本記事は、Security Research & Defense のブログ “Assessing risk for the September 2014 security updates” (2014 年 9 月 9 日公開) を翻訳した記事です。
本日、42 件の個別の CVE を解決する 4 件のセキュリティ情報をリリースしました。セキュリティ情報の内、1 件は最大深刻度が「緊急」、3 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | プラットフォーム緩和策、および特記事項 | |
(Internet Explorer) | 被害者が悪意のある Web ページを閲覧する。 | 緊急 | 0 CVE-2013-7331の悪用を確認しています。別の脆弱性の悪用を開始する前に、EMET、あるいはサードパーティー製のマルウェア対策製品がインストールされているかを判断するという情報漏えいの脆弱性です。 | 本更新プログラムで解決しているリモートでコードが実行される脆弱性のいずれについても、現在、悪用は確認されていません。 |
(タスク スケジューラー) | 低い権限でコードを実行している攻撃者が、SYSTEM に昇格するために悪用バイナリを実行する。 | 重要 | 1 | |
(.NET Framework) | 悪意のある特殊な HTTP/HTTPS 要求を送信することで、攻撃者が ASP.NET 上にコンピューター リソースの消費によるサービス拒否を引き起こす。 | 重要 | 3 | ASP.NET が確実にインストール、有効化、そして IIS に登録されている場合のみシステムは影響を受けます。 |
(Lync Server) | 攻撃者は、被害を受ける Lync Server に悪意を持って作成され た SIP 招待を送信することで、Lync Server が機能しなくする。 | 重要 | 3 | 脆弱性はリモートで、認証されていないサービス拒否ですが、攻撃者は、まず有効な Lync Server 会議リクエストに存在する情報へのアクセス権を持っていなければなりません。 |
ジョナサン・ネス、MSRC エンジニアリング
更新履歴:
2014/9/10 14:18: MS14-052 の「最大悪用可能性指標」および「プラットフォーム緩和策、および特記事項」の記載を修正し明確にしました。