MSが2月の月例パッチ公開、IEの修正など計7件、予定より2件増える - クラウド Watch

（情報元のブックマーク数）

Microsoftの定例パッチ出ましたね。

日本マイクロソフト株式会社は12日、2月の月例セキュリティ更新プログラム（修正パッチ）に関するセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が4件、上から2番目の“重要”が3件。
7日に公開された事前情報ではセキュリティ情報は計5件となっていたが、直前の11日になって情報が更新され、Internet Explorer（IE）とVBScriptに関する“緊急”のセキュリティ情報2件が追加された。
“緊急”のセキュリティ情報は、「MS14-007」「MS14-008」「MS14-010」「MS14-011」の4件。
「MS14-007」は、Direct2Dに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたWebページをIEで表示した際に、リモートでコードを実行される可能性がある。影響を受けるOSは、Windows 8.1/8/7、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2。
「MS14-008」は、Forefront Protection for Exchangeに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたメールをスキャンした際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、Forefront Protection 2010 for Exchange Server。
「MS14-010」は、IEに関する24件の脆弱性を修正する。このうち1件の脆弱性については既に情報が公開されているが、悪用は確認されていないという。脆弱性が悪用された場合、特別に細工されたWebページをIEで表示した際に、リモートでコードが実行される可能性がある。影響を受けるソフトは、IE 11/10/9/8/7/6。
MSが2月の月例パッチ公開、IEの修正など計7件、予定より2件増える - クラウド Watch

こっちのが詳しいや。

セキュリティ情報 ID セキュリティ情報タイトル概要最大深刻度脆弱性の影響再起動の必要性影響を受けるソフトウェア

MS14-010 Internet Explorer 用の累積セキュリティ更新プログラム (2909921) このセキュリティ更新プログラムは、Internet Explorer に存在する 1 件の一般に公開された脆弱性および 23 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者により、最も深刻な脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。緊急リモートでコードが実行される要再起動 Microsoft Windows、Internet Explorer

MS14-011 VBScript スクリプトエンジンの脆弱性により、リモートでコードが実行される (2928390) このセキュリティ更新プログラムは、Microsoft Windows の VBScript スクリプトエンジンに存在する非公開で報告された脆弱性を解決します。この脆弱性により、ユーザーが特別に細工された Web サイトを訪問すると、リモートでコードが実行される可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、攻撃者はユーザーに何らかの操作を実行するように仕向けます。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトに誘導しようとします。緊急リモートでコードが実行される再起動が必要な場合あり Microsoft Windows

MS14-007 Direct2D の脆弱性により、リモートでコードが実行される(2912390) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。攻撃者は、特別に細工されたコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトにユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。緊急リモートでコードが実行される再起動が必要な場合あり Microsoft Windows

MS14-008 Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される (2927022) このセキュリティ更新プログラムは非公開で報告されたMicrosoft Forefront に存在する 1 件の脆弱性を解決します。この脆弱性により、特別に細工された電子メールメッセージがスキャンされると、リモートでコードが実行される可能性があります。緊急リモートでコードが実行される再起動が必要な場合あり Microsoft セキュリティソフトウェア

MS14-009 .NET Framework の脆弱性により、特権が昇格される (2916607) このセキュリティ更新プログラムは Microsoft .NET Framework に存在する 2 件の一般に公開された脆弱性および 1 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性により、ユーザーが特別に細工された Web サイト、または特別に細工された Web コンテンツが含まれている Web サイトを訪問した場合、特権が昇格される可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。その代わり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メールメッセージまたはインスタントメッセンジャーメッセージ内のリンクをクリックさせることにより、ユーザーを侵害された Web サイトに訪問させることが攻撃者にとっての必要条件となります。重要特権の昇格再起動が必要な場合あり Microsoft Windows、 Microsoft .NET Framework

MS14-005 Microsoft XML コアサービスの脆弱性により、情報漏えいが起こる (2916036) このセキュリティ更新プログラムは、Microsoft Windows に搭載され、一般に公開された Microsoft XML コアサービスに存在する 1 件の脆弱性を解決します。この脆弱性で、ユーザーが Internet Explorer を使用して、特別に細工された Web ページを表示した際に情報漏えいが起こる可能性があります。攻撃者は、特別に細工されたコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトにユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。重要情報漏えい再起動が必要な場合あり Microsoft Windows

MS14-006 IPv6 の脆弱性により、サービス拒否が起こる (2904659) このセキュリティ更新プログラムは 1 件の Microsoft Windows に存在する一般で公開された脆弱性を解決します。この脆弱性により、攻撃者が影響を受けるシステムに特別に細工した IPv6 パケットを大量に送信した場合、サービス拒否が起きる可能性があります。この脆弱性が悪用されるには、標的となるコンピューターと同じサブネットに属していることが攻撃者にとっての必要条件となります。重要サービス拒否要再起動 Microsoft Windows

