インターネットのセキュリティを考える

Windows と Internet Explorer の脆弱性対策

脆弱性対策
セキュリティ目次
MSKB一覧
IE Tips
WindowsXPのパッチ
上手に使う電子メール
Windows Tips
HOME
UP  BACK

最新情報

2014年8月

 2014年08月13日に公開を予定している9件のセキュリティ情報の事前通知は緊急 2件、重要 7件です.
(セキュリティ情報番号とMS番号、リンクの対応は仮設定です.公開されたら更新します.2014.08.09)
(公開予定は August 12, 2014 日本時間では13日の午前4時頃には英文サイトが確認できるはずです)

 必須 Windows-KB890830-V5.15.exe 悪意のあるソフトウェアの削除ツール (KB890830) サポートが終了した WindowsXP でもこのツールは自動更新されます.
MS14-051 Internet Explorer 用の累積的なセキュリティ更新プログラム (2976627)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 1
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows、Internet Explorer
MS14-043 Windows Media Center の脆弱性により、リモートでコードが実行される (2978742)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 2
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows
MS14-048 OneNote の脆弱性により、リモートでコードが実行される (2977201)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 3
 最大深刻度 : 重要-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Office
MS14-044 SQL Server の脆弱性により、特権が昇格される (2984340)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 4
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft SQL Server
MS14-045 カーネルモード ドライバーの脆弱性により、特権が昇格される (2984615)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 5
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-049 Windows Installer サービスの脆弱性により、特権が昇格される (2962490)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 6
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-050 Microsoft SharePoint Server の脆弱性により、特権が昇格される (2977202)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 7
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft サーバー ソフトウェア
MS14-046 .NET Framework の脆弱性により、セキュリティ機能のバイパスが起こる (2984625)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 8
 最大深刻度 : 重要-セキュリティ機能のバイパス
 影響を受けるソフトウェア Microsoft Windows、Microsoft .NET Framework
MS14-047 LRPC の脆弱性により、セキュリティ機能のバイパスが起こる (2978668)
 公開日: 2014年08月13日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 9
 最大深刻度 : 重要-セキュリティ機能のバイパス
 影響を受けるソフトウェア Microsoft Windows

2014年7月

 2014年07月09日に公開を予定している6件のセキュリティ情報の事前通知は緊急 2件、重要 3件、警告1件です.
(セキュリティ情報番号とMS番号、リンクの対応は仮設定です.公開されたら更新します.2014.07.04)
(公開予定は July 08, 2014 日本時間では9日の午前4時頃には英文サイトが確認できるはずです)

 必須 Windows-KB890830-V5.14.exe 悪意のあるソフトウェアの削除ツール (KB890830)
MS14-037 Internet Explorer 用の累積的なセキュリティ更新プログラム (2975687)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 1
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows、Internet Explorer
MS14-038 Windows Journal の脆弱性により、リモートでコードが実行される (2975689)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 2
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows
MS14-039 スクリーン キーボードの脆弱性により、特権が昇格される (2975685)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 3
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-040 Ancillary Function ドライバー (AFD) の脆弱性により、特権が昇格される (2975684)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 4
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-041 DirectShow の脆弱性により、特権が昇格される (2975681)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 5
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-042 Microsoft Service Bus の脆弱性により、サービス拒否が起こる (2972621)
 公開日: 2014年07月09日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 6
 最大深刻度 : : 警告-サービス拒否
 影響を受けるソフトウェア Microsoft サーバー ソフトウェア

2014年6月

 2014年06月11日に公開を予定している7件のセキュリティ情報の事前通知は緊急 2件、重要 5件です.
 必須 Windows-KB890830-V5.13.exe 悪意のあるソフトウェアの削除ツール (KB890830)
MS14-035 Internet Explorer 用の累積的なセキュリティ更新プログラム (2969262)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 1
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows、Internet Explorer
MS14-036 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2967487)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 2
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows、Microsoft Office、Microsoft Lync
MS14-034 Microsoft Word の脆弱性により、リモートでコードが実行される (2969261)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 3
 最大深刻度 : 重要-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Office
MS14-033 Microsoft XML コア サービスの脆弱性により、情報漏えいが起こる (2966061)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 4
 最大深刻度 : 重要-情報漏えい
 影響を受けるソフトウェア Microsoft Windows
MS14-032 Microsoft Lync Server の脆弱性により、情報漏えいが起こる (2969258)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 5
 最大深刻度 : 重要-情報漏えい
 影響を受けるソフトウェア Microsoft Lync サーバー
MS14-031 TCP プロトコルの脆弱性により、サービス拒否が起こる (2962478)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 6
 最大深刻度 : 重要-サービス拒否
 影響を受けるソフトウェア Microsoft Windows
MS14-030 リモート デスクトップの脆弱性により改ざんが起こる (2969259)
 公開日: 2014年06月11日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 7
 最大深刻度 : 重要-改ざん
 影響を受けるソフトウェア Microsoft Windows
Windows Vista は関係なし

2014年5月

 2014年05月14日に公開を予定している8件のセキュリティ情報の事前通知は緊急 2件、重要 6件です.
(公開予定は May 13, 2014 日本時間では14日の午前4時頃には英文サイトが確認できるはずです)、5月9日 08:00 JST 現在、日本語版の事前通知が出ていませんので Microsoft Security Response Center, MSRC にリンクしました.Advance Notification Service for the May 2014 Security Bulletin Release
 必須 Windows-KB890830-V5.12.exe 悪意のあるソフトウェアの削除ツール (KB890830) サポート終了後の WindowsXP でもこのツールが使えるようです.2014.05.09 以下の記述をマイクロソフトのページで確認しました

