個人のお客様向けサービス
法人のお客様向けサービス
サンフィールドシティ
群馬県メールマガジン ぐん!とGUNMA
両毛へいらっしゃい
国土交通省 防災情報提供センター
インターネット・ホットラインセンター
日本レコード協会
NTT販売パートナー
トップページ > 2014年更新履歴 > Microsoft社11月の月例セキュリティ情報について 

2014年更新履歴

Microsoft社11月の月例セキュリティ情報について

Microsoft社11月の月例セキュリティ情報について

平成26年11月13日


Microsoft社11月の月例セキュリティ情報について


日頃よりサンフィールド・インターネットをご利用いただき、誠にありがとうございます。

2014年11月12日、マイクロソフト社が11月の月例セキュリティ情報を公開しました。
Microsoft Windows、Internet Explorer、Microsoft Office 等の製品が対象となる新規14件を公開しました。
深刻度が最も高い「緊急」が4件、次に高い「重要」が8件と「警告」が2件となっています。

尚、4月9日でサポートが終了した、Windows XPおよびOffice 2003を含め既にサポートが終了している製品に対しては提供されません。

ご利用該当者様におかれましては、マイクロソフト社のサイトにて内容をご確認のうえ修正プログラムのダウンロード適用をお勧めいたします。
これらの更新プログラムは、「Microsoft Update」、「Windows Update」および「ダウンロードセンター」で利用可能です。

 

 
<<以下、Microsoft社の概要情報より>>

【セキュリティ情報の内容】
Microsoft社より11月の月例セキュリティ情報が公開されました。
https://technet.microsoft.com/ja-JP/library/security/ms14-nov.aspx

脆弱性概要:
-----

MS14-064
  Windows OLE の脆弱性により、リモート コードが実行される(3011443)
  https://technet.microsoft.com/library/security/ms14-064
  概要 : このセキュリティ更新プログラムは非公開で報告された 2 つの Microsoft Windows オブジェクトのリンクと埋め込みの脆弱性を解決 (OLE). Web ページを Internet Explorer のを使用して表示すると、リモートでコードが実行される可能性があります。これらの中で最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はプログラムのインストール、データの表示、変更または削除、あるいはすべてのユーザー権限を持つ新規アカウントの作成を行う可能性があります。お客様のアカウントを持つように構成ユーザー権利の少ないシステムでの管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が小さい可能性があります。
  最大深刻度 : 緊急
  脆弱性の影響 : リモートでコードが実行される
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-065
  Internet Explorer 用の累積的なセキュリティ更新プログラム(3003057)
  https://technet.microsoft.com/library/security/MS14-065
  概要 : このセキュリティ更新プログラムは、非公開で報告された 17 件の Internet Explorer に存在する脆弱性を解決します。これらの中で最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者により現在のユーザーと同じ権限が取得される可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
  最大深刻度 : 緊急
  脆弱性の影響 : リモートでコードが実行される
  再起動情報 : 要再起動
  影響を受けるソフトウェア : Microsoft Windows、Internet Explorer

-----

MS14-066
  Schannel の脆弱性によりリモートでコードが実行される (2992611)
  https://technet.microsoft.com/library/security/MS14-066
  概要 : このセキュリティ更新プログラムは、Windows のMicrosoft セキュア チャネル (Schannel) セキュリティ パッケージに存在する、1 件の非公開で報告された脆弱性を解決します。攻撃者が、Windows サーバーに特別に細工されたパケットを送信した場合、この脆弱性により、リモートでコードが実行される可能性があります。
  最大深刻度 : 緊急
  脆弱性の影響 : リモートでコードが実行される
  再起動情報 : 要再起動
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-067
  Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (2993958)
  https://technet.microsoft.com/library/security/MS14-067
  概要 : このセキュリティ更新プログラムは非公開で報告された 1 件の Microsoft Windows に存在する脆弱性を解決します。この脆弱性により、ログオンしたユーザーが、Internet Explorer を介して Microsoft XML コア サービス (MSXML) を呼び出すよう設計された特別な細工がされた Web サイトにアクセスした場合に、リモートでコードが実行される可能性があります。 しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。そのかわり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのリクエスト内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。
  最大深刻度 : 緊急
  脆弱性の影響 : リモートでコードが実行される
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-069
  Microsoft Office の脆弱性によりリモートでコードが実行される (3009710)
  https://technet.microsoft.com/library/security/MS14-069
  概要 : このセキュリティ更新プログラムは、非公開で報告された 3 件の Microsoft Office に存在する脆弱性を解決します。脆弱性がリモートでコードが実行される場合、影響を受けるエディションの Microsoft Office 2007年では、特別に細工されたファイルを開きます。この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
  最大深刻度 : 重要
  脆弱性の影響 : リモートでコードが実行される
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Office

