XP最後のアップデート公開、Microsoftの月例セキュリティ情報は4件 - ITmedia エンタープライズ
(情報元のブックマーク数
予告通り、緊急2件、重要2件で、XPに対しての最後のパッチが出ました。
米Microsoftは4月8日(日本時間9日)、予告通りに4件のセキュリティ情報を公開し、Internet Explorer(IE)やOfficeに存在する計11件の脆弱性に対処した。Windows XPとOffice 2003向けの更新プログラムの提供はこれが最後となり、以後は脆弱性が発覚したとしても修正されない。
XP最後のアップデート公開、Microsoftの月例セキュリティ情報は4件 - ITmedia エンタープライズ
セキュリティ情報4件のうち、WordとOffice Web Appsの脆弱性に対処する更新プログラム(MS14-017)、およびIEの累積的なセキュリティ更新プログラム(MS14-018)の2件は深刻度が4段階で最も高い「緊急」と評価されている。
Wordの更新プログラムで修正された脆弱性3件のうち1件は、3月に発覚してMicrosoftがアドバイザリーを公開していたもので、Word 2010を狙った攻撃の発生が確認されている。脆弱性はWord 2003〜2013、SharePoint Server 2010/2013、Office Web Apps 2010/2013のほか、Office for Mac 2011も影響を受ける。
一方、IEの累積的なセキュリティ更新プログラムでは非公開で報告された6件の脆弱性を修正した。こちらはIE 10を除くIE 6〜IE 11までの全バージョンが深刻な影響を受け、細工を施したWebページを使ってリモートでコードを実行される恐れがある。IE 10についてはセキュリティ以外の問題を修正する更新プログラムが公開されている。
Microsoftは以上の2件について、最優先で更新プログラムを適用するよう呼び掛けている。
■Windows XP および Office 2003 向けの最後のセキュリティ更新プログラムを公開
2014 年 4 月のセキュリティ情報 (月例) – MS14-017 ~ MS14-020 – 日本のセキュリティチーム
事前通知でもお知らせした通り、本日 Windows XP および Office 2003 向けの最後のセキュリティ更新プログラムを提供しています。これらの製品は 2014 年 4 月 8 日 (米国日付) でサポートを終了します。サポート終了後に攻撃者が試みるであろう Windows XP ベース システムに対する、具体的な脅威と中小企業および個人のお客様が、最新のオペレーティング システムに移行するまでの間、一時的にこれらのサイバー攻撃から保護するためのガイダンスを「Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス」でご紹介していますので、ぜひご確認ください。また、「【Windows XP、Office 2003 サポート終了まであと 6 日】あらためて、「使い続けるリスク」のまとめ」では、「ネットに接続しなければ安全でしょ?」、「ウイルス対策ソフトがあれば大丈夫?」など、サポート終了後のセキュリティ リスクに関する FAQ をまとめています。こちらもあわせてご確認ください。
2014 年 4 月のセキュリティ情報 (月例) – MS14-017 ~ MS14-020 – 日本のセキュリティチーム
セキュリティ情報 ID セキュリティ情報タイトル 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア MS14-017 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Word 2003、 Word 2007、Word 2010、 Word 2013、Word 2013 RT、Office for Mac 2011、 Word Viewer、Office 互換機能パック、Microsoft SharePoint Server 2010 および SharePoint Server 2013 上の Word Automation Services、Web Applications 2010、および Office Web Apps Server 2013 MS14-018 Internet Explorer 用の累積的なセキュリティ更新プログラム (2950467) 緊急 リモートでコードが実行される 要再起動 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 上の Internet Explorer MS14-019 Windows のファイル操作コンポーネントの脆弱性により、リモートでコードが実行される (2922229) 重要 リモートでコードが実行される 要再起動 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8、Windows 8.1、 Windows Server 2012、 Windows Server 2012 R2、 Windows RT、および Windows RT 8.1 MS14-020 Microsoft Publisher の脆弱性により、リモート コードが実行される (2950145) 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Publisher 2003 および Publisher 2007.
危険度も出ています。なんかフォーマット崩れてるなぁ・・・
2014 年 4 月のセキュリティ更新プログラムのリスク評価 – 日本のセキュリティチーム
セキュリティ情報 最も起こりうる攻撃 セキュリティ情報最大深刻度 最大悪用可能性指標 公開 30 日以内の影響 プラットフォーム緩和策、および特記事項 MS14-017 (Word) 被害者が RTF、あるいは DOC/DOCX ファイルを開く。 緊急 1 RTF、および DOC ベースの CVE-2014-1761 の悪用が、引き続き発生すると予想されます。
セキュリティ アドバイザリ 2953095 で説明している、「標的型攻撃における問題」の脆弱性を解決します。MS14-018 (Internet Explorer) 被害者が悪意のある Web ページを閲覧する。 緊急 1 30 日以内に悪用コードが作成される可能性があります。 MS14-020 (Publisher) 被害者が悪意のある Publisher (.PUB) ファイルを開く。 重要 1 30 日以内に悪用コードが作成される可能性が高い一方、Publisher の展開が限定的であるために、悪用が蔓延する可能性は低いと予想しています。 MS14-019 (Windows ファイル操作) 攻撃者が、共有ネットワークに悪意のある .bat または .cmd ファイルを置き、被害者が、そのファイルから、安全ではない方法で CreateProcess をコールするアプリケーションを起動する。DLL のプリロードと類似の攻撃ベクターである。 重要 1 これは悪用可能な脆弱性ではありますが、この種の脆弱性が蔓延した例は過去にありません。 
関連URL
- XP最後のアップデート公開、Microsoftの月例セキュリティ情報は4件 - ITmedia エンタープライズ
- Microsoft 製品の脆弱性対策について(2014年4月):IPA 独立行政法人 情報処理推進機構
- 2014 年 4 月のマイクロソフト ワンポイント セキュリティ 〜ビデオで簡単 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- Microsoft Updates April 2014 - Office and Internet Explorer Critical Vulnerabilities - Securelist
- April 2014 Patch Tuesday Fixes Microsoft Word Zero-Day | Security Intelligence Blog | Trend Micro
- April 2014 - Microsoft Releases 4 Security Advisories | Trend Micro Threat Encyclopedia
- JPCERT/CC、4月月例パッチの適用を呼びかけ - XP・Office最後のサポート | マイナビニュース
- ニュース - XPとOffice 2003の「最後のパッチ」が公開、危険な脆弱性を修正:ITpro
- Microsoft Releases April 2014 Security Bulletin | US-CERT
