日本マイクロソフトは11日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の6月分を公開した。7件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が2件、2番目に高い「重要」が5件公開されている。
一部はすでにインターネット上に脆弱性情報が公開されていたが、現時点で悪用の形跡はないという。それに関わらず、緊急の脆弱性は早急なアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (2969262)(MS14-035)
MS14-035は、Internet Explorerに57件という多くの脆弱性が存在しており、そのうち2件はすでにインターネット上に脆弱性情報が公開されていたという。
リモートでコードが実行される脆弱性から情報漏えい、特権の昇格といった脆弱性で、各バージョンのIEにそれぞれ脆弱性が存在している。量も多いため、Windows Updateなどから適用するのが最も簡単。
対象となるのはInternet Explorer 6/7/8/9/10/11で、IE6はWindows Server 2013上のみアップデートが提供される。最大深刻度は全体で「緊急」、悪用可能性指標は「1」または「2」となっている。
Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2967487)(MS14-036)
MS14-036は、Windows、Office Lyncに含まれるリモートでコードが実行される脆弱性で、特別に細工されたファイルを開いたり、Webサイトを表示したりすると攻撃が行われる危険性がある。
テキスト用のAPI群UnicodeスクリプトプロセッサとグラフィックスデバイスインタフェースのGDI+にそれぞれ脆弱性があり、今回の問題が発生する。
対象となるのは、Windows Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2012。最大深刻度は全体で「緊急」、悪用可能性指標は「1」まmたは「3」となっている。
緊急度「重要」の脆弱性
これに加え、緊急度「重要」の脆弱性が5件公開されている。
・Microsoft Word の脆弱性により、リモートでコードが実行される (2969261)(MS14-034)は、Wordが特別に細工されたOfficeファイルを解析する際にメモリ内の値を正しく処理しないため、リモートでコードが実行されるというもの。対象となるのはOffice 2007、Office互換機能パック。
・Microsoft XML コア サービスの脆弱性により、情報漏えいが起こる (2966061)(MS14-033)は、XMLコアサービス(MSXML)がユーザーのアクセス制御を適切に適用しないため、ユーザーの個人情報が取得できるというもの。対象となるのはWindows Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2012。
・Microsoft Lync Server の脆弱性により、情報漏えいが起こる (2969258)(MS14-032)は、Lyncサーバーが特別に細工されたコンテンツを正しくサニタイズしないことで、Webセッションから情報が盗み取られる危険性がある、というもの。対象となるのはLync Server 2010/2013。
・TCP プロトコルの脆弱性により、サービス拒否が起こる (2962478)(MS14-031)は、WindowsのTCP/IPスタックが特別に細工されたパケットを正しく処理しないために、サービス拒否攻撃が行われる可能性がある、というもの。対象となるのはWindows Vista/7/8/8.1/RT/RT 8.1、Server 2008/2012。
・リモート デスクトップの脆弱性により改ざんが起こる (2969259)(MS14-030)は、リモートデスクトップがRDPセッションで利用する暗号化が強固でないため、アクティブなセッション中にRDP情報の読み取り、改ざんが可能になる、というもの。対象となるのはWindows 7/8/8.1、Server 2012。
