本記事は、Security Research & Defense のブログ “ Assessing risk for the May 2013 security updates ” (2013 年 5 月 14 日公開) を翻訳した記事です。
本日、私たちは 33 件の CVE を解決する 10 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 8 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃方法 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS13-038(Internet Explorer 8) | 被害者が、悪意のある Web ページを閲覧する。 | 緊急 | 1 | CVE-2013-1347 は、現在、実際の攻撃に悪用されています。 | 米国労働省の web サイトで、最初に悪用コードとして発見された問題を解決します。MS13-037 の IE8 mshtml.dll および CVE-2013-1347 の追加の修正が含まれます。脆弱性のあるコードは IE9 にも存在しますが、同じ現象に対して脆弱性があるわけではありません。IE 9 の更新プログラムは、多層防御のためのものです。 |
| MS13-037(Internet Explorer) | 被害者が、悪意のある Web ページを閲覧する。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-039(HTTP.sys) | 攻撃者が、悪意のある HTTP リクエストを被害者の IIS サーバーに送り、リソースの消耗による、サービス拒否を引き起こします。 | 重要 | 1 | 30 日以内に、サービス拒否に対する悪用コードが作成される可能性があります。 | ターゲットとなる可能性が高いのは、Windows Server 2012 の web サーバーです。Windows Server 2003、2008、2008 R2 は影響を受けません。 |
| MS13-042(Publisher) | 被害者が、悪意のある .PUB ファイルを開く。 | 重要 | 1 | 30 日以内に、サービス拒否に対する悪用コードが作成される可能性があります。 | 11 件の CVE が、主に Publisher 2003 に影響を与えています。また、これは Publisher 2007、および Publisher 2010 にも影響を与えます。 Publisher 2013 には影響を与えません。 |
| MS13-046(Kernel mode drivers, win32k.sys および dxgkrnl.sys) | マシン上で既にコードを実行している攻撃者、これらの脆弱性の内の 1 つを、特権が低いアカウントからシステムに昇格するために利用する。 | 重要 | 1 | この脆弱性について、悪用コードを作成することは困難です。 | |
| MS13-043(Word 2003) | 被害者が、悪意のある .doc ファイルを開く。 | 重要 | 2 | この脆弱性について、悪用コードを作成することは困難です。 | Word 2007、Word 2010、Word 2013、Word Web Apps、 および Office for Mac には影響を与えません。 |
| MS13-041(Lync) | 被害者が Lync チャットの招待を承諾し、その後、攻撃者が提示する 共有のプログラム、もしくは共有のコンテンツを閲覧することに同意します。 | 重要 | 2 | この脆弱性について、悪用コードを作成することは困難です。 | 通常の Lync チャット経由では悪用できません。被害者が、共有コンテンツの閲覧に同意する必要があります。 |
| MS13-044(Visio) | 被害者が、Visio がインストールされたシステム上で、悪意のある SVG 画像を開く。この一連の出来事を通じて、Visio は自動的にローカル ファイルのコンテンツをリモート サーバーに送信してしまいます。 | 重要 | 3 | 直接、コード実行されることはありません。これは、「情報漏えい」のみの脆弱性です。 | |
| MS13-045(Windows Writer) | 被害者は、悪意のある wlw:// URL をクリックし、Windows Writer を開く。結果、ログイン可能なユーザーが書き換え可能な、ローカルファイルを上書きする可能性があります。 | 重要 | 3 | 直接、コード実行されることはありません。 | プロンプトをクリックすると、ユーザーは Windows Writer を開くよう勧められます。脆弱性が引き起こされるのは、ユーザーが Windows Writer を開くことに許可した場合のみです。 |
| MS13-040(.NET Framework) | .NET Framework が、XML ファイルのデジタル署名を認証しようとするプロセスが、初めに署名済みの XML として提示されたように、署名されていない XML を署名済みの XML として承認する可能性があります。 | 重要 | 3 | 直接、コード実行されることはありません。これは、「なりすまし」の脅威です。 |
ジョナサン・ネス、MSRC エンジニアリング