Microsoft Windows の 悪意のあるソフトウェアの削除ツール は、Windows 8、 Windows 7、Windows Vista 、Windows XP、Windows Server 2003 および Windows Server 2008 を実行するコンピューターにおいて、Blaster、Sasser、Mydoom などの特定の悪意のあるソフトウェア (マルウェア) をチェックして、検出された感染を除去します。

MS14-029 Internet Explorer 用のセキュリティ更新プログラム (2962482)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 1
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Windows、Internet Explorer
MS14-022 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2952166)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 2
 最大深刻度 : 緊急-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft サーバー ソフトウェア、プロダクティビティ ソフトウェア
MS14-023 Microsoft Office の脆弱性により、リモートでコードが実行される (2961037)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 3
 最大深刻度 : 重要-リモートでコードが実行される
 影響を受けるソフトウェア Microsoft Office
MS14-025 グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 4
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-026 .NET Framework の脆弱性により、特権が昇格される (2958732)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 5
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows、Microsoft .NET Framework
MS14-027 Windows シェル ハンドラーの脆弱性により、特権が昇格される (2962488)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 6
 最大深刻度 : 重要-特権の昇格
 影響を受けるソフトウェア Microsoft Windows
MS14-028 iSCSI の脆弱性により、サービス拒否が起こる (2962485)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 7
 最大深刻度 : 重要-サービス拒否
 影響を受けるソフトウェア Microsoft Windows
MS14-024 Microsoft コモン コントロールの脆弱性により、セキュリティ機能のバイパスが起こる (2961033)
 公開日: 2014年05月14日
(事前通知)
セキュリティ情報 識別名 セキュリティ情報 8
 最大深刻度 : 重要-セキュリティ機能のバイパス
 影響を受けるソフトウェア Microsoft Office
定例外の更新
MS14-021 Internet Explorer 用のセキュリティ更新プログラム (2965111)
 公開日: 2014年5月2日 バージョン: 1.0 
 最大深刻度 : 緊急-リモートでコードが実行される
(4月末からの問題についてマイクロソフト セキュリティ情報 日本語版が出ているのを確認しました)

2014年05月01日 10:05(米国時間)に Security Update Released to Address Recent Internet Explorer Vulnerability と記事が出ました.セキュリティ アドバイザリ 2963983 に対応するものです.
Description of the security update for Internet Explorer for systems that have security update 2929437 installed: May 1, 2014
KB2965111 MS14-021: Security update for Internet Explorer: May 1, 2014
Microsoft Security Bulletin MS14-021 Security Update for Internet Explorer (2965111) Published: May 1, 2014 Version: 1.0
このページで IE6 ~ IE11 までパッチがダウンロードできますが、私の手元のパソコンでは既に更新通知が表示されますのでそれぞれに処理を進めています.(2014.05.02 03:30 JST 記)

(2014年4月末の情報です)

Microsoft Security Advisory 2963983 Vulnerability in Internet Explorer Could Allow Remote Code Execution Published: April 26, 2014 Version: 1.0
マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される 公開日:2014年4月28日 バージョン: 1.0
日本のセキュリティチームからも告知、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

JPCERT 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 最終更新: 2014-04-28
JVNVU#92280347 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性  最終更新日:2014/04/28 Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在する
Vulnerability Summary for CVE-2014-1776 Use-after-free vulnerability in VGX.DLL in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors, as exploited in the wild in April 2014.
Weakness ID: 416 (Weakness Base) Use After Free、技術的な用語の解説が書かれています.
ここで出てきた VGX.DLL(Windows に内蔵されている Dynamic Link Library のひとつ)がポイントだと分かります.
Cisco Blog IE Zero Day and VGX.dll April 28, 2014 at 8:48 am PST

IE Zero Day Advisory from Microsoft は、IE の脆弱性は Flash Player に関わるものだと伝えていて、次の記事が参照されています
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks April 26, 2014

Adobe は ゼロデイ問題に対応してバージョンアップしました
APSB14-13 Security updates available for Adobe Flash Player Release date: April 28, 2014
2014年04月29日(日本時間)、Windows 用の Flash Player は 13.0.0.206 にアップデートされました.
Vulnerability Summary for CVE-2014-0515、問題については、Buffer overflow in Adobe Flash Player before 11.7.700.279 and 11.8.x through 13.0.x before 13.0.0.206 on Windows and OS X, and before 11.2.202.356 on Linux, allows remote attackers to execute arbitrary code via unspecified vectors, as exploited in the wild in April 2014.
New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks Posted April 28, 15:25 GMT、この記事を見ると Flash Player の問題は IE の問題とは別に指摘されたようです.

未だ内容の理解が不十分ですが、Internet Explorer の問題は Flash Player のアップデートでカバーされるものでは無いようです.とりあえずは Flash Player を更新しておき、Internet Explorer の使用には十分に注意するということでしょう.この記事は更新する予定の暫定版です.
Firefox ダウンロードページ、使いやすいブラウザは Internet Explorer だけでは無いことを、この機会に確認するのも良いかも知れません.

この記事はマイクロソフトWindows関係で月例公開の他は普通のユーザー(サーバー以外)に影響するセキュリティ脆弱性などの情報が出た時に更新します.
マイクロソフトのセキュリティ関係記事は「MSセキュリティリンク集」をご参照ください.