2013 年 12 月のセキュリティ更新プログラムのリスク評価

Thursday, December 12, 2013

本記事は、Security Research & Defense のブログ “Assessing risk for the December 2013 security updates” (2013 年 12 月 10 日公開) を翻訳した記事です。

本日、24 件の CVE を解決する 11 件のセキュリティ情報をリリースしました。セキュリティ情報の内、5 件は最大深刻度が「緊急」、そして 6 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

セキュリティ情報	最も起こりうる攻撃ベクター	セキュリティ情報最大深刻度	最大悪用可能性指標	公開 30 日以内の影響	プラットフォーム緩和策、および特記事項
MS13-096 (GDI+ TIFF解析)	被害者が悪意のある Office ドキュメントを開く。	緊急	1	CVE-2013-3906 を使用した Office ドキュメントへの攻撃が続く可能性があります。	セキュリティアドバイザリ 2896666 で初めて解説された脆弱性を解決します。これらの攻撃に関する詳細情報は 11 月の SRD ブログ投稿にて説明されています。
MS13-097 (Internet Explorer)	被害者が悪意のある Web ページを閲覧する。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	5 件の「リモートでコードが実行される」、および 2 件の「特権の昇格」の脆弱性を解決します。「特権の昇格」の脆弱性は、攻撃者が、既にコード実行を達成した環境内で、その後、 Internet Explorer 保護モードから昇格するために利用される可能性があります。
MS13-099 (VBScript)	被害者が悪意のある Web ページを閲覧する。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	直接的には、ブラウザー内の脆弱性ではありません。ただし、 Scripting.Dictionary ActiveX コントロールは事前承認のリストにあるので、すぐにロード可能です。
MS13-105 (Exchange)	攻撃者が、悪意のある添付ファイル付きの電子メールを送り、被害者がその添付ファイルを Outlook Web Access 内の Web ページとして閲覧するよう誘導する。攻撃者は、Web ページを作成することで、サーバー側のプロセスを危険にさらす可能性がある。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	2013 年 10 月のセキュリティ更新プログラムに掲載されている Oracle Outside In の問題を解決します: http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html (英語情報)
MS13-098 (Authenticode)	ユーザーが信頼済みのサードパーティーが署名した悪意のあるインストーラーを実行/ダブルクリックすることで、被害者のコンピューターが感染し、それに続いて、悪意のある実行ファイルをダウンロードするように攻撃者から警告される。	緊急	1	30 日以内に限定的な標的型攻撃が継続する可能性があります。	この問題は、初めに悪意のあるバイナリを実行することを選択したユーザーに依存しています。この問題に関する詳細情報、および、追加の強化策についてはこちらをご参照ください: http://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspx (英語情報)
MS13-100 (SharePoint)	脆弱性のある SharePoint サーバーを認証できる攻撃者は、不正確に逆シリアル化されたデータ blob を送る。結果、サーバー側でコード実行が起こりえる。	重要	1	30 日以内に悪用コードが作成される可能性があります。	攻撃が成功した場合、認証ユーザーが SharePoint サイト上の W3WP サービスアカウントに昇格されます。
MS13-101 (カーネルモードドライバー)	特権の低い状態でコードを実行している攻撃者は、SYSTEM に昇格するために悪用バイナリを実行する。	重要	1	30 日以内に悪用コードが作成される可能性があります。	主に、win32k.sys ローカルの特権の昇格の脆弱性を解決します。フォントの問題も解決していますが、サービス拒否のみでコード実行は起こっていません。
MS13-102 (LPC)	Windows XP、あるいは Windows Server 2003 上で、特権の低い状態でコードを実行している攻撃者は、 SYSTEM に昇格するために悪用バイナリを実行する。	重要	1	30 日以内に悪用コードが作成される可能性があります。	Windows Vista、もしくはそれ以降の Windows のバージョンには影響を与えません。
MS13-106 (hxds.dll ASLR バイパス緩和)	攻撃者はこの脆弱性を、システムを危険にさらすために、(別の) コード実行の脆弱性と組み合わせる。	重要	なし	この問題は、実環境でのブラウザーベースの攻撃において悪用コンポーネントとして使用されます。	この脆弱性は直接的にはコード実行はもたらしません。ただし、攻撃者が ASLR をバイパスするために利用するコンポーネントではあります。このセキュリティ更新プログラムを適用することで、更新プログラムがコード実行の脆弱性に適用されない場合においても、多数の実環境での悪用を阻止します。
MS13-104 (Office)	攻撃者が、被害者に対し悪意のあるサーバーへのリンクを送信する。被害者がリンクをクリックした場合、ユーザートークンが悪意のあるサーバーにキャプチャーされるような方法で、ブラウザーが被害者の代わりに Microsoft Office 365 サーバーにリクエストを送る。その結果、悪意のあるサーバーのオーナーが、被害者であるユーザーがログインしていたのと同じ方法で SharePoint オンラインにログインできるようになる。	重要	なし	この問題は、Adallom がこの脆弱性を使用する標的型攻撃を検出し、マイクロソフトに報告されました。	Office 365 SharePoint オンラインマルチテナント型のサービスにアクセスするために、Office 2013 を利用するお客様に影響を与えます。
MS13-103 (SignalR)	攻撃者が、イントラネット Visual Studio Team Foundation Server (TFS) 上のクロスサイトスクリプティング (XSS) の脆弱性を悪用するリンクをアクセス権を持つ被害者宛に送る。被害者がリンクをクリックすると、TFS サーバー上で被害者の代わりに、本来は実行したくないであろう自動アクションが実行される。	重要	1	30 日以内に悪用コードが作成される可能性があります。

ジョナサン・ネス、MSRC エンジニアリング

No Comments