-----

MS14-070
  TCP/IP の脆弱性により、特権が昇格される (2989935)
  https://technet.microsoft.com/library/security/MS14-070
  概要 : このセキュリティ更新プログラムは、入出力制御 (IOCTL) の処理中に発生する TCP/IP に存在する 1 件の公開された脆弱性を解決します。この脆弱性により、攻撃者がシステムにログオンし、特別に細工されたアプリケーションを実行した場合に、特権が昇格される可能性があります。攻撃者がこの脆弱性を悪用した場合、別のプロセスのコンテキストで任意のコードが実行される可能性があります。このプロセスが管理者権限で実行されている場合、攻撃者は、プログラムのインストール、データの表示、変更、削除、または、完全なユーザー権限を持つ新しいアカウントを作成する可能性があります。
  最大深刻度 : 重要
  脆弱性の影響 : 特権の昇格
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-071
  Windows オーディオ サービスの脆弱性により、特権が昇格される(3005607)
  https://technet.microsoft.com/library/security/MS14-071
  概要 : このセキュリティ更新プログラムは、非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、アプリケーションがマイクロソフトの Windows オーディオ サービスを使用している場合、特権が昇格される可能性があります。この脆弱性だけでは、任意のコードが実行されることはありません。この脆弱性は、リモートでコードが実行される可能性がある別の脆弱性と組み合わせて使用される必要があります。
  最大深刻度 : 重要
  脆弱性の影響 : 特権の昇格
  再起動情報 : 要再起動
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-072
  .NET Framework の脆弱性により、特権が昇格される (3005210)
  https://technet.microsoft.com/library/security/MS14-072
  概要 : このセキュリティ更新プログラムは、非公開で報告された 1 件の Microsoft .NET Framework の脆弱性を解決します。この脆弱性により、攻撃者が特別な細工を施したデータを、 .NET Remotingを使用している、影響を受けるワークステーションやサーバーに送信した場合、特権が昇格される可能性があります。.NET Remoting は、アプリケーションによって広く使用されているわけではありません。.NET Remoting を使用するように特に設計されたカスタム アプリケーションのみで、システムがこの脆弱性にさらされます。
  最大深刻度 : 重要
  脆弱性の影響 : 特権の昇格
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows、Microsoft .NET Framework

-----

MS14-073
  Microsoft SharePoint Foundation の脆弱性により、特権が昇格される (3000431)
  https://technet.microsoft.com/library/security/MS14-073
  概要 : このセキュリティ更新プログラムは、非公開で報告されている Microsoft SharePoint Server の脆弱性を解決します。この脆弱性の悪用に成功した認証済みの攻撃者は、現在の SharePoint サイト上のユーザーのコンテキストで任意のスクリプトを実行する可能性があります。Web ベースの攻撃のシナリオでは、攻撃者はこの脆弱性の悪用を意図して特別に細工した Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れるまたはホストする Web サイトを利用する可能性があります。これらの Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンが含まれている場合があります。しかし、すべての場合において、強制的にユーザーに攻撃者が制御するコンテンツを表示させることはできません。その代わり、ユーザーに操作を行わせることが攻撃者にとっての必要条件となります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信した添付ファイルを開かせようとします。
  最大深刻度 : 重要
  脆弱性の影響 : 特権の昇格
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft サーバー ソフトウェア

