今月のマイクロソフトパッチリリースブログをお届けします。今月は、19 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 9 件が「緊急」レベルです。
-
MS13-089 Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される(2876331)
Graphics Device Interface の整数オーバーフローの脆弱性(CVE-2013-3940)MS の深刻度: 緊急
Windows Graphics Device Interface(GDI)が、特別に細工された Windows Write ファイルをワードパッドで処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
-
MS13-088 Internet Explorer 用の累積的なセキュリティ更新プログラム(2888505)
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3871)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の情報漏えいの脆弱性(CVE-2013-3908)MS の深刻度: 重要
Internet Explorer が印刷プレビューを生成するとき、特別に細工された Web コンテンツを処理する方法に情報漏えいの脆弱性が存在します。この脆弱性が悪用されると、ユーザーが閲覧している任意のページから情報が収集される可能性があります。
Internet Explorer の情報漏えいの脆弱性(CVE-2013-3909)MS の深刻度: 警告
Internet Explorer が CSS の特殊文字を処理する方法に、情報漏えいの脆弱性が存在します。攻撃者が、特別に細工された Web ページを作成してこの脆弱性を悪用すると、ユーザーがその Web サイトを開いたときに情報が漏えいしてしまいます。この脆弱性を悪用すると、他のドメインまたは Internet Explorer ゾーンからコンテンツを閲覧できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3910)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3911)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3912)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3914)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3915)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3916)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2013-3917)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
-
MS13-092 Hyper-V の脆弱性により、特権が昇格される(2893986)
アドレス破損の脆弱性(CVE-2013-3898)MS の深刻度: 重要
Windows 8 と Windows Server 2012 の Hyper-V には、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、共有 Hyper-V ホスト上の別の仮想マシン(VM)でシステムとして任意のコードを実行できる場合があります。攻撃者は、Hyper-V ホストでコードを実行することはできず、同じホスト上のゲスト VM でのみ実行できます。この脆弱性により、同じプラットフォーム上の Hyper-V でサービス拒否が発生し、攻撃者が Hyper-V ホストの応答停止や再起動を引き起こす可能性もあります。
-
MS13-093 Windows Ancillary Function ドライバの脆弱性により、情報漏えいが起こる(2875783)
Ancillary Function ドライバの情報漏えいの脆弱性(CVE-2013-3887)MS の深刻度: 重要
Windows カーネルモードドライバがカーネルメモリとユーザーメモリの間のデータコピーを正しく処理しない場合に、情報漏えいの脆弱性が存在します。
-
MS13-095 XML デジタル署名の脆弱性により、サービス拒否が起こる(2868626)
XML デジタル署名の脆弱性(CVE-2013-3869)MS の深刻度: 重要
X.509 証明書解析の実装にサービス拒否の脆弱性が存在するため、サービスが応答しなくなる可能性があります。この脆弱性は、X.509 証明書の検証操作が、特別に細工された X.509 証明書の処理に失敗した場合に起こります。
-
MS13-094 Microsoft Outlook の脆弱性により、情報漏えいが起こる(2894514)
S/MIME AIA の脆弱性(CVE-2013-3905)MS の深刻度: 重要
Microsoft Outlook が S/MIME 証明書メタデータを適切に処理しない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となったシステムや、標的となったシステムとネットワークを共有している他のシステムから IP アドレスなどのシステム情報を確認し、TCP ポートを開くことができます。
-
MS13-090 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム(2900986)
InformationCardSigninHelper の脆弱性(CVE-2013-3918)MS の深刻度: 緊急
InformationCardSigninHelper クラスの ActiveX コントロール(icardie.dll)に、リモートコード実行の脆弱性が存在します。攻撃者は特別に細工された Web ページを作成してこの脆弱性を悪用する可能性があります。ユーザーがこの Web ページを閲覧すると、この脆弱性により、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得する可能性があります。
-
MS13-091 Microsoft Office の脆弱性により、リモートでコードが実行される(2885093)
WPD ファイル形式のメモリ破損の脆弱性(CVE-2013-0082)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書(.wpd)ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Word のスタックバッファ上書きの脆弱性(CVE-2013-1324)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Word のヒープの上書きの脆弱性(CVE-2013-1325)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工された WordPerfect 文書ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。