Microsoft、月例セキュリティ情報を公開 「重要」4件のみ - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

予定通りでました。MS14-001MS14-004まで

Microsoftは米国時間の1月14日(日本時間15日)、予告通りに4件の月例セキュリティ情報を公開し、WindowsやOfficeの脆弱性に対処した。最大深刻度は4件とも、上から2番目の「重要」評価で、今回は深刻度が最も高い「緊急」レベルのセキュリティ情報は含まれていない。
4件の中でもMicrosoftが最優先で適用を勧告しているのが、Windowsカーネルの特権昇格の脆弱性に対処する更新プログラム(MS14-002)。この脆弱性は同社が2013年11月にアドバイザリを出して注意を呼び掛けていたもので、システムにログオンした攻撃者が特権を昇格して、細工を施したアプリケーションを実行できてしまう恐れがある。
影響を受けるのはWindows XPWindows Server 2003。この脆弱性を、PDFの脆弱性と組み合わせて悪用しようとする攻撃が確認されているという。PDFの脆弱性の方は、システムを最新の状態に保っていれば影響は受けないとしている。

Microsoft、月例セキュリティ情報を公開 「重要」4件のみ - ITmedia エンタープライズ

公式Blogでも情報が出ています。

2014 年 1 月 15 日 (日本時間)、マイクロソフトは計 4 件 (重要 4 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新、および、既存のセキュリティ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェアに対応しています。

2014 年 1 月のセキュリティ情報 (月例) – MS14-001 ~ MS14-004 – 日本のセキュリティチーム
セキュリティ情報 ID セキュリティ情報タイトル 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア
MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2916605) 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Word 2003、 Word 2007、Word 2010、 Word 2013、Word 2013 RT、Office 互換機能パック、Word Viewer、Word Automation Services、Microsoft Web Applications 2010、および Microsoft Office Web Apps Server 2013
MS14-002 Windows カーネル脆弱性により、特権が昇格される (2914368) 重要 特権の昇格 要再起動 Windows XP および Windows Server 2003
MS14-003 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2913602) 重要 特権の昇格 要再起動 Windows 7 および Windows Server 2008 R2
MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる (2880826) 重要 サービス拒否 再起動が必要な場合あり Microsoft Dynamics AX 4.0、Microsoft Dynamics AX 2009、Microsoft Dynamics AX 2012、および Microsoft Dynamics AX 2012 R2
2014 年 1 月のセキュリティ情報 (月例) – MS14-001 ~ MS14-004 – 日本のセキュリティチーム

こっちのが詳しかった

セキュリティ情報 ID セキュリティ情報タイトル 概要 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア
MS14-001 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2916605) このセキュリティ更新プログラムは、非公開で報告された 3件の Microsoft Office に存在する脆弱性を解決します。この脆弱性が悪用された場合、Microsoft Word の影響を受けるバージョンまたはその他の影響を受ける Microsoft Office ソフトウェアで、特別に細工されたファイルが開かれると、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office Microsoft サーバー ソフトウェア
MS14-002 Windows カーネル脆弱性により 、特権が昇格される (2914368) このセキュリティ更新プログラムは 1 件の Microsoft Windows に存在する一般で公開された脆弱性を解決します。この脆弱性により、攻撃者がコンピューターにログオンし、特別な細工がされたアプリケーションを実行した場合、特権が昇格される可能性があります。この脆弱性が悪用されるには、有効な資格情報を所有し、ローカルでログオンできることが攻撃者にとっての必要条件となります。 重要 特権の昇格 要再起動 Microsoft Windows
MS14-003 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2913602) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性があると、ユーザーがシステムにログオンし、特別な細工がされたアプリケーションを実行した場合に、特権が昇格される可能性があります。この脆弱性が悪用されるには、有効な資格情報を所有し、ローカルでログオンできることが攻撃者にとっての必要条件となります。 重要 特権の昇格 要再起動 Microsoft Windows
MS14-004 Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる (2880826) このセキュリティ更新プログラムは、非公開で報告された 1 件の Microsoft Dynamics AX の脆弱性を解決します。この脆弱性により、認証されている攻撃者が特別に細工されたデータを影響受ける Microsoft Dynamics AX Application Object Server (AOS) インスタンスに送信した場合にサービス拒否が起こる可能性があります。攻撃者によってこの脆弱性が悪用された場合、標的となった AOS インスタンスがクライアントの要求に応答しなくなる可能性があります。 重要 サービス拒否 再起動が必要な場合あり Microsoft Dynamics AX
Microsoft Security Bulletin Summary for January 2014 | Microsoft Docs

今月は日本人なしっぽい。

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

MS14-001
  • Word のメモリ破損の脆弱性 (CVE-2014-0258) を報告してくださった、Google Security Team の Mateusz Jurczyk 氏、Ivan Fratric 氏、および Ben Hawkes 氏
  • Word のメモリ破損の脆弱性 (CVE-2014-0259) を報告してくださった、Google Security Team の Mateusz Jurczyk 氏、Ivan Fratric 氏、および Ben Hawkes 氏
  • Word のメモリ破損の脆弱性 (CVE-2014-0260) を報告してくださった、Google Security Team の Mateusz Jurczyk 氏、Ivan Fratric 氏、および Ben Hawkes 氏
MS14-002
MS14-003
  • Win32k のウィンドウ ハンドルの脆弱性 (CVE-2014-0262) を報告してくださった、Qihoo の xiaohong shi 氏
MS14-004
  • クエリ フィルター DoS脆弱性 (CVE-2014-0261) を報告してくださった、FTO Project の Lead Developer である Andrey Maykov 氏
Microsoft Security Bulletin Summary for January 2014 | Microsoft Docs

関連URL

screenshot