本記事は、Security Research & Defense のブログ “ Assessing risk for the September 2013 security updates ” (2013 年 9 月 11 日公開) を翻訳した記事です。
本日、私たちは 47 件の CVE を解決する 13 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 9 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS13-069(Internet Explorer) | 被害者が悪意のある Web ページを開きます。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-068(Outlook) | 被害者が、多数埋め込まれた S/MIME 証明書を含む電子メールを閲覧、またはプレビューします。 | 緊急 | 2 | 30 日以内に悪用コードが作成される可能性はありません。 | 私達は、攻撃者がコード実行のためにこれを悪用する際に直面するであろう困難について説明するブログ記事を書きました。 http://blogs.technet.com/b/srd/archive/2013/09/10/ms13-068-a-difficult-to-exploit-double-free-in-outlook.aspx (英語情報) |
| MS13-067(SharePoint) | 被害者の SharePoint Server とのセッションに関わっている攻撃者は、状態を維持するために使用される ViewState 値を改ざんし、サーバー サイドでコードが実行される可能性があります。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | 既定で、SharePoint はユーザー(攻撃者を含む)認証が必須です。これは、SharePoint Server が認証を必須としないように設定されない限り、事前認証の脆弱性ではありません。 |
| MS13-070(OLE32) | 被害者が悪意のある Visio ファイルを開きます。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | Visio の攻撃ベクターを介して悪用される可能性が高いです。しかしながら、脆弱性は shell (Explorer) プレビュー機能を介して起こり得る可能性もあります。 |
| MS13-072(Word) | 被害者が悪意のある Word ドキュメントを開きます。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | Office 2013 は影響を受けません。 |
| MS13-073(Excel) | 被害者が悪意のある Excel スプレッド シートを開きます。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-074(Access) | 攻撃者が、被害者が悪意のある Access データベース (.accdb) をダブルクリックするよう誘導します。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-076(win32k.sys) | 既にマシン上でコードを実行している攻撃者が、この脆弱性を特権の低いアカウントから SYSTEM に昇格するために利用します。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-079(Active Directory) | 攻撃者が、ドメイン コントローラに対し、悪意のある LDAP リクエストを送信し、その結果、サービス拒否の状態につながります。 | 重要 | なし | サービス拒否のみ。 | |
| MS13-071(Windows テーマ) | 攻撃者が、被害者が悪意のあるテーマファイルをダブルクリックするよう誘導します。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | Windows 7 以降のプラットフォームには影響を与えません。 |
| MS13-075(IME) | 既にマシン上でコードを実行している攻撃者が、この脆弱性を特権の低いアカウントから SYSTEM に昇格するために利用します。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS13-077(Windows Service Control Manager) | システム上のレジストリを修正可能な攻撃者が、この脆弱性を特権の低いアカウントから SYSTEM に昇格するために利用します。 | 重要 | 2 | 30 日以内に悪用コードが作成される可能性は低いです。 | |
| MS13-078(FrontPage) | 被害者が、FrontPage 内の悪意のある XML ドキュメントを開き、その結果、情報が漏えいします。 | 重要 | n/a | 情報漏えいのみ |
ジョナサン・ネス、MSRC エンジニアリング