IE用の19件の脆弱性などセキュリティ更新プログラムが公開：Winのシリアル認証・Adobeソフト（Mac用）：SSブログ

	ブログをはじめるログイン

日本マイクロソフト、「Surface R..｜Windowsの機能を有効化または無効化.. ブログトップ

IE用の19件の脆弱性などセキュリティ更新プログラムが公開　[インターネット情報] [編集]

日本マイクロソフトは12日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の6月分を公開した。5件の脆弱性情報が公開されており、最大深刻度がもっとも大きい「緊急」の脆弱性は1件。対象となるユーザーは早急なアップデートが推奨されている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (2838727)(MS13-047)

セキュリティ TechCenter

MS13-047は、Internet Explorerに含まれる19件の脆弱性で、18件はメモリ破損の脆弱性、1件はスクリプトデバッグの脆弱性だが、規定でスクリプトデバッガーは無効化されており、脆弱性の影響は低いとされている。

メモリ破損の脆弱性は、いずれもメモリ内のオブジェクトへのアクセス方法の問題で、どちらの脆弱性も、ユーザーがログオンした権限でリモートで任意のコードが実行される危険性がある。

対象となるのはIE 6/7/8/9/10で、Windows RT用のIE10も脆弱性の影響を受ける。最大深刻度は全体で「緊急」、悪用可能性指標は「1」、適用優先度は「1」となっている。

Microsoft Office の脆弱性により、リモートでコードが実行される (2839571)(MS13-051)

MS13-051は、
Microsoft
Officeバッファオーバーフローの脆弱性が存在し、リモートでコードが実行される危険性があるというもの。特別に細工されたOfficeドキュメント
を開くか、OutlookのメールリーダーとしてWordを設定しておいてプレビュー表示をした場合に攻撃が行われる可能性がある。

脆弱性としてはPNGファイル解析にともなうスタックオーバーフローだが、データ実行防止(DEP)がオンの場合、コードの実行がブロックされるという。なお、脆弱性の詳細は公表されていなかったが、限定的な標的型攻撃での悪用が確認されている。

対象となるのはWindows Office 2003、Office for Mac 2011。最大深刻度は「重要」、悪用可能性指標は「1」、適用優先度は「1」となっている。

カーネルモードドライバーの脆弱性により、サービス拒否が起こる (2845690)(MS13-049)

MS13-049は、Windowsカーネルモードドライバの一部に脆弱性があり、サービス拒否が起こる危険性がある、というもの。

Tcpip.sysに整数オーバーフローの脆弱性が存在するためで、特別に細工されたパケットを受信するだけで攻撃が実行される。

対象となるのはWindows Vista/7/8/RT、Server 2008/2008 R2/2012。最大深刻度は「重要」、悪用可能性指標は「2」、適用優先度は「2」となっている。

Windows 印刷スプーラーコンポーネントの脆弱性により、特権が昇格される (2839894)(MS13-050)

MS13-050は、Windowsの印刷スプーラーコンポーネントに脆弱性が存在。プリンターの接続を削除することで、攻撃者の特権が昇格する危険性がある。ただし、攻撃者はマシンにログオンした状態で特別に細工されたアプリケーションを実行する必要がある。

対象となるのはWindows Vista/7/8/RT、Server 2003/2008/2008 R2/2012で、最大深刻度は「重要」、悪用可能性指標は「1」、適用優先度は「2」となっている。

Windows カーネルの脆弱性により、情報漏えいが起こる (2839229)(MS13-048)

MS13-048は、Windowsカーネルが特定ページの障害システムコールを適切に処理しないため、カーネルメモリ上の情報が攻撃者に取得される危険性がある、というもの。

攻撃者はマシンにログオンする必要があり、特別に細工されたアプリケーションを起動することで攻撃が可能になる。

対象となるのは32bit版のWindows XP/Vista/7/8、Server 2003/2008。最大深刻度は「重要」、悪用可能性指標は「3」、適用優先度は「3」となっている。

Windows Updateから独立して証明書を配布できるアップデート

さらにセキュリティアドバイザリとして「Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム」が公開されている。企業内でWindows Updateにアクセスできないマシンでも、信頼された電子証明書のリストを利用できるようにするためのアップデートとなる。

Windows Updateとは別にルート証明書の更新や失効が確認できるようになり、組織内での証明書配付管理がより容易になる、としている。

また、Adobe Flash Playerに関するセキュリティアドバイザリ「Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム」が更新され、 Windows 8/RT/Server 2012上のInternet Explorer 10に搭載されたFlash Playerの脆弱性を解消するアップデートが公開されている。