2013 年 6 月のセキュリティ情報(情報元のブックマーク数)
2013年06月のパッチも予定通り出ました。緊急1件、重要4件です。
2013 年 6 月のセキュリティ情報の公開により、2013 年 6 月 7 日に公開した事前通知を、このセキュリティ情報の概要に置き換えました。事前通知サービスの詳細については、「マイクロソフト セキュリティ情報の事前通知」を参照してください。
Microsoft Security Bulletin Summary for June 2013 | Microsoft Docs
マイクロソフト セキュリティ情報の公開時に自動の通知を受け取る方法の詳細については、「マイクロソフト テクニカル セキュリティ情報通知のご案内」を参照してください。
マイクロソフトは公開したセキュリティ更新プログラムの概要を説明用スライドと音声でお伝えする日本語の Webcast 情報を 2013 年 6 月 12 日 の午後 (日本時間) に配信予定です。詳細は、「 今月のワンポイント セキュリティ情報 」をご覧ください。
また、マイクロソフトはこれらのセキュリティ情報に関するお客様からの質問を解決するため、2013 年 6 月 12 日午前 11:00 (太平洋標準時刻、米国およびカナダ) に Webcast を行う予定です。6 月の セキュリティ情報 Webcast に今すぐご登録ください (英語)。この日付以降、この Webcast はオンデマンドで利用可能となります。
また、マイクロソフトはお客様が月例のセキュリティ更新プログラムのリリースと同日に公開されるセキュリティ以外の更新プログラムとともに、月例のセキュリティ更新プログラムの優先順位を決定する手助けとなる情報も提供します。「関連情報」の欄を参照してください。
Microsoft Security Bulletin Summary for June 2013 | Microsoft Docs
セキュリティ情報 ID セキュリティ情報タイトル 概要 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア MS13-047 Internet Explorer 用の累積的なセキュリティ更新プログラム (2838727) この累積的なセキュリティ更新プログラムは非公開で報告された 19 件の Internet Explorer に存在する脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者により、最も深刻な脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 緊急 リモートでコードが実行される 要再起動 Microsoft Windows、 Internet Explorer MS13-048 Windows カーネルの脆弱性により、情報漏えいが起こる (2839229) このセキュリティ更新プログラムは非公開で報告された Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、攻撃者がコンピューターにログオンし、特別な細工がされたアプリケーションを実行、あるいはローカルでログオンしているユーザーに特別な細工がされたアプリケーションを実行するよう誘導した場合、情報漏えいが起こる可能性があります。この脆弱性が悪用されるには、有効な資格情報を所有し、ローカルでログオンできることが攻撃者にとっての必要条件となります。この脆弱性により、攻撃者は直接コードを実行したり、自らのユーザー権限を昇格させたりすることはできませんが、攻撃者はこの脆弱性を悪用し、影響を受けるコンピューターをさらに侵害する目的で悪用する情報を作成する可能性があります。 重要 情報漏えい 要再起動 Microsoft Windows MS13-049 カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (2845690) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、サーバーに特別に細工したパケットを送信した場合、サービス拒否の状態が起こる可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部からの攻撃を防ぎ、ネットワークを保護することができます。 重要 サービス拒否 要再起動 Microsoft Windows MS13-050 Windows 印刷スプーラー コンポーネントの脆弱性により、特権が昇格される (2839894) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、認証された攻撃者がプリンターの接続を削除した場合に特権の昇格が起こる可能性があります。この脆弱性が悪用されるには、有効な資格情報を所有し、ログオンできることが攻撃者にとっての必要条件となります。 重要 特権の昇格 要再起動 Microsoft Windows MS13-051 Microsoft Office の脆弱性により、リモートでコードが実行される (2839571) このセキュリティ更新プログラムは非公開で報告された Microsoft Office に存在する 1 件の脆弱性を解決します。ユーザーが、影響を受けるバージョンの Microsoft Office ソフトウェアを使用して、特別に細工された Office ドキュメントを開いた場合、または Microsoft Word を電子メール リーダーとして使用して、特別に細工された電子メール メッセージを Outlook でプレビューしたり開いたりした場合、この脆弱性によりリモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office
Microsoft Security Bulletin Summary for June 2013 | Microsoft DocsMS13-047
- Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3110) を報告してくださった Security-Assessment.com の Scott Bell 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3111) を報告してくださった SkyLined 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3112) を報告してくださった匿名のリサーチャー
- Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3113) を報告してくださった Google Security Team の Ivan Fratric 氏と Ben Hawkes 氏
- Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3114) を報告してくださった Google Security Team のIvan Fratric 氏と Ben Hawkes 氏
- Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3116) を報告してくださった Google Security Team の Ivan Fratric 氏と Ben Hawkes 氏
- Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3117) を報告してくださった Google Security Team の Ivan Fratric 氏と Ben Hawkes 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3118) を報告してくださった Omair 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3119) を報告してくださった Harmony Security の Stephen Fewer 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3120) を報告してくださった SkyLined 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3121) を報告してくださった匿名のリサーチャー
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3122) を報告してくださった匿名のリサーチャー
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3123) を報告してくださった Aniway.Aniway@gmail.com 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3124) を報告してくださった Omair 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3124) を報告してくださった Amol Naik 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3125) を報告してくださった Omair 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3125) を報告してくださった Amol Naik 氏
- HP の Zero Day Initiative と協力して Internet Explorer スクリプト デバッグの脆弱性 (CVE-2013-3126) を報告してくださった Aniway.Aniway@gmail.com 氏
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3141) を報告してくださった匿名のリサーチャー
- HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3142) を報告してくださった Toan Pham Van 氏
知ってたこれ、ワンテイクで間違えてもカットなしなだぜ!
クライアントは、MS13-047とMS13-051が緊急、サーバは、MS13-049が緊急対応が必要との評価
Overview of the June 2013 Microsoft patches and their status.
InfoSec Handlers Diary Blog - Microsoft June 2013 Black Tuesday Overview
関連URL
- セキュリティ アドバイザリ2854544 (KB2813430) 〜 ルート証明書更新プログラムの管理強化 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- マイクロソフト セキュリティ アドバイザリ (2854544): Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム
- Microsoft、2013年6月の更新プログラムに含まれるIEの脆弱性について - IEBlog | パソコン | マイナビニュース
- IPA 独立行政法人 情報処理推進機構:Microsoft 製品の脆弱性対策について(6月)
- Microsoft、IEの深刻な脆弱性に対処 Office狙う攻撃の発生も - ITmedia エンタープライズ
- Microsoft Releases June 2013 Security Bulletin | US-CERT
- Light June 2013 Patch Tuesday is No Reason to Slack | Security Intelligence Blog | Trend Micro
- Patch Tuesday June 2013 – Office, Windows and Flash | Naked Security
- June 2013 - Microsoft Releases 5 Security Advisories | Trend Micro Threat Encyclopedia
- 2013 年 6 月のセキュリティ情報 (月例) – MS13-047 〜 MS13-051 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- ニュース - OfficeやIEに危険な脆弱性、悪用した標的型攻撃も出現:ITpro
- ニュース - IEとFlash Playerに任意のコードが実行される脆弱性、JPCERTが注意喚起:ITpro
- ニュース - IEとFlash Playerに任意のコードが実行される脆弱性、JPCERTが注意喚起:ITpro
- Microsoft Updates for Multiple Vulnerabilities | US-CERT
- 2013 年 6 月のセキュリティ更新プログラムに関してリスクを評価する - 日本のセキュリティチーム - Site Home - TechNet Blogs