本記事は、Security Research & Defense のブログ “Assessing risk for the March 2013 security updates” (2013 年 3 月 12 日公開) を翻訳した記事です。
本日、私たちは 20 件の CVE (脆弱性) を解決する 7 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 3 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報 | 最も起こりうる攻撃方法 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
(Internet Explorer) | 被害者が、悪意のある Web ページを閲覧する。 | 緊急 | 1 | IE8 に影響を与える問題、CVE-2013-1288 の悪用コードは、公表されており利用可能です。この更新プログラムで、脆弱性が解決されたその他の脆弱性に対して、30 日以内に悪用コードが作成される可能性があります。 | Windows 7 上の IE 10 は影響を受けません。 |
(Silverlight) | 被害者が、悪意のある Web ページを閲覧する。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | Silverlight 5 に影響を与えます。 |
(Windows USB ドライバー) | 攻撃者が、被害者のワークステーション、あるいはサーバーに、実際に、悪意のある USB デバイスを挿入することによって、システム上でコードが実行される。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | 事前認証のコード実行は、実際に、被害者のコンピューターに悪意のあるハードウェア デバイスを挿入できる攻撃者のみが行えます。この脆弱性の背景に関する詳細は、こちらの記事 (英語情報) を参照してください。 |
(SharePoint 2010) | 攻撃者は、SharePoint サイト上に、クエリ文字列に悪意のあるスクリプトを含む、検索クエリを発行する。スクリプトを含んだ攻撃者の検索クエリが、SharePoint 管理者のセッション コンテキストで作動するという特定の状況下で、SharePoint の管理者が検索クエリを閲覧する可能性がある。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | 影響があるのは、SharePoint Server 2010 Service Pack 1 のみで、SharePoint の旧バージョンまたは最新バージョンは影響を受けません。 |
(Visio Viewer 2010) | 被害者は、悪意のある Visio .DXF ファイルを開くために、Visio Viewer 2010 を利用する。 | 緊急 | 2 | この脆弱性に対する悪用コードが作成される可能性は低いです。Visio Viewer の悪用は、実際の現場ではあまり目にする機会はありませんが、これは、コード実行を悪用することが、通常と比べて難しいと考えられます。 | Visio 自体は、この脆弱性から直接の影響は受けません。Visio Viewer 2010 のみが影響を受けます。 |
(OneNote 2010) | 攻撃者が、悪意のある、あるいは攻撃者のコントロール下にあるディレクトリから OneNote ファイルを開くよう、被害者を誘導する。攻撃者は、被害者の OneNote プロセスにおいて、攻撃者のディレクトリ内のファイルに記入し、攻撃者への情報漏えいにつながる可能性のある、プロセス メモリを引き起こすために、この脆弱性を利用する。 | 重要 | 対象外 | この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみです。 | 影響があるのは、OneNote 2010 Service Pack 1 のみで、OneNote の旧バージョンまたは最新バージョンには影響を受けません。攻撃者は、攻撃者がコントロール可能なサーバーあるいはロケーションから、被害者がファイルを開くよう誘導する必要があります。ユーザーが悪意のあるファイルを開こうとするタイミングで、OneNote の処理プロセス中の情報で、攻撃者がアクセスできるようになります。 |
(Microsoft Office for Mac) | 攻撃者が、被害者に対して外部コンテンツへのリンクを含む電子メールを送信する。ユーザーへの確認なく、コンテンツが読み込まれる。 | 重要 | 対象外 | この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみが起こります。 |
|
ジョナサン・ネス、MSRC エンジニアリング