本記事は、Security Research & Defense のブログ “ Assessing risk for the March 2014 security updates ” (2014 年 3 月 11 日公開) を翻訳した記事です。
本日、23 件の CVE を解決する 5 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 3 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS14-012(Internet Explorer) | 被害者が悪意のある Web ページを閲覧する。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | 標的型攻撃における問題点について、セキュリティ アドバイザリ 2934088 で説明している脆弱性を解決します。 |
| MS14-013(DirectShow) | 被害者が悪意のある Web ページを閲覧する。 | 緊急 | 3 | 30 日以内に悪用コードが作成される可能性は低いです。 | 悪意のある Web ページから到達可能な qedit.dll における 1 件のダブル フリーの脆弱性を解決します。 |
| MS14-014(Silverlight) | 攻撃者は、ブラウザーのセキュリティ コンテクスト内で任意コードを実行するために、この脆弱性と (別の) コード実行の脆弱性を組み合わせる。 | 重要 | なし | この脆弱性で直接コードが実行されることはありません。 | この脆弱性では直接のコード実行は行われません。しかしながら、コンポーネントの攻撃者が ASLR のバイパスを利用する可能性があります。 |
| MS14-015(カーネル モード ドライバー) | 低い特権でコードを実行している攻撃者が、SYSTEM に昇格するため悪用バイナリを実行する。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
| MS14-016(Security Account Manager) | Security Account Manager のパスワード API に API コールができる攻撃者は、アカウントのロックアウト ポリシーを始動させることなく、手当たり次第にパスワードを予測することができる。 | 重要 | なし | この脆弱性で直接コードが実行されることはありません。 | 攻撃者は、影響を受けた API をコールする前に認証を行わなければなりません。認証後、ロックアウトのリスクなく、自らのパスワード、またはユーザーのパスワードを予測することが可能です。 |
ジョナサン・ネス、MSRC エンジニアリング