本記事は、Security Research & Defense のブログ “ Assessing risk for the June 2013 security updates ” (2013 年 6 月 11 日公開) を翻訳した記事です。
本日、私たちは 23 件の CVE を解決する 5 件のセキュリティ情報をリリースしました。セキュリティ情報の内、1 件は最大深刻度が「緊急」、そして 4 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
---|---|---|---|---|---|
MS13-047(Internet Explorer) | 被害者が、悪意のある Web ページを閲覧する。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります | 19 件の CVE を解決します。 |
MS13-051(Office 2003) | 被害者が、悪意のある Office ドキュメントを開く。 | 重要 | 1 | 限定された標的型攻撃が、この更新プログラムで解決される 1 件の CVE を悪用するのが目撃されています。 | Office 2003 および Office for Mac 2011 に影響を与えます。 この攻撃に関する詳細情報は、この SRD ブログ投稿 (英語情報)を参照してください。 |
MS13-049(Windows ネットワーク) | 攻撃者は、TCP/IP ポートを傍受する被害者に対して、ある種の何千もの通信ルートを確立し、非ページ プール メモリを消費する。これにより、再起動が必要になるネットワーク(あるいはシステム全体)の停止となる「サービス拒否」の状態を引き起こす。 | 重要 | 3 | 直接、コード実行されることはありません。「サービス拒否」のみの脆弱性です。 | Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 上のローカル マシンのみが脆弱性の要因となります。それらのプラットフォームで、「警告」と評価されます。 |
MS13-050(印刷スプーラー) | マシン上で既にコードを実行している攻撃者が、特権が低いアカウントから SYSTEM に昇格するためにこの脆弱性を利用する。 | 重要 | 1 | 30 日以内に、「サービス拒否」の悪用コードが作成される可能性があります。 | |
MS13-048(Windows カーネル) | マシン上で既にコードを実行している攻撃者が、この脆弱性をマシンのバグチェック、もしくは、カーネル メモリ アドレスの漏えいに悪用する。 | 重要 | 3 | 直接、コード実行されることはありません。「サービス拒否」もしくは、「情報漏えい」のみの脆弱性です。 |
ジョナサン・ネス、MSRC エンジニアリング