マイクロソフト、月例セキュリティ更新(8月) – 「緊急」4件、「重要」10件の脆弱性

ELLY89_himawaribatake20140812-thumb-1000xauto-17384

日本マイクロソフトは12日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の8月分を公開した。14件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が4件、2番目に高い「重要」が10件となっている。すでに悪用が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。

このセキュリティ更新プログラムは、影響を受ける Windows クライアント上の Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10)、および Internet Explorer 11 (IE 11) について深刻度が「緊急」、影響を受ける Windows サーバー上の Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10)、および Internet Explorer 11 (IE 11) について深刻度が「警告」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは次の方法で脆弱性を解決します。

スポンサーリンク

影響を受けるソフトウェア(MS15-079)

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

IE7~11全般詳しくはセキュリティ TechCenter

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、8 月のセキュリティ情報の概要の Exploitability Index を参照してください。

深刻度の評価および影響の表で、「緊急」、「重要」、および「警告」という値が明記されている場合、それらは深刻度の評価を示します。詳細については、セキュリティ情報の深刻度評価システムを参照してください。表内で使用される次のキーで示される省略形は、最も大きな影響があることを示しています。

省略形 最も大きな影響
RCE リモートでコードが実行される
EoP 特権の昇格
ID 情報漏えい
SFB セキュリティ機能のバイパス

以下MS15080~91

Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3078662)(MS15-080)

MS15-080は、Windowsや.NET Framework、Office、Lync、Silverlightのフォント解析など複数の脆弱性が存在し、最悪の場合、リモートでコードが実行されるというもの。Windows Adobe Type ManagerライブラリのOpenTypeフォントの処理や、OfficeなどのTrueTypeフォントの処理に脆弱性が存在。Officeグラフィックライブラリ(OGL)フォントの処理にも脆弱性が存在する。

さらに、Windowsのセキュリティ機能であるカーネルASLRがバイパスされる脆弱性なども存在し、仮にこれらの組み合わせられた場合、セキュリティ機能をバイパスした上でリモートでコードが実行されてしまう危険性がある。この脆弱性の情報はすでにインターネット上に公開されていたという。

対象となるのは、Windows Vista/7/8/8.1/10/RT/RT 8.1、Server 2008/2008 R2/2012/2012 R2、.NET Framework 3.0/3.5/3.5.1/4/4.5/4.6、Office 2007/2010、Live Meeting 2007 Console、Lync 2010/2010 Attendee/2013/Basic 2013、Windows/MacにインストールされているSilverlight 5。最大深刻度は「緊急」、悪用可能性指標は「1」などとなっている。

Microsoft Office の脆弱性により、リモートでコードが実行される (3080790)(MS15-081)

MS15-081は、Officeに複数のメモリ破損の脆弱性が存在。最悪の場合、リモートでコードが実行される危険性があるというもの。前述の「MS15-079」で悪用される脆弱性も含まれており、同時にアップデートすることが推奨されている。

そのほか、テンプレート処理における脆弱性、整数のアンダーフロー脆弱性、情報漏えいの脆弱性が存在しており、それらの脆弱性をまとめて解消する。メモリ破損の脆弱性に関してはすでに悪用が確認されており、情報漏えいの脆弱性はインターネット上で情報が公開されていたという。

対象となるのは、Office 2007/2010/2013/2013 RT、Office for Mac 2011/2016、Office互換機能パック、Word Viewer、SharePoint Server 2010/2013、Office Web Apps 2010/2013。最大深刻度は「緊急」、悪用可能性指標は「1」などとなっている。

Microsoft Edge 用の累積的なセキュリティ更新プログラム (3084525)(MS15-091)(MS15-091)

MS15-091は、Windows 10の新ブラウザであるEdgeに複数の脆弱性が存在。メモリ破損によるリモートでコードが実行される脆弱性とセキュリティ機能ASLRのバイパスの脆弱性が存在する。

対象となるのはWindows 10のEdgeで、最大深刻度は「緊急」、悪用可能性指標は「1」などとなっている。

引用元マイナビニュース

スポンサーリンク

シェアする

フォローする