-----

MS14-074
  リモート デスクトップ プロトコルの脆弱性により、セキュリティのバイパスが起こる (3003743)
  https://technet.microsoft.com/library/security/MS14-074
  概要 : このセキュリティ更新プログラムは非公開で報告された 1 件の Microsoft Windows に存在する脆弱性を解決します。この脆弱性により、リモート デスクトップ プロトコル (RDP) が監査イベントを適切にログしない場合、セキュリティ機能のバイパスが起こる可能性があります。RDP は、サポートされている Windows オペレーティング システムでは既定で有効ではありません。RDP が有効となっていないコンピューターは危険にさらされません。
  最大深刻度 : 重要
  脆弱性の影響 : セキュリティ機能のバイパス
  再起動情報 : 要再起動
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-076
  インターネット インフォメーション サービス (IIS) の脆弱性により、セキュリティ機能のバイパスが起こる (2982998)
  https://technet.microsoft.com/library/security/MS14-076
  概要 : このセキュリティ更新プログラムは、非公開で報告された、「IP およびドメイン制限」セキュリティ機能のバイパスにつながる Microsoft インターネット インフォメーション サービス (IIS) の脆弱性を解決します。この脆弱性により、制限またはブロックされているドメインのクライアントが制限されている Web リソースにアクセスする可能性があります。
  最大深刻度 : 重要
  脆弱性の影響 : セキュリティ機能のバイパス
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-077
  Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こる (3003381)
  https://technet.microsoft.com/library/security/MS14-077
  概要 : このセキュリティ更新プログラムは非公開で報告された、Active Directory フェデレーション サービス (AD FS) に存在する 1 件の脆弱性を解決します。この脆弱性により、ユーザーがアプリケーションからログオフした後に、ブラウザーを開いたままにし、攻撃者がそのユーザーがログオフした直後にブラウザーでアプリケーションを再度開くと、情報漏えいが起こる可能性があります。
  最大深刻度 : 重要
  脆弱性の影響 : 情報漏えい
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows

-----

MS14-078
  IME (日本語版) の脆弱性により、特権が昇格される (2992719)
  https://technet.microsoft.com/library/security/MS14-078
  概要 : このセキュリティ更新プログラムは、非公開に報告された Microsoft Input Method Editor (IME) (日本語版) の 1 件の脆弱性を解決します。この脆弱性は、影響を受けるバージョンの Microsoft IME (日本語版) がインストールされているシステム上のアプリケーション サンドボックス ポリシーに基づいて、サンドボックスを回避する可能性があります。この脆弱性の悪用に成功した攻撃者は、脆弱なアプリケーションのサンドボックスを回避し、ログインしているユーザーの権限で影響を受けるシステムのアクセスを取得する可能性があります。影響を受けるシステムが管理者権限でログインされた場合、攻撃者は、プログラムをインストール、データを変更あるいは削除、または、完全な管理者権限で新しいアカウントを作成する可能性があります。
  最大深刻度 : 警告
  脆弱性の影響 : 特権の昇格
  再起動情報 : 再起動が必要な場合あり
  影響を受けるソフトウェア : Microsoft Windows、Microsoft Office

-----

MS14-079
  カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (3002885)
  https://technet.microsoft.com/library/security/MS14-079
  概要 : このセキュリティ更新プログラムは非公開で報告された 1 件の Microsoft Windows に存在する脆弱性を解決します。攻撃者が、特別に細工された TrueType フォントをネットワーク共有に配置して、その後ユーザーが Windows エクスプ ローラーでそこへ移動した場合に、サービス拒否が起こる可能性があります。Web ベースの攻撃のシナリオで、攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよびユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。しかし、すべての場合、攻撃者がこのような Web サイトにユーザーを強制的に訪問させる方法はないと考えられます。そのかわり、通常、ユーザーに攻撃者の Web サイトに接続させる電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせることにより、ユーザーを攻撃者の Web サイトに訪問させることが攻撃者にとっての必要条件となります。
  最大深刻度 : 警告
  脆弱性の影響 : サービス拒否
  再起動情報 : 要再起動
  影響を受けるソフトウェア : Microsoft Windows

 

 


以上