2013 年 12 月のセキュリティ更新プログラムのリスク評価

セキュリティ情報

最も起こりうる攻撃ベクター

セキュリティ情報最大深刻度

最大悪用可能性指標

公開 30 日以内の影響

プラットフォーム緩和策、および特記事項

MS13-096

(GDI+ TIFF解析)

被害者が悪意のある Office ドキュメントを開く。

緊急

1

CVE-2013-3906 を使用した Office ドキュメントへの攻撃が続く可能性があります。

セキュリティ アドバイザリ 2896666で初めて解説された脆弱性を
解決します。これらの攻撃に関する詳細情報は 11 月の SRD ブログ
投稿にて説明されています。

MS13-097

(Internet Explorer)

被害者が悪意のある Web ページを閲覧する。

緊急

1

30 日以内に悪用コードが作成される可能性があります。

5 件の「リモートでコードが実行される」、および 2 件の「特権の
昇格」の脆弱性を解決します。「特権の昇格」の脆弱性は、
攻撃者が、既にコード実行を達成した環境内で、その後、
Internet Explorer 保護モードから昇格するために利用される
可能性があります。

MS13-099

(VBScript)

被害者が悪意のある Web ページを閲覧する。

緊急

1

30 日以内に悪用コードが作成される可能性があります。

直接的には、ブラウザー内の脆弱性ではありません。ただし、
Scripting.Dictionary ActiveX コントロールは事前承認の
リストにあるので、すぐにロード可能です。

MS13-105

(Exchange)

攻撃者が、悪意のある添付ファイル付きの電子メールを送り、被害者がその添付ファイルを Outlook Web Access 内の Web ページとして閲覧するよう誘導する。攻撃者は、Web ページを作成することで、サーバー側のプロセスを危険にさらす可能性がある。

緊急

1

30 日以内に悪用コードが作成される可能性があります。

2013 年 10 月のセキュリティ更新プログラムに掲載されている
Oracle Outside In の問題を解決します: http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html (英語情報)

MS13-098

(Authenticode)

ユーザーが信頼済みのサードパーティーが署名した悪意のあるインストーラーを実行/ダブルクリックすることで、被害者のコンピューターが感染し、それに続いて、悪意のある実行ファイルをダウンロードするように攻撃者から警告される。

緊急

1

30 日以内に限定的な標的型攻撃が継続する可能性があります。

この問題は、初めに悪意のあるバイナリを実行することを選択した
ユーザーに依存しています。この問題に関する詳細情報、および、
追加の強化策についてはこちらをご参照ください: http://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspx (英語情報)

MS13-100

(SharePoint)

脆弱性のある SharePoint サーバーを認証できる攻撃者は、不正確に逆シリアル化されたデータ blob を送る。結果、サーバー側でコード実行が起こりえる。

重要

1

30 日以内に悪用コードが作成される可能性があります。

攻撃が成功した場合、認証ユーザーが SharePoint サイト上の
W3WP サービス アカウントに昇格されます。

MS13-101

(カーネル モード ドライバー)

特権の低い状態でコードを実行している攻撃者は、SYSTEM に昇格するために悪用バイナリを実行する。

重要

1

30 日以内に悪用コードが作成される可能性があります。

主に、win32k.sys ローカル の特権の昇格の脆弱性を解決します。
フォントの問題も解決していますが、サービス拒否のみで
コード実行は起こっていません。

MS13-102

(LPC)

Windows XP、あるいは

Windows Server 2003

上で、特権の低い状態でコー

ドを実行している攻撃者は、

SYSTEM に昇格するために

悪用バイナリを実行する。

重要

1

30 日以内に悪用コードが作成される可能性があります。

Windows Vista、もしくはそれ以降の Windows のバージョンには
影響を与えません。

MS13-106

(hxds.dll ASLR バイパス緩和)

攻撃者はこの脆弱性を、システムを危険にさらすために、(別の) コード実行の脆弱性と組み合わせる。

重要

なし

この問題は、実環境でのブラウザー ベースの攻撃において悪用コンポーネントとして使用されます。

この脆弱性は直接的にはコード実行はもたらしません。ただし、
攻撃者が ASLR をバイパスするために利用するコンポーネントでは
あります。このセキュリティ更新プログラムを適用することで、
更新プログラムがコード実行の脆弱性に適用されない場合に
おいても、多数の実環境での悪用を阻止します。

MS13-104

(Office)

攻撃者が、被害者に対し悪意のあるサーバーへのリンクを送信する。被害者がリンクをクリックした場合、ユーザー トークンが悪意のあるサーバーにキャプチャーされるような方法で、ブラウザーが被害者の代わりに Microsoft Office 365 サーバーにリクエストを送る。その結果、悪意のあるサーバーのオーナーが、被害者であるユーザーがログインしていたのと同じ方法で SharePoint オンラインにログインできるようになる。

重要

なし

この問題は、Adallom がこの脆弱性を使用する標的型攻撃を検出し、マイクロソフトに報告されました。

Office 365 SharePoint オンライン マルチテナント型のサービスに
アクセスするために、Office 2013 を利用するお客様に影響を
与えます。

MS13-103

(SignalR)

攻撃者が、イントラネット

Visual Studio Team

Foundation Server (TFS)

上のクロスサイト

スクリプティング (XSS) の脆

弱性を悪用するリンクをアク

セス権を持つ被害者宛に送る。被害者がリンクをクリ

ックすると、TFS サーバー上

で被害者の代わりに、本来は

実行したくないであろう自動

アクションが実行される。

重要

1

30 日以内に悪用コードが作成される可能性があります。