のバグです。.

MicrosoftOfficeのCVE-2018-8310, これは、HTMLメールをレンダリングするときにMicrosoftOutlookが特定の添付ファイルタイプを適切に処理しない場合に発生する改ざんの脆弱性です。.

AdobeFlashPlayerのCVE-2018-5002, ソフトウェアのバージョンに影響を与える 29.0.0.171 およびそれ以前. これは、現在のユーザーのコンテキストで任意のコードが実行される原因となるスタックバッファオーバーフローの欠陥です。.

MicrosoftブラウザのCVE-2018-8178, これはリモートでコードが実行される脆弱性です.

OracleJavaのCVE-2018-2814, これは、Oracle JavaSEのJavaSE組み込みコンポーネントの欠陥であり、攻撃者による完全な乗っ取りにつながる可能性があります。.

AdobeFlashPlayerのCVE-2018-5008, バージョンに影響します 30.0.0.113 およびそれ以前. これは、情報開示につながる可能性のある範囲外の読み取りセキュリティの脆弱性です.

AdobeFlashPlayerのCVE-2017-11215, ソフトウェアバージョンに影響を与える 27.0.0.183 およびそれ以前. Primetime SDKの解放後使用の欠陥で、コードの破損につながる可能性があります, 制御フローの乗っ取りまたは情報漏えい.

Mozillaの割り当てられていない脆弱性, これはレガシーMozillaアプリケーションに影響します, Firefoxの古いバージョンなど, サンダーバードとシーモンキー. これらの製品には、セキュリティアップデートが利用できないため、セキュリティ上の欠陥が含まれている可能性があります.

Microsoft VisualStudio.NETのMFCライブラリのCVE-2015-0008, これは信頼できない検索パスの脆弱性であり、攻撃者がローカル権限を取得するために悪用する可能性があります.

AdobeFlashバージョンのCVE-2018-4944 29.0.0.140 およびそれ以前. これらのバージョンには、任意のコードの実行につながる可能性のある型の混乱のバグが含まれています.