本記事は、Security Research & Defense のブログ “Assessing risk for the July 2014 security updates” (2014 年 7 月 9 日公開) を翻訳した記事です。
本日、29 件の個別の CVE を解決する 6 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、3 件が「重要」、そして 1 件が「警告」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
|
セキュリティ情報
|
最も起こりうる攻撃
|
セキュリティ情報最大深刻度
|
最大悪用可能性指標
|
公開 30 日以内の影響
|
プラットフォーム緩和策、および特記事項
|
|
(Internet Explorer)
|
被害者が悪意のある Web ページを閲覧する。
|
緊急
|
1
|
30 日以内に悪用コードが作成される可能性があります。
|
23 件のリモートでコードが実行される問題、そして 1 件の深刻度の低いセキュリティ機能バイパスの脆弱性を解決します。
|
|
(Windows Journal)
|
被害者が悪意のある JNT ファイルを開く、または、エクスプローラーを介して攻撃者によって JNT ファイルが自動的にレンダリングされる WebDAV 共有に誘導される。
|
緊急
|
1
|
30 日以内に悪用コードが作成される可能性があります。
|
|
|
(AFD.sys)
|
低い特権でコードを実行している攻撃者が、SYSTEM に昇格するために悪用バイナリを実行する。
|
重要
|
1
|
30 日以内に悪用コードが作成される可能性があります。
|
|
|
(DirectShow を介したサンドボックス エスケープ)
|
低整合性レベルでコードを実行している攻撃者が、ログオン
ユーザーのコンテキストに昇格するために悪用バイナリを実行する。
|
重要
|
1
|
30 日以内に悪用コードが作成される可能性があります。
|
|
|
(画面上のキーボードを介したサンドボックス エスケープ)
|
低整合性レベルでコードを実行している攻撃者が、ログオン ユーザーのコンテキストに昇格するために悪用バイナリを実行する。
|
重要
|
1
|
30 日以内に悪用コードが作成される可能性があります。
|
|
|
(Service Bus)
|
攻撃者は、受信する AMQP メッセージに対して Service Bus が応答しなくなるようにする。
|
警告
|
なし
|
深刻度の低い問題で、目立った攻撃者の影響度も低いです。
|
Windows Azure は影響を受けません。
|
ジョナサン・ネス、MSRC エンジニアリング