日本マイクロソフトは12月10日、12月の月例セキュリティ情報を公開した。11月に公開を見合わせていたExchange Serverの更新プログラムなど、計7件が公開されている。

7件のうち、深刻度が「緊急」に設定されているセキュリティ情報は3件、「重要」が4件となる。企業向けに公開されている適用優先度では、最優先の「1」のセキュリティ情報が2件となっているほか、脆弱性情報がネット上で公開されているものが1件ある。

深刻度「緊急」の3件は「MS14-080」と「MS14-081」「MS14-084」。このうち80と81が適用優先度「1」の更新プログラムとなる。

  • MS14-080

MS14-080はInternet Explorerの累積的なセキュリティ更新プログラム。脆弱性が攻撃者に悪用されるとリモートでコードが実行され、現在のユーザーと同じ権限が取得される可能性がある。

なお、影響を受けるソフトウェアは、現在サポートされているWindows上のInternet Explorer 6 / 7 / 8 / 9 / 10 / 11。Server OS向けのInternet Explorerについては、深刻度「警告」となっている。

  • MS14-081

MS14-081は、Microsoft WordとOffice Web Appsの脆弱性によって、リモートでコードが実行されるというもの。攻撃者が特別に細工したMicrosoft Wordファイルをユーザーに開かせるかプレビューさせた場合、リモートでコードが実行され、現在のユーザーと同じ権限が取得される可能性がある。

現在のユーザーが管理者ユーザー権限でログオンしている場合には、攻撃者がプログラムのインストールやデータの表示と変更、削除ができ、全てのユーザー権限を持つ新アカウントを作成できる可能性がある。

影響を受けるソフトウェアは、Microsoft Word 2007、Office 2010、Word 2010、Word 2013、Word 2013 RT、Office for Mac 2011、Word Viewer、Office 互換機能パック、Microsoft Sharepoint Server 2010 / 2013、Office Web Apps Server 2013。

  • MS14-084

MS14-084は、VBScript スクリプトエンジンの脆弱性によって、リモートでコードが実行されるというもの。攻撃者が特別に細工したWebページにユーザーがアクセスすると、リモートでコードが実行され、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性がある。

もし管理者ユーザー権限でログオンしている場合には、影響を受けるコンピューターが完全に制御され、プログラムのインストールやデータの表示と変更、削除ができるほか、完全なユーザー権限を持つ新たなアカウントを作成する可能性がある。

対象となるソフトウェアは、Windows Server 2003 / 2008 / 2008 R2とWindows Vista / 7上のVBScript 5.6 / 5.7 / 5.8。Windows Server上の影響を受けるバージョンのVBScriptスクリプトエンジンについては、深刻度が「警告」となっている。

  • その他

先月の月例更新で公開が見送られた「MS14-075」は、Exchange Serverの脆弱性によって特権が昇格されるというもの。また、MS14-085は、Microsoft Graphicsコンポーネントの脆弱性によって情報漏えいが起こるという。こちらは深刻度「重要」だが、脆弱性情報が一般に公開されている。

その他更新情報