本記事は、Security Research & Defense のブログ “ Assessing risk for the November 2014 security updates ” (2014 年 11 月 11 日公開) を翻訳した記事です。
本日、33 件の個別の CVE を解決する 14 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、8 件が「重要」、2 件が「警告」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|
| MS14-064(Windows OLE コンポーネント) | ユーザーが悪意のある Office ドキュメントを開く。 | 緊急 | 0 | CVE-2014-6352 は、限定的な標的型攻撃での利用が広まっています。 |
| MS14-066(SChannel) | 悪意のあるユーザーが特別に細工されたパケットを公開されているサービスに送信する。 | 緊急 | 1 | 社内で、事前のセキュリティ評価の際に、発見されました。 |
| MS14-065 (Internet Explorer) | ユーザーが悪意のある Web ページを閲覧する。 | 緊急 | 1 | |
| MS14-069 (Office) | ユーザーが悪意のある Word ドキュメントを開く。 | 重要 | 1 | Office 2010 および それ以降のバージョンは、このセキュリティ情報のいかなる脆弱性の影響も受けません。 |
| MS14-067 (MSXML) | ユーザーが悪意のある Web ページを閲覧する。 | 緊急 | 2 | MSXML 3 のみが脆弱です。 |
| MS14-073 (SharePoint) | ユーザーが悪意のあるリンクを開く。 | 重要 | 2 | これは、クロスサイト スクリプティングの脆弱性です。 |
| MS14-078(IME) | ユーザーが、Adobe リーダーで悪意のある PDF ドキュメントを開く。 | 警告 | 0 | CVE-2014-4077 は、悪意のある DIC ファイルを使用するバイナリ ハイジャック経由で、実際の現場での標的型攻撃 1 件に使用されました。 |
| MS14-071(Windows オーディオ サービス) | ユーザーが悪意のある Web ページを閲覧する。 | 重要 | 2 | ローカルの特権の昇格のみで、サンドボックスの回避に利用される可能性があります。 |
| MS14-070(tcpip.sys) | 認証 Windows ユーザーが標的システムで悪意のあるプログラムを実行する。 | 重要 | 2 | ローカルの特権の昇格のみです。 |
| MS14-072(.NET Framework) | 攻撃者が、脆弱な Web アプリケーションに対し、悪意のあるデータを送信する。 | 重要 | 2 | .NET Remoting を利用していないアプリケーションは脆弱ではありません。 |
| MS14-076(IIS) | ホワイトリストだけが、正規のドメインに接続していない攻撃者にアクセスされる可能性がある。ブラックリストも同様にバイパスされる可能性がある。 | 重要 | 3 | この脆弱性が兆候を現すのは、ドメイン名制限のホワイトリスト、およびブラックリスト機能がワイルドカードを含むエントリーに使用される設定の場合です。IP アドレス制限は影響を受けません。 |
| MS14-074(RDP) | 一部のシナリオで、認証監査ログがバイパスされる可能性がある。 | 重要 | 3 | この脆弱性は、失敗した AuthZ シナリオのみに当てはまり、失敗した AuthN シナリオには当てはまりません。例えば、認証ユーザーのログオンが、サーバーへの RDP の特権がないユーザーに試みられた場合、そのイベント ログは記録されない場合があります。イベント ログは、不正なユーザー、あるいはパスワードが存在した場合、記録されます。 |
| MS14-077(ADFS) | 一部の設定で認証ユーザーがログアウトできない可能性がある。 | 重要 | 3 | サインアウト エンドポイントの設定なしで SAML 依存パーティーを使用するために ADFS サーバーが設定される場合の特定の設定で兆候を現します。 |
| MS14-079(カーネル モードドライバー[win32k.sys]) | ユーザーが悪意のある Web ページを閲覧する。 | 警告 | 3 | この脆弱性はサービス拒否のみを誘発します。 |
スハ・カーン、MSRC エンジニアリング