今月のマイクロソフトパッチリリースブログをお届けします。 今月は、12 件の脆弱性を対象として 7 つのセキュリティ情報がリリースされています。 このうち 3 件が「緊急」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
- ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
- ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
- 未知の、または疑わしいソースからのファイルは扱わない。
- 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
- 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。
マイクロソフトの 1 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Jan
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS13-001 Windows 印刷スプーラコンポーネントの脆弱性により、リモートでコードが実行される
Windows 印刷スプーラコンポーネントの脆弱性(CVE-2013-0011)MS の深刻度: 緊急
Microsoft Windows が、クライアントの要求に対する印刷スプーラの不正な形式の応答を処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が任意のコードを実行できる場合があります。
MS13-002 Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される
MSXML 整数の切り捨ての脆弱性(CVE-2013-0006)MS の深刻度: 緊急
Microsoft Windows が XML コンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者がログオンユーザーのコンテキストで任意のコードを実行できる場合があります。
MSXML XSLT の脆弱性(CVE-2013-0007)MS の深刻度: 緊急
Microsoft Windows が XML コンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者がログオンユーザーのコンテキストで任意のコードを実行できる場合があります。
MS13-003 System Center Operations Manager の脆弱性により、特権が昇格される
System Center Operations Manager Web コンソールの XSS の脆弱性(CVE-2013-0009)MS の深刻度: 重要
クロスサイトスクリプティング(XSS)の脆弱性が System Center Operations Manager に存在するため、サーバーになりすまして特別に細工されたスクリプトコードが実行される可能性があります。これは非持続的なクロスサイトスクリプティングの脆弱性であり、攻撃者がこれを利用して、標的とするユーザーのコンテキストで System Center Operations Manager サーバーにコマンドを発行する可能性があります。
System Center Operations Manager Web コンソールの XSS の脆弱性(CVE-2013-0010)MS の深刻度: 重要
クロスサイトスクリプティング(XSS)の脆弱性が System Center Operations Manager に存在するため、サーバーになりすまして特別に細工されたスクリプトコードが実行される可能性があります。これは非持続的なクロスサイトスクリプティングの脆弱性であり、攻撃者がこれを利用して、標的とするユーザーのコンテキストで System Center Operations Manager サーバーにコマンドを発行する可能性があります。
MS13-004 .NET Framework の脆弱性により、特権が昇格される
System Drawing の情報漏えいの脆弱性(CVE-2013-0001)MS の深刻度: 警告
.NET Framework の Windows Forms が非管理対象のメモリの場所を示すポインタを処理する方法に、情報漏えいの脆弱性が存在します。
WinForms のバッファオーバーフローの脆弱性(CVE-2013-0002)MS の深刻度: 重要
.NET Framework の Windows Forms がメモリ内のオブジェクトを配列にコピーする前に、そのオブジェクトの数を検証する方法に、特権昇格の脆弱性が存在します。
S.DS.P のバッファオーバーフローの脆弱性(CVE-2013-0003)MS の深刻度: 重要
.NET Framework の System.DirectoryServices.Protocols(S.DS.P)がメモリ内のオブジェクトを配列にコピーする前に、そのオブジェクトのサイズを検証する方法に、特権昇格の脆弱性が存在します。
ダブルコンストラクションの脆弱性(CVE-2013-0004)MS の深刻度: 重要
.NET Framework がメモリ内の特定のオブジェクトの権限を検証する方法に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。
MS13-005 Windows カーネルモードドライバの脆弱性により、特権が昇格される
Win32k の不適切なメッセージ処理の脆弱性(CVE-2013-0008)MS の深刻度: 重要
Windows カーネルがウィンドウブロードキャストメッセージを正しく処理しない場合に、特権昇格の脆弱性が存在します。
MS13-006 Microsoft Windows の脆弱性により、セキュリティ機能が回避される
Microsoft SSL Version 3 および TLS プロトコルのセキュリティ機能回避の脆弱性(CVE-2013-0013)MS の深刻度: 重要
Microsoft Windows の SSL/TLS(Secure Socket Layer および Transport Layer Security)が SSL Version 3(SSLv3)および TLS プロトコルを処理する方法に、セキュリティ機能回避の脆弱性が存在します。この脆弱性により、攻撃者が特別に細工されたコンテンツを SSL/TLS セッションに挿入した場合、セキュリティ機能を回避できる可能性があります。
MS13-007 Open Data プロトコルの脆弱性により、サービス拒否が起こる
置換サービス拒否の脆弱性(CVE-2013-0005)MS の深刻度: 重要
OData の仕様にサービス拒否の脆弱性が存在するため、サービス拒否が起こる可能性があります。この脆弱性により、サーバーやサービスが応答を停止し、再起動する可能性があります。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocusポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。