今月のマイクロソフトパッチリリースブログをお届けします。今月は、13 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 3 件が「緊急」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 5 月のリリースに関する概要は、次のページで公開されています。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-may
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS14-022 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される(2952166)
SharePoint ページコンテンツの脆弱性(CVE-2014-0251)MS の深刻度: 重要
Microsoft SharePoint Server に複数のリモートコード実行の脆弱性が存在します。認証された攻撃者が、関連するこれらの脆弱性のいずれかの悪用に成功すると、W3WP サービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。
SharePoint XSS の脆弱性(CVE-2014-1754)MS の深刻度: 緊急
Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。
Web Applications ページコンテンツの脆弱性(CVE-2014-1813)MS の深刻度: 重要
Microsoft Web Applications にリモートコード実行の脆弱性が存在します。認証された攻撃者がこの脆弱性の悪用に成功すると、W3WP サービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。
MS14-023 Microsoft Office の脆弱性により、リモートでコードが実行される(2961037)
Microsoft Office の中国語文章校正の脆弱性(CVE-2014-1756)MS の深刻度: 重要
影響を受ける Microsoft Office ソフトウェアがダイナミックリンクライブラリ(.dll)ファイルのロードを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
トークン再使用の脆弱性(CVE-2014-1808)MS の深刻度: 重要
悪質な Web サイト上にホストされている Office ファイルを開こうとしているとき、影響を受ける Microsoft Office ソフトウェアが特別に細工された応答を適切に処理できない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となる Microsoft オンラインサービスで現在のユーザーの認証に使うアクセストークンを確認できる場合があります。
MS14-024 Microsoft コモンコントロールの脆弱性により、セキュリティ機能が回避される(2961033)
MSCOMCTL ASLR の脆弱性(CVE-2014-1809)MS の深刻度: 重要
Microsoft Office ソフトウェアによって使用される MSCOMCTL コモンコントロールライブラリが ASLR(Address Space Layout Randomization)を適切に実装していないため、セキュリティ機能回避の脆弱性が存在します。この脆弱性により、攻撃者は広い範囲の脆弱性からユーザーを保護している ASLR セキュリティ機能を回避できるようになります。このセキュリティ機能の回避そのものによって任意のコードが実行されることはありませんが、攻撃者はこの ASLR 回避の脆弱性を、リモートでコード実行の脆弱性など別の脆弱性と組み合わせて使用し、ASLR 回避を利用することで、任意のコードを実行する可能性があります。
MS14-025 グループポリシー基本設定の脆弱性により、特権が昇格される(2962486)
グループポリシー基本設定のパスワードの特権昇格の脆弱性(CVE-2014-1812)MS の深刻度: 重要
Active Directory がグループポリシー基本設定を使って構成されているパスワードを配布する方法に、特権昇格の脆弱性が存在します。認証された攻撃者がこの脆弱性の悪用に成功すると、パスワードを解読して利用し、ドメイン上で特権を昇格できる可能性があります。
MS14-026 .NET Framework の脆弱性により、特権が昇格される(2958732)
TypeFilterLevel の脆弱性(CVE-2014-1806)MS の深刻度: 重要
.NET Framework が不正な形式の一部のオブジェクトに対して TypeFilterLevel チェックを処理する方法に、特権昇格の脆弱性が存在します。
MS14-027 Windows シェルハンドラの脆弱性により、特権が昇格される(2962488)
Windows シェルのファイル関連付けの脆弱性(CVE-2014-1807)MS の深刻度: 重要
Windows シェルがファイルの関連付けを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Local System アカウントのコンテキストで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。
MS14-028 iSCSI の脆弱性により、サービス拒否が起こる(2962485)
iSCSI ターゲットのリモートサービス拒否の脆弱性(CVE-2014-0255)MS の深刻度: 重要
影響を受けるオペレーティングシステムが iSCSI パケットを処理する方法に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるサービスが応答を停止する可能性があります。
iSCSI ターゲットのリモートサービス拒否の脆弱性(CVE-2014-0256)MS の深刻度: 重要
影響を受けるオペレーティングシステムが iSCSI 接続を処理する方法に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるサービスが応答を停止する可能性があります。
MS14-029 Internet Explorer 用のセキュリティ更新プログラム(2962482)
Internet Explorer のメモリ破損の脆弱性(CVE-2014-0310)MS の深刻度: 緊急
Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer のメモリ破損の脆弱性(CVE-2014-1815)MS の深刻度: 緊急
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。