Microsoft Security Bulletin Summary for February 2014 | Microsoft Docs

セキュリティ情報 ID	セキュリティ情報タイトル	概要	最大深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア
MS14-010	Internet Explorer 用の累積セキュリティ更新プログラム (2909921)	このセキュリティ更新プログラムは、Internet Explorer に存在する 1 件の一般に公開された脆弱性および 23 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。攻撃者により、最も深刻な脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。	緊急	リモートでコードが実行される	要再起動	Microsoft Windows、Internet Explorer
MS14-011	VBScript スクリプトエンジンの脆弱性により、リモートでコードが実行される (2928390)	このセキュリティ更新プログラムは、Microsoft Windows の VBScript スクリプトエンジンに存在する非公開で報告された脆弱性を解決します。この脆弱性により、ユーザーが特別に細工された Web サイトを訪問すると、リモートでコードが実行される可能性があります。しかし、いかなるケースでも、攻撃者はユーザーに Web サイトを見るよう強制することはできません。その代わり、攻撃者はユーザーに何らかの操作を実行するように仕向けます。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトに誘導しようとします。	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows
MS14-007	Direct2D の脆弱性により、リモートでコードが実行される(2912390)	このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。攻撃者は、特別に細工されたコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトにユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows
MS14-008	Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される (2927022)	このセキュリティ更新プログラムは非公開で報告されたMicrosoft Forefront に存在する 1 件の脆弱性を解決します。この脆弱性により、特別に細工された電子メールメッセージがスキャンされると、リモートでコードが実行される可能性があります。	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft セキュリティソフトウェア
MS14-009	.NET Framework の脆弱性により、特権が昇格される (2916607)	このセキュリティ更新プログラムは Microsoft .NET Framework に存在する 2 件の一般に公開された脆弱性および 1 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性により、ユーザーが特別に細工された Web サイト、または特別に細工された Web コンテンツが含まれている Web サイトを訪問した場合、特権が昇格される可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。その代わり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メールメッセージまたはインスタントメッセンジャーメッセージ内のリンクをクリックさせることにより、ユーザーを侵害された Web サイトに訪問させることが攻撃者にとっての必要条件となります。	重要	特権の昇格	再起動が必要な場合あり	Microsoft Windows、 Microsoft .NET Framework
MS14-005	Microsoft XML コアサービスの脆弱性により、情報漏えいが起こる (2916036)	このセキュリティ更新プログラムは、Microsoft Windows に搭載され、一般に公開された Microsoft XML コアサービスに存在する 1 件の脆弱性を解決します。この脆弱性で、ユーザーが Internet Explorer を使用して、特別に細工された Web ページを表示した際に情報漏えいが起こる可能性があります。攻撃者は、特別に細工されたコンテンツを強制的にユーザーに表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メールメッセージまたはインスタントメッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトにユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。	重要	情報漏えい	再起動が必要な場合あり	Microsoft Windows
MS14-006	IPv6 の脆弱性により、サービス拒否が起こる (2904659)	このセキュリティ更新プログラムは 1 件の Microsoft Windows に存在する一般で公開された脆弱性を解決します。この脆弱性により、攻撃者が影響を受けるシステムに特別に細工した IPv6 パケットを大量に送信した場合、サービス拒否が起きる可能性があります。この脆弱性が悪用されるには、標的となるコンピューターと同じサブネットに属していることが攻撃者にとっての必要条件となります。	重要	サービス拒否	要再起動	Microsoft Windows

日本人はいなさそう。

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

MS14-005

MSXML の情報漏えいの脆弱性 (CVE-2014-0266) についてマイクロソフトに協力してくださった FireEye, Inc.

MS14-007

HP の Zero Day Initiative と協力して Microsoft Graphics コンポーネントのメモリ破損の脆弱性 (CVE-2014-0263) を報告してくださった Omair 氏

MS14-009

型トラバーサルの脆弱性 (CVE-2014-0257) を報告してくださった、Context Information Security の James Forshaw 氏

MS14-010

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0267) についてマイクロソフトに協力してくださった KeenTeam (@K33nTeam) の Liang Chen 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0267) についてマイクロソフトに協力してくださった VulnHunt の Code Audit Labs

