本記事は、Security Research & Defense のブログ “ Assessing risk for the December 2014 security updates ” (2014 年 1 月 14 日公開) を翻訳した記事です。
本日、6 件の CVE を解決する 4 件のセキュリティ情報をリリースしました。セキュリティ情報 4 件の最大深刻度は、すべて「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃ベクター | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS14-002(NDProxy、カーネルモード ドライバー) | 特権の低い状態で、アプリケーション サンドボックス内でコードを実行可能な攻撃者が、SYSTEM に特権を昇格するために、この脆弱性を悪用する。 | 重要 | 1 | サンドボックス外に特権を昇格するために、この脆弱性を利用する Adobe PDF の悪用が継続して見られることが予想されます。 | 既に更新プログラムが提供されている Adobe Reader の脆弱性を悪用しようと試みる脆弱性 「CVE-2013-3346」について、マイクロソフトはすべての悪用を分析済みです。この Adobe の脆弱性は、2013 年 9 月 11 日の Adobe のセキュリティ更新プログラムで解決されているものです。セキュリティ アドバイザリ 2914486 で説明されている脆弱性を解決します。 |
| MS14-001(Word) | 被害者が、悪意のある Office ドキュメントを開く。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS14-003(win32k.sys、カーネルモード ドライバー) | 特権の低い状態でコードを実行している攻撃者は、SYSTEM に昇格するために悪用バイナリを実行する。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS14-004(Microsoft Dynamics AX) | Dynamics サーバーを認証できる攻撃者が、その他のクライアントのリクエストを阻止する、サービス拒否の状態を引き起こす可能性がある。 | 重要 | なし | サービス拒否のみで、コード実行に使用することはできません。 |
ジョナサン・ネス、MSRC エンジニアリング