日本マイクロソフトは1月15日、月例のセキュリティ情報を公開した。事前通知通り、最大深刻度は「重要」が4件のみで、「緊急」に設定されている修正パッチはなかった。
今回のセキュリティ情報は「MS14-001」~「MS14-004」の4件。特権の昇格が行われる脆弱性が2件と、リモートでコードが実行される脆弱性が1件、サービス拒否の脆弱性が1件となる。
MS14-001
MS14-001は、WordとOffice Web Appsのメモリ破損の脆弱性によって、リモートでコードが実行されてしまうというもの。攻撃者がこの脆弱性が悪用して、細工したファイルを開くと、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性がある。
影響を受けるソフトウェアは、Microsoft Word 2003 SP3 / 2007 SP3 / 2010 SP1、2 / 2013 / 2013 RT / 互換機能パック SP3 / Viewer、Microsoft SharePoint Server 2010 SP1、2 / 2013、Office Web Apps 2010 / 2013で、いずれも64ビット版を含む。なお、一部環境では再起動が必要。
MS14-002
MS14-002はWindowsカーネルの脆弱性によって、特権が昇格されるというもの。この脆弱性によって、攻撃者がPCにログオンして特別な細工をしたアプリケーションを実行した場合、特権が昇格される可能性がある。なお、この脆弱性は一般に公開されていた。
影響を受けるOSは、Windows XP SP3 / Professional x64 Edition SP2とWindows Server 2003 SP2 / x64 Edition SP2 / with SP2 for Itanium based Systems。こちらは全環境で再起動が必要。
MS14-003
MS14-003は、Windowsカーネルモード ドライバーの脆弱性によって特権が昇格されるというもの。この脆弱性は、ユーザーがシステムにログオンして、攻撃者によって細工されたアプリを実行した場合に、特権が昇格される可能性がある。
影響を受けるOSは、Windows 7 for 32-bit Systems SP1 / for x64-based Systems SP1とWindows Server 2008 R2 for x64-based Systems SP1 / for Itanium-based Systems SP1、Server CoreインストールオプションであるWindows Server 2008 R2 for x64-based Systems SP1となる。こちらも全環境で再起動が必要。
MS14-004
MS14-004は、Microsoft Dynamics AXの脆弱性によって、サービス拒否が起こるというもの。この脆弱性によって、攻撃者が認証されている特別に細工されたデータをMicrosoft Dynamics AX Application Object Server(AOS)インスタンスに送信した場合、サービス拒否が起こる可能性がある。
影響を受けるソフトウェアは、Microsoft Dynamics AX 4.0 SP2 / 2009 SP1 / 2012 / 2012 R2。こちらは一部環境で再起動が必要となる。