2014 年 1 月の Microsoft セキュリティ情報の概要
公開日: 2014 年 1 月 14 日
バージョン: 1.0
このセキュリティ情報の概要は、2014 年 1 月にリリースされたセキュリティ情報の一覧です。
2014 年 1 月のセキュリティ情報のリリースに伴い、このセキュリティ情報の概要は、2014 年 1 月 9 日に発行された事前通知に代わるものです。 セキュリティ情報の事前通知サービスの詳細については、Microsoft セキュリティ情報の事前通知を参照してください。
Microsoft セキュリティ情報が発行されるたびに自動通知を受け取る方法については、Microsoft テクニカル セキュリティ通知を参照してください。
Microsoft は、2014 年 1 月 15 日午前 11 時 (太平洋時間) (米国およびカナダ) に関するお客様の質問に対処するための Web キャストをホストしています。 1 月のセキュリティ情報 Web キャストに今すぐ登録します。
また、Microsoft は、毎月のセキュリティ更新プログラムと同じ日にリリースされるセキュリティ以外の更新プログラムを使用して、毎月のセキュリティ更新プログラムに優先順位を付けるために役立つ情報も提供します。 「その他の情報」セクションを参照してください。
役員の概要
次の表は、今月のセキュリティ情報を重大度順にまとめたものです。
影響を受けるソフトウェアの詳細については、次のセクション 「影響を受けるソフトウェア」を参照してください。
| セキュリティ情報 ID | セキュリティ情報のタイトルと役員の概要 | 重大度の最大評価と脆弱性への影響 | 再起動の要件 | 影響を受けるソフトウェア |
|---|---|---|---|---|
| MS14-001 | Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2916605)\ \ このセキュリティ更新プログラムは、Microsoft Office で非公開で報告された 3 つの脆弱性を解決します。 この脆弱性により、影響を受けるバージョンの Microsoft Word またはその他の影響を受ける Microsoft Office ソフトウェアで特別に細工されたファイルが開かれた場合、リモートでコードが実行される可能性があります。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。 | 重要 \ リモート コード実行 | 再起動が必要な場合があります | Microsoft Office,\ Microsoft Server Software |
| MS14-002 | Windows カーネルの脆弱性により、特権の昇格 (2914368)\ \ このセキュリティ更新プログラムは、Microsoft Windows で公開されている脆弱性を解決します。 この脆弱性により、攻撃者がシステムにログオンし、特別に細工されたアプリケーションを実行した場合、特権が昇格される可能性があります。 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を持ち、ローカルでログオンできる必要があります。 | 重要 \ 特権の昇格 | 再起動が必要 | Microsoft Windows |
| MS14-003 | Windows カーネル モード ドライバーの脆弱性により、特権の昇格 (2913602)\ \ このセキュリティ更新プログラムは、Microsoft Windows で非公開で報告された脆弱性を解決します。 この脆弱性により、ユーザーがシステムにログオンし、特別に細工されたアプリケーションを実行した場合、特権が昇格される可能性があります。 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を持ち、ローカルでログオンできる必要があります。 | 重要 \ 特権の昇格 | 再起動が必要 | Microsoft Windows |
| MS14-004 | Microsoft Dynamics AX の脆弱性により、サービス拒否 (2880826)\ \ このセキュリティ更新プログラムは、Microsoft Dynamics AX で非公開で報告された 1 つの脆弱性を解決します。 この脆弱性により、認証された攻撃者が、影響を受ける Microsoft Dynamics AX アプリケーション オブジェクト サーバー (AOS) インスタンスに特別に細工されたデータを送信した場合、サービス拒否が起こる可能性があります。 攻撃者がこの脆弱性を悪用すると、ターゲット AOS インスタンスがクライアント要求への応答を停止する可能性があります。 | 重要 \ サービス拒否 | 再起動が必要な場合があります | Microsoft Dynamics AX |
Exploitability Index
次の表は、今月対処された各脆弱性の悪用可能性評価を示しています。 脆弱性は、セキュリティ情報 ID と CVE ID の順に一覧表示されます。 セキュリティ情報に含まれるのは、重大度レーティングが [重大] または [重要] である脆弱性のみです。
このテーブル操作方法使用しますか?
