2014 年 12 月のセキュリティ情報 (月例) - MS14-075、MS14-080 ～ MS14-085

2014 年 12 月 10 日 (日本時間)、マイクロソフトは計 7 件 (緊急 3 件、重要 4 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新、および、既存のセキュリティ情報 2 件の更新を行いました。

お客様は、できるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、緊急の次のセキュリティ情報 MS14-080 (Internet Explorer)、および、MS14-081 (Word および Office Web Apps) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。

](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/FY15_December.png)

■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点

• MS14-075 (Exchange): 11 月に公開を見合わせた Exchange Server のセキュリティ情報 (セキュリティ情報 12) を MS14-075 として公開しました。
• MS14-084 (VBScript): Internet Explorer がインストールされていないか、Internet Explorer 8 以前がインストールされているコンピューターは、CVE-2014-6363 (VBScript のメモリ破損の脆弱性) の対処のため MS14-084 のセキュリティ更新プログラムのインストールが必要です。なお、Internet Explorer 9 以降がインストールされているコンピューターは、同脆弱性の対処を MS14-080 (Internet Explorer) のセキュリティ更新プログラムで行っています。自動更新が有効の場合は、自動的に必要なセキュリティ更新プログラムが判断されインストールが行われます。
• セキュリティ アドバイザリ 3009008 (SSL) / MS14-080 (Internet Explorer): セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われています。この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。なお、 この機能は、Internet Explorer11 で、保護モードサイト（既定ではインターネットサイトと制限されたサイト）を対象として、2015 年 2 月 10 日（米国時間）に有効化する予定です。詳細は、IE Blog （英語情報）をご参照ください。
• MS14-081(Word および Office Web Apps): Mac 用のセキュリティ更新プログラム、および、Office Web Apps 2013 用のセキュリティ更新プログラムは、Microsoft Update 経由では配布されません。

■ 既存のセキュリティ アドバイザリの更新 (2 件)

• セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
  この更新プログラムは、Adobe セキュリティ速報 APSB14-27 で説明されている脆弱性を解決します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 3008925を参照してください。
• セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」
  Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを追記しました。既定の設定では、この機能は無効に設定されています。

■ 既存のセキュリティ情報の更新 (2 件)

• MS14-065「Internet Explorer 用の累積的なセキュリティ更新プログラム (3003057)」
  CVE-2014-6353 に包括的に対処するために MS14-065 を再リリースしました。Windows 7 または Windows Server 2008 上で Internet Explorer 8 を実行しているか、Internet Explorer 10 を実行しているコンピューターは、新たに提供された更新プログラムをインストールするか、MS14-080 をインストールしてください。
• MS14-066「Schannel の脆弱性によりリモートでコードが実行される (2992611)」
  Windows Vista、および、Windows Server 2008 を実行するコンピューターのために、更新プログラム 2992611 を再リリースしました。12 月 10 日よりも前に更新プログラム 2992611 をインストールした Windows Vista および Windows Server 2008 を実行しているコンピューターは、新たに提供された更新プログラムをインストールしてください。

■ 2014\ 年 12 月のセキュリティ情報一覧 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-Dec

マイクロソフトは新たに確認した脆弱性について、次の 7 件の新しいセキュリティ情報を公開しました。

■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。