今月のマイクロソフトパッチリリースブログをお届けします。今月は、6 件の脆弱性を対象として 4 つのセキュリティ情報がリリースされています。6 件すべてが「重要」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Jan
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される(2916605)
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0258)MS の深刻度: 重要
Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0259)MS の深刻度: 重要
Microsoft Word のメモリ破損の脆弱性(CVE-2014-0260)MS の深刻度: 重要
MS14-002 Windows カーネルの脆弱性により、特権が昇格される(2914368)
カーネルの NDProxy の脆弱性(CVE-2013-5065)MS の深刻度: 重要
ユーザーモードからカーネルに渡される入力が正しく検証されないことが原因で、Windows カーネルの NDProxy コンポーネントに特権昇格の脆弱性が存在します。この脆弱性により、攻撃者がカーネルモードでコードを実行できる可能性があります。攻撃者がこの脆弱性の悪用に成功すると、特別に細工されたアプリケーションを実行し、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。
MS14-003 Windows カーネルモードドライバの脆弱性により、特権が昇格される(2913602)
Win32k のウィンドウハンドルの脆弱性(CVE-2014-0262)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のウィンドウハンドルスレッドが所有するオブジェクトを正しく使用しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。
MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる(2880826)
クエリーフィルタ DoS の脆弱性(CVE-2014-0261)MS の深刻度: 重要
Microsoft Dynamics AX にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、Dynamics AX サーバーが応答しなくなる可能性があります。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。