本記事は、Security Research & Defense のブログ “Assessing risk for the April 2014 security updates” (2014 年 4 月 8 日公開) を翻訳した記事です。
本日、11 件の CVE を解決する 4 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 2 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
(Word) | 被害者が RTF、あるいは DOC/DOCX ファイルを開く。 | 緊急 | 1 | RTF、および DOC ベースの CVE-2014-1761 の悪用が、引き続き発生すると予想されます。 | セキュリティ アドバイザリ 2953095で説明している、「標的型攻撃における問題」の脆弱性を解決します。 |
(Internet Explorer) | 被害者が悪意のある Web ページを閲覧する。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | |
(Publisher) | 被害者が悪意のある Publisher (.PUB) ファイルを開く。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性が高い一方、Publisher の展開が限定的であるために、悪用が蔓延する可能性は低いと予想しています。 | |
(Windows ファイル操作) | 攻撃者が、共有ネットワークに悪意のある .bat または .cmd ファイルを置き、被害者が、そのファイルから、安全ではない方法で CreateProcess をコールするアプリケーションを起動する。DLL のプリロードと類似の攻撃ベクターである。 | 重要 | 1 | これは悪用可能な脆弱性ではありますが、この種の脆弱性が蔓延した例は過去にありません。 | 詳細情報は、本日投稿された SRD Blog 記事 (英語情報) を参照してください。 |
ジョナサン・ネス、MSRC エンジニアリング