2013 年 12 月 11 日 (日本時間)、マイクロソフトは計 11 件 (緊急 5 件、重要 6 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティアドバイザリ 3 件の公開、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェアに対応しています。
なお、先日こちらのブログでもお知らせしたセキュリティ アドバイザリ 2896666「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」で報告されていた脆弱性については、本日、セキュリティ情報 MS13-096 を公開し、脆弱性を解決するセキュリティ更新プログラムをリリースしました。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS13-096 (Graphics), MS13-097(Internet Explorer), MS13-099(Scripting) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。
■ 新規のセキュリティ アドバイザリの公開 (3 件)
- セキュリティ アドバイザリ 2871690「非準拠の UEFI モジュールを失効させる更新プログラム」
UEFI セキュア ブート時に読み込まれる可能性がある、9 個の非公開のサードパーティ製 UEFI (Unified Extensible Firmware Interface) モジュールのデジタル署名を失効させる更新プログラムを公開しました - セキュリティ アドバイザリ 2905247「ASP.NET のサイト構成が安全ではないため、特権が昇格される」
MAC (Machine Authentication Code) 検証が無効化されている場合の ASP.NET ビュー ステートの脆弱性を解決する Microsoft ASP.NET 用更新プログラムを公開しました。 - セキュリティ アドバイザリ 2915720 「Windows Authenticode 署名検証の変更」
Windows Authenticode 署名形式で署名したバイナリの署名の検証方法を変更する更新プログラムを公開しました。この変更は、セキュリティ情報 MS13-098 に含まれていますが現時点では既定で有効化されていません。2014 年 6 月 10 日(米国時間)に自動で有効化されます。
■ 既存のセキュリティ アドバイザリの更新 (2 件)
- セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
Adobe セキュリティ速報 APSB13-28 で説明している脆弱性を解決する更新プログラム 2907997 をリリースしました。 - セキュリティ アドバイザリ 2896666「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」
セキュリティ情報 MS13-096 を公開し、脆弱性を解決するセキュリティ更新プログラムをリリースしました。
■ 2013 年 12 ** 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-dec
マイクロソフトは新たに確認した脆弱性について、次の 11 件の新しいセキュリティ情報を公開しました。
| セキュリティ情報 ID | セキュリティ情報タイトル | 最大深刻度 | 脆弱性の影響 | 再起動の必要性 | 影響を受けるソフトウェア |
|---|---|---|---|---|---|
| MS13-096 | Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2908005) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | Windows Vista、Windows Server 2008、Office 2003、Office 2007、 Office 2010、Office 互換機能パック、Lync 2010、Lync 2010 Attendee、Lync 2013、および Lync Basic 2013 |
| MS13-097 | Internet Explorer 用の累積的なセキュリティ更新プログラム (2898785) | 緊急 | リモートでコードが実行される | 要再起動 | Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 上の Internet Explorer |
| MS13-098 | Windows の脆弱性により、リモートでコードが実行される (2893294) | 緊急 | リモートでコードが実行される | 要再起動 | Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 |
| MS13-099 | Microsoft Scripting Runtime オブジェクト ライブラリの脆弱性により、リモートでコードが実行される (2909158) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 |
| MS13-100 | Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2904244) | 重要 | リモートでコードが実行される | 再起動が必要な場合あり | Microsoft SharePoint Server 2010、SharePoint Server 2013、および Office Web Apps Server 2013 |
| MS13-101 | Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2880430) | 重要 | 特権の昇格 | 要再起動 | Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 |
| MS13-102 | LRPC クライアントの脆弱性により、特権が昇格される (2898715) | 重要 | 特権の昇格 | 要再起動 | Windows XP および Windows Server 2003 |
| MS13-103 | ASP.NET SignalR の脆弱性により、特権が昇格される (2905244) | 重要 | 特権の昇格 | 再起動不要 | ASP.NET SignalR および Microsoft Visual Studio Team Foundation Server 2013 |
| MS13-104 | Microsoft Office の脆弱性により、情報の漏えいが起こる (2909976) | 重要 | 情報漏えい | 再起動が必要な場合あり | Microsoft Office 2013 および Office 2013 RT |
| MS13-105 | Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2915705) | 緊急 | リモートでコードが実行される | 再起動不要 | Microsoft Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013 |
| MS13-106 | Microsoft Office 共有コンポーネントの脆弱性により、セキュリティ機能のバイパスが起こる (2905238) | 重要 | セキュリティ機能のバイパス | 再起動が必要な場合あり | Microsoft Office 2007 および Office 2010 |
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティレスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフトワンポイントセキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。