2014年6月のセキュリティ更新プログラムのリスク評価
本記事は、Security Research & Defense のブログ “Assessing risk for the June 2014 security updates”(2014年6月10日公開)を翻訳した記事です。
本日、66件の個別のCVEを解決する7件のセキュリティ情報をリリースしました。セキュリティ情報の内、2件は最大深刻度が「緊急」、そして5件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開30日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS14-035 (Internet Explorer) | 被害者が悪意のあるWebページを閲覧する。 | 緊急 | 1 | 30日以内に悪用コードが作成される可能性があります。 | 59件のCVE数は先月一般に見られたエクスプロイトに着目したものです。これらは、5月、および6月の修正で、現在のところ攻撃を確認していないものです。 |
| MS14-034 (Word 2007) | 被害者が悪意のあるOfficeドキュメントを開く。 | 重要 | 1 | 30日以内に悪用コードが作成される可能性があります。 | 埋め込みフォントの解析における問題を解決しました。Docあるいはdocxのいずれかが経路となります。Word 2010、およびそれ以降のバージョンについては影響を受けません。 |
| MS14-036 (GDI+) | 被害者が悪意のあるグラフィックファイル、もしくは悪意のあるPowerPointドキュメントを開く。 | 緊急 | 1 | 30日以内に悪用コードが作成される可能性があります。 | 最近、実際の現場で攻撃者が実行しているのが見られない領域で、EMF+レコードタイプの解析における問題を解決しました。(そのため、GDI+の更新プログラムよりも先にWordのセキュリティ更新プログラムが表の前にリストしています。) |
| MS14-033 (MSXML) | 被害者が、悪意のあるWebページを閲覧、あるいは悪意のあるドキュメントを開き、ダウンロードしたファイルのローカルでのパス名を気づかずに攻撃者に送信する。パス名には既定でユーザーのログイン名が含まれている。 | 重要 | 3 | 情報漏えいの脆弱性の利用が蔓延する可能性は低いです。 | 情報漏えいのみです。 |
| MS14-030 (ターミナル Services) | リモートデスクトップの開始時に、中間者としてふるまう攻撃者が、リモートデスクトップで情報を読み取る、あるいは改ざんする可能性がある。 | 重要 | なし | 改ざんを可能にする脆弱性の利用が蔓延する可能性は低いです。 | ターミナルサービスNLA機能が、この脆弱性を緩和します。 |
| MS14-031 (TCP) | 攻撃者が、変種のTCPオプションで多数の接続を開始する。それぞれの接続で、本来望ましい時間よりも長く非ページのプールメモリが一時的に消費され、結果としてリソースの消耗につながる。 | 重要 | 3 | サービス拒否に限ったリソース消耗を許す、脆弱性の利用が蔓延する可能性は低いです。 | 攻撃者がTCPオプションフィールドを制御するのが必須です。攻撃者は、TCPオプションフィールドに上書きするネットワークインフラストラクチャに隠れて、サービス拒否を引きこすことはできません。 |
| MS14-032 (Lync サーバー XSS) | 被害者が、有効なLync会議の特別に細工された悪意のあるリンクをクリックする。通常被害者がアクセス権を持つLyncサーバーのコンテキストで被害者が操作を行える。 | 重要 | 3 | この脆弱性の利用が蔓延する可能性は低いです。 | XSS styleの脆弱性です。 |
ジョナサン・ネス、MSRC エンジニア