Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正 - ITmedia エンタープライズ
パッチ出ました。予定通り緊急2件。
米Microsoftは3月11日(日本時間12日)、予告通りに5件の月例セキュリティ情報を公開し、計23件の脆弱性に対処した。日本でゼロデイ攻撃が多発していたInternet Explorer(IE)の脆弱性も修正され、同社は最優先で更新プログラムを適用するよう呼び掛けている。
Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正 - ITmedia エンタープライズ
5件のセキュリティ情報のうち、深刻度が最も高い「緊急」レベルは2件。このうちIEの累積的な更新プログラム(MS14-012)では18件の脆弱性に対処した。現時点でゼロデイ攻撃に利用されている脆弱性はIE 9と10のみに存在するが、残る17件のほとんどは、IE 11とWindows 8.1の組み合わせも含めた全バージョンが極めて深刻な影響を受ける。
Microsoft Security Bulletin Summary for March 2014 | Microsoft Docs
セキュリティ情報 ID セキュリティ情報タイトル 概要 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア MS14-012 Internet Explorer 用の累積的なセキュリティ更新プログラム (2925418) このセキュリティ更新プログラムは、Internet Explorer に存在する 1 件の一般に公開された脆弱性および 17 件の非公開で報告された脆弱性を解決します。これらの脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者により現在のユーザーと同じ権限が取得される可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 緊急 リモートでコードが実行される 要再起動 Microsoft Windows、 Internet Explorer MS14-013 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (2929961) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性は、特別な細工がされた画像ファイルをユーザーが開いた場合にリモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows MS14-015 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2930275) このセキュリティ更新プログラムは Microsoft Windows に存在する 1 件の一般に公開された脆弱性および 1 件の非公開で報告された脆弱性を解決します。深刻な方の脆弱性により、攻撃者がコンピューターにログオンし、特別に細工したアプリケーションを実行した場合、特権が昇格される可能性があります。これらの脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件となります。 重要 特権の昇格 要再起動 Microsoft Windows MS14-016 Security Account Manager Remote (SAMR) プロトコルの脆弱性により、セキュリティ機能のバイパスが起こる (2934418) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、攻撃者がパスワードをユーザー名と一致させる試行を複数回行った場合、セキュリティ機能のバイパスが起こる可能性があります。 重要 セキュリティ機能のバイパス 要再起動 Microsoft Windows MS14-014 Silverlight の脆弱性により、セキュリティ機能のバイパスが起こる (2932677) このセキュリティ更新プログラムは非公開で報告された 1 件の Microsoft Silverlight の脆弱性を解決します。この脆弱性により、攻撃者がこの脆弱性を悪用する特別に細工された Silverlight コンテンツを含む Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導した場合、セキュリティ機能のバイパスが起こる可能性があります。しかし、すべての場合において、攻撃者がユーザーに Web サイトを強制的に訪問させる方法はありません。その代わり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。バナー広告など、影響を受けるシステムに Web コンテンツを配信する方法を使用して、特別に細工した Web コンテンツの表示を可能にする場合もあります。 重要 セキュリティ機能のバイパス 再起動不要 Microsoft Silverlight
不適切で修正とかさすがです。
Silverlightの脆弱性は、セキュリティ機能の「データ実行防止」(DEP)と「アドレス空間レイアウトのランダム化」(ASLR)のSilverlightへの実装が不適切だったことに起因する。この問題自体の深刻度は「重要」レベルだが、リモートコード実行攻撃の過程で悪用される恐れがあるとMicrosoftは指摘している。
Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正 - ITmedia エンタープライズ
関連URL
- Five Bulletins for March 2014 Patch Tuesday, Including One for Mac Users | Security Intelligence Blog | Trend Micro
- March 2014 - Microsoft Releases 5 Security Advisories | Trend Micro Threat Encyclopedia
- Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs
- When ASLR makes the difference - Security Research & Defense - Site Home - TechNet Blogs
- Blogs - 日本のセキュリティチーム - Site Home - TechNet Blogs
- Microsoft、3月の月例パッチを公開 ― 18件の IE 脆弱性を含む23件のセキュリティ脆弱性に対応 - インターネットコム
- ニュース - IEのゼロデイ脆弱性を修正するパッチが公開、すぐに適用を:ITpro
- マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2014 年 3 月 | Symantec Connect コミュニティ