Internet Explorer の特権の昇格の脆弱性 (CVE-2014-0268) を報告してくださった Context Information Security の James Forshaw 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0269) を報告してくださった Simon Zuckerbraun 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0270) を報告してくださった、Yenteasy - Security Research の Jose A. Vazquez 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0272) を報告してくださった Palo Alto Networks の Bo Qu 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0273) を報告してくださった Palo Alto Networks の Bo Qu 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0274) を報告してくださった lokihardt@ASRT 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0275) を報告してくださった Simon Zuckerbraun 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0276) を報告してくださった、Security-Assessment.com の Scott Bell 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0277) を報告してくださった、Security-Assessment.com の Scott Bell 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0278) を報告してくださった Palo Alto Networks の Bo Qu 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0279) を報告してくださった、Security-Assessment.com の Scott Bell 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0280) を報告してくださった、Security-Assessment.com の Scott Bell 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0281) を報告してくださった cons0ul 氏と suto 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0283) を報告してくださった Sachin Shinde 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0284) を報告してくださった Sachin Shinde 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0286) を報告してくださった Simon Zuckerbraun 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0287) を報告してくださった Corelan の Peter 'corelanc0d3r' Van Eeckhoutte 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0288) を報告してくださった Arthur Gerkis 氏

HP の Zero Day Initiative と協力して Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0289) を報告してくださった lokihardt@ASRT 氏

Internet Explorer のメモリ破損の脆弱性 (CVE-2014-0290) を報告してくださった Palo Alto Networks の Bo Qu 氏

Internet Explorer のクロスドメインの情報の漏えいの脆弱性 (CVE-2014-0293) を報告してくださった Dieyu dieu deus deva divine dio theos dievas dewa ilu Diyin Ayóo Átʼéii atua tiānzhŭ Yahweh Zeus Odin El

Microsoft Security Bulletin Summary for February 2014 | Microsoft Docs

公式Blogでも情報が出ていますね。

2014 年 2 月 12 日に公開を予定している新規月例セキュリティ情報は、合計７件 (緊急４件、重要 3件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の「今月のマイクロソフトワンポイントセキュリティ」も同日午後に公開する予定です。
2014 年 2 月 12 日のセキュリティリリース予定 (月例) – 日本のセキュリティチーム

セキュリティ情報 ID 最大深刻度脆弱性の影響再起動の必要性影響を受けるソフトウェア

セキュリティ情報 1 緊急リモートでコードが実行される要再起動 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer

セキュリティ情報 2 緊急リモートでコードが実行される再起動が必要な場合あり Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1

セキュリティ情報 3 緊急リモートでコードが実行される再起動が必要な場合あり Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1

セキュリティ情報 4 緊急リモートでコードが実行される再起動が必要な場合あり Forefront Protection 2010 for Exchange Server

セキュリティ情報 5 重要特権の昇格再起動が必要な場合あり Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Microsoft .NET Framework

セキュリティ情報 6 重要情報漏えい再起動が必要な場合あり Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1

セキュリティ情報 7 重要サービス拒否要再起動 Windows 8、Windows Server 2012、および Windows RT

2014 年 2 月 12 日のセキュリティリリース予定 (月例) – 日本のセキュリティチーム

セキュリティ情報 ID	最大深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア
セキュリティ情報 1	緊急	リモートでコードが実行される	要再起動	Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer
セキュリティ情報 2	緊急	リモートでコードが実行される	再起動が必要な場合あり	Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
セキュリティ情報 3	緊急	リモートでコードが実行される	再起動が必要な場合あり	Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
セキュリティ情報 4	緊急	リモートでコードが実行される	再起動が必要な場合あり	Forefront Protection 2010 for Exchange Server
セキュリティ情報 5	重要	特権の昇格	再起動が必要な場合あり	Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Microsoft .NET Framework
セキュリティ情報 6	重要	情報漏えい	再起動が必要な場合あり	Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
セキュリティ情報 7	重要	サービス拒否	要再起動	Windows 8、Windows Server 2012、および Windows RT

予定通り、予定外の2件追加でのリリース。

Microsoft は月例パッチリリース前に、「セキュリティ情報の事前通知」を公開し、システム管理者と利用者に対して、その月のアップデート内容を事前に予告している。2月の事前通知では、Microsoft は5件のセキュリティ情報を公開予定としており、その中には Internet Explorer（IE）Web ブラウザに関するものはないとしていた。だがふたを開けてみると、24件の IE 脆弱性に対応したアップデートが含まれていた。
http://japan.internet.com/webtech/20140212/1.html

関連URL

MSが2月の月例パッチ公開、IEの修正など計7件、予定より2件増える - クラウド Watch

Microsoft Releases February 2014 Security Bulletin | US-CERT

Microsoft、7件の月例セキュリティ情報を公開　IEなどの脆弱性を修正 - ITmedia エンタープライズ

February 2014 - Microsoft Releases 7 Security Advisories | Trend Micro Threat Encyclopedia

Microsoft、7件の月例セキュリティ情報を公開　IEなどの脆弱性を修正 - ITmedia エンタープライズ

Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs

Four Critical Bulletins for February 2014 Patch Tuesday | Security Intelligence Blog | Trend Micro

マイクロソフト月例パッチ（Microsoft Patch Tuesday）- 2014 年 2 月 | Symantec Connect コミュニティ