マイクロソフトは8月14日、月例のセキュリティ更新プログラムを公開した。深刻度「緊急」が3件、「重要」が5件の全8件となる。
深刻度「緊急」の「MS13-059」、「MS13-060」、「MS13-061」
|
「MS13-059」はInternet Explorer用の累積セキュリティ更新プログラム(2862772)。非公開で報告されたIEに関する11件の脆弱性を解決している。最も深刻な脆弱性が悪用された場合、攻撃者が利用者と同等のユーザー権限を取得する可能性があるという。この更新プログラムを適用する場合はPCの再起動が必要。
「MS13-060」はWindowsに含まれる「Unicodeスクリプトプロセッサ」に関する脆弱性を解決するセキュリティ更新プログラム。利用者が特別な細工の施された文章ファイルやWebページを、Embedded OpenTypeフォントを利用したアプリケーションで表示した場合、リモートでコードが実行される可能性があるという。脆弱性が悪用されると「MS13-059」と同様に、攻撃者が利用者と同等のユーザー権限を取得する可能性があるとしている。
「MS13-061」はExchange Serverに関する3件の脆弱性を解決する更新プログラム。Exchange ServerのWebReadyドキュメント表示やデータ損失防止機能に脆弱性があり、Outlook Web Appを使用してプレビュー表示を行った場合、Exchange Serverのトランスコーディングサービスでセキュリティコンテキストからリモートでコードが実行される可能性があるという。
深刻度「重要」の「MS13-062」~「MS13-066」
「MS13-062」と「MS13-063」は特権昇格の恐れがある脆弱性、「MS13-064」と「MS13-065」はサービス拒否が起こる脆弱性のセキュリティ更新プログラム。この4件は、いずれもPCの再起動を必要とする。
「MS13-064」は、攻撃者がWindows NAT Driverサービスを実行している標的のサーバーに対し、特別な細工を施したICMPパケットを送信することでサービス拒否が起こるという。また、「MS13-065」についても、攻撃者が細工をしたICMPパケットを標的のPCに送信することで、脆弱性のためにサービス拒否が起こるとしている。
最後の「MS13-066」は、Active Directoryフェデレーションサービス(ADFS)の脆弱性に対するセキュリティ更新プログラムとなる。この脆弱性は、ADFSによって使用されるサービスアカウントに関連して情報漏えいが起こる可能性があるという。
