2014 年 7 月 9 日 (日本時間)、マイクロソフトは計 6 件 (緊急 2 件、重要 3 件、警告 1 件) の新規セキュリティ情報を公開しました。また、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 3 件の更新を行いました。そして、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、次の 2 つのセキュリティ情報 MS14-037 (Internet Explorer)、および、MS14-038 (Windows Journal) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/FY15_July.jpg)
■ 今月のセキュリティ情報・セキュリティ アドバイザリに関する主な注意点
-
セキュリティ アドバイザリ 2871997「資格情報の保護と管理を改善する更新プログラム」
制限管理の設定に対する制御の強化を実現する更新プログラム 2973351 と 2919355 を公開しました。
- Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 に適用を行った場合、制限管理モードの既定の動作がオフに変更されます。更新プログラム 2973351 または更新プログラム 2975625 をインストールした後は必要に応じて有効にする必要があります。以前は、制限管理モードは既定ではオンになっていました。制限管理モードを有効にする方法については、サポート技術情報 2973351 を参照してください。
- Windows 7、Windows Server 2008 R2、Windows 8、Windows 2012、および Windows RT に適用を行った場合は、既定の動作の変更はありません。これらのオペレーティング システムの場合、制限管理モードは既定ではオフになっています。
■ 来月以降に変更が行われる点に関する注意喚起
-
セキュリティ アドバイザリ 2915720「Windows Authenticode 署名検証の変更」は、これまでにお知らせしているとおり、Windows Authenticode 署名形式で署名したバイナリの署名の検証が、より厳格な検証を行うよう動作変更します。この動作変更の更新プログラムは、セキュリティ情報 MS13-098「Windows の脆弱性により、リモートでコードが実行される」に含まれており、 2014 年 8 月 12 日 (米国時間) に、厳格な検証を有効化するよう自動更新を開始する予定です。 現在、お使いの環境でこの Authenticode 署名検証変更の動作テストを実行することを推奨しています。自動更新は来月に迫っておりますので、お早目に検証を行ってください。
詳細は、「Windows Authenticode 署名検証の変更は 6 月に自動更新で有効化」をご参照ください。
-
WSUS、Windows Intune、あるいは、System Center Configuration Manager を使用して更新プログラムを管理しているすべてのお客様は、将来の更新プログラムを受け取るために 8 月 12 日までに、更新プログラム 2919355 および更新プログラム 2929437 を適用する必要があります 。お早目に、適用を進めてください。
なお、本日公開した 2014 年 7 月の月例セキュリティ更新プログラムは、更新プログラム 2919355 および更新プログラム 2929437 を適用していない環境用のために個別のセキュリティ更新プログラムが提供されています。
この措置は、Windows 8.1 Update の展開上の指針に基づく措置です。詳細は、「Windows 8.1 Update : WSUS での公開と展開タイミングの延長について」をご参照ください。
■ 既存のセキュリティ アドバイザリの更新 (3 件)
-
セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
この更新プログラムは、Adobe セキュリティ速報 APSB14-17 で説明されている脆弱性を解決します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 2974008 を参照してください。 -
セキュリティ アドバイザリ 2960358「.NET TLS で RC4 を無効化するための更新プログラム」
必要条件となる更新プログラム 2868725 を事前にインストールための Microsoft Update カタログの検出の変更を行いました。これは検出方法の変更のみです。すでに、インストール済みのユーザーが再度更新プログラムをインストールする必要はありません。 -
セキュリティ アドバイザリ 2871997「資格情報の保護と管理を改善する更新プログラム」
制限管理の設定に対する制御の強化を実現する更新プログラム 2973351 と 2919355 を公開しました。更新プログラムは、Credential Security Support Provider (CredSSP) の制限管理モードを管理するための構成可能なレジストリ設定を提供します。ダウンロード用のリンクなど、この更新プログラムに関する情報については、サポート技術情報 2973351 を参照してください。
■ 2014 年 7 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-Jul
マイクロソフトは新たに確認した脆弱性について、次の 6 件の新しいセキュリティ情報を公開しました。
セキュリティ情報 ID | セキュリティ情報タイトル | 最大深刻度 | 脆弱性の影響 | 再起動の必要性 | 影響を受けるソフトウェア |
---|---|---|---|---|---|
MS14-037 | Internet Explorer 用の累積的なセキュリティ更新プログラム (2975687) | 緊急 | リモートでコードが実行される | 要再起動 | サポートされているすべてのエディションの Windows 上の Internet Explorer |
MS14-038 | Windows Journal の脆弱性により、リモートでコードが実行される (2975689) | 緊急 | リモートでコードが実行される | 再起動が必要な場合あり | Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 |
MS14-039 | スクリーン キーボードの脆弱性により、特権が昇格される (2975685) | 重要 | 特権の昇格 | 要再起動 | Windows Server 2003 を除く、サポートされているすべてのエディションの Windows |
MS14-040 | Ancillary Function ドライバー (AFD) の脆弱性により、特権が昇格される(2975684) | 重要 | 特権の昇格 | 要再起動 | サポートされているすべてのエディションの Windows |
MS14-041 | DirectShow の脆弱性により、特権が昇格される(2975681) | 重要 | 特権の昇格 | 再起動が必要な場合あり | Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2 |
MS14-042 | Microsoft Service Bus の脆弱性により、サービス拒否が起こる (2972621) | 警告 | サービス拒否 | 再起動不要 | Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 |
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。