2013 年 10 月のセキュリティ更新プログラムに関してリスクを評価する
本記事は、Security Research & Defense のブログ “Assessing risk for the October 2013 security updates” (2013 年 10 月 10 日公開) を翻訳した記事です。
本日、私たちは 26 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 4 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
|
セキュリティ情報 |
最も起こりうる攻撃ベクター |
セキュリティ情報最大深刻度 |
最大悪用可能性指標 |
公開 30 日以内の影響 |
プラットフォーム緩和策、および特記事項 |
|
(Internet Explorer) |
被害者が悪意のある Web ページを閲覧します。 |
緊急 |
1 |
CVE-2013-3893 およびCVE-2013-3897 の双方が継続して攻撃を受ける可能性があります。 |
現在、限定された攻撃における 2 件の CVE、および攻撃にさらされていない 8 件のCVE を解決します。 |
|
(win32k.sys and OTF font parsing) |
最も起こりうる攻撃ベクターは、攻撃者が既に実機でコードを実行していることが必須で、その後、この脆弱性を特権の低いアカウントから SYSTEM に昇格するために利用するものです。 他の攻撃ベクターは、被害者がOTF フォント ファイルを使用する悪意のある Web ページを閲覧するよう仕向け、結果として SYSTEM でコードが実行されます。 |
緊急 |
1 |
30 日以内に悪用コードが作成される可能性があります。 |
|
|
(ComCtl32) |
被害者は、Word あるいは Wordpad のいずれかにコントロールが組み込まれている悪意のある RTF ファイルを開き、その結果ログオンしているユーザーに対してコードが実行される可能性があります。 |
緊急 |
1 |
30 日以内に悪用コードが作成される可能性があります。 |
ComCtl32 はいくつもの異なるシナリオで利用されます。私たちが予想する、最も起こりうる攻撃ベクターは、Office ドキュメント内の MSCOMCTL を介するものです。しかしながら、私たちはその他の攻撃ベクターについても解決するために、お客様がすべてのシステムに対して更新プログラムを適用することを推奨します。 |
|
(.NET Framework) |
被害者が、イントラネット ゾーン Web サイトがホストする、悪意のある XBAP アプリケーションを閲覧します。 |
緊急 |
2 |
この脆弱性、および .NET Framework の脆弱性に対し、悪用コードが作成される可能性は低いです。 |
|
|
(Excel) |
被害者が、悪意のある Excel スプレッドシートを開きます。 |
重要 |
1 |
30 日以内に悪用コードが作成される可能性があります。 |
|
|
(Word) |
被害者が、悪意のある Word ドキュメントを開きます。 |
重要 |
1 |
30 日以内に悪用コードが作成される可能性があります。 |
Office 2010 および Office 2013 は影響を受けません。 |
|
(SharePoint) |
攻撃者は、彼らがアクセス権を持つイントラネットの SharePoint サーバー上のクロスサイト スクリプティング (XSS) の脆弱性を悪用するリンクを被害者に対して送信します。被害者がそのリンクをクリックすると、実行したくないにも関わらず、SharePoint サーバーの代わりに自動的にアクションが実行されます。 |
重要 |
1 |
30 日以内に悪用コードが作成される可能性があります。 |
既定で、最新のブラウザはイントラネット ゾーン サイトにおける XSS 攻撃を防御します。 |
|
(Silverlight) |
この脆弱性は、攻撃者が、同一のプロセスからメモリ アドレス、および/あるいはコンテンツにアクセスできるようにするため、マルチステージの攻撃においてコンポーネントとして使用することができます。 |
重要 |
なし |
直接、コードが実行される可能性はありません。 |
情報漏えいのみ。 |
ジョナサン・ネス、MSRC エンジニアリング