この表を使用して、セキュリティ情報のリリースから 30 日以内に、インストールが必要になる可能性がある各セキュリティ更新プログラムについて、コードの実行とサービス拒否の悪用の可能性について説明します。 特定の構成に従って、以下の各評価を確認して、今月の更新プログラムのデプロイに優先順位を付けます。 これらの評価の意味と決定方法の詳細については、Microsoft Exploitability Index を参照してください。
以下の列では、"最新のソフトウェア リリース" は対象ソフトウェアを指し、"古いソフトウェア リリース" は、このセキュリティ情報の「影響を受けるソフトウェア」および「影響を受けるソフトウェア以外のソフトウェア」の表に記載されているように、対象ソフトウェアのサポートされているすべての古いリリースを指します。
| セキュリティ情報 ID | 脆弱性のタイトル | CVE ID | 最新のソフトウェア リリースの悪用可能性評価 | 以前のソフトウェア リリースの悪用可能性評価 | サービス拒否の悪用可能性評価 | 主な注意事項 |
|---|---|---|---|---|---|---|
| MS14-001 | Word メモリ破損の脆弱性 | CVE-2014-0258 | 影響を受けず | 1 - 悪用コードの可能性 | 適用なし | (なし) |
| MS14-001 | Word メモリ破損の脆弱性 | CVE-2014-0259 | 影響を受けず | 1 - 悪用コードの可能性 | 適用なし | (なし) |
| MS14-001 | Word メモリ破損の脆弱性 | CVE-2014-0260 | 1 - 悪用コードの可能性 | 1 - 悪用コードの可能性 | 適用なし | (なし) |
| MS14-002 | カーネル NDProxy の脆弱性 | CVE-2013-5065 | 影響を受けず | 1 - 悪用コードの可能性 | 適用なし | この脆弱性は一般に公開されています。\ \ Microsoft は、この脆弱性を悪用しようとする限定的な標的型攻撃を認識しています。 |
| MS14-003 | Win32k ウィンドウ ハンドルの脆弱性 | CVE-2014-0262 | 影響を受けず | 1 - 悪用コードの可能性 | 永久 | (なし) |
| MS14-004 | クエリ フィルターの DoS の脆弱性 | CVE-2014-0261 | 3 - コードを悪用する可能性は低い | 3 - コードを悪用する可能性は低い | 永久 | これはサービス拒否の脆弱性です。 |
影響を受けるソフトウェア
次の表に、主要なソフトウェア カテゴリと重大度の順にセキュリティ情報を示します。
これらのテーブル操作方法使用しますか?
これらのテーブルを使用して、インストールが必要になる可能性があるセキュリティ更新プログラムについて説明します。 一覧表示されている各ソフトウェア プログラムまたはコンポーネントを確認して、セキュリティ更新プログラムがインストールに関連しているかどうかを確認する必要があります。 ソフトウェア プログラムまたはコンポーネントが一覧表示されている場合は、ソフトウェア更新プログラムの重大度評価も一覧表示されます。
注: 1 つの脆弱性に対して複数のセキュリティ更新プログラムをインストールする必要がある場合があります。 システムにインストールしたプログラムまたはコンポーネントに基づいて、インストールする必要がある更新プログラムを確認するために一覧表示されている各セキュリティ情報識別子の列全体を確認します。
Windows オペレーティング システムとコンポーネント
| Windows XP | ||
|---|---|---|
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | 重要 | なし |
| Windows XP Service Pack 3 | Windows XP Service Pack 3 (2914368) (重要) | 適用なし |
| Windows XP Professional x64 Edition Service Pack 2 | Windows XP Professional x64 Edition Service Pack 2 (2914368) (重要) | 適用なし |
| Windows Server 2003 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | 重要 | なし |
| Windows Server 2003 Service Pack 2 | Windows Server 2003 Service Pack 2 (2914368) (重要) | 適用なし |
| Windows Server 2003 x64 Edition Service Pack 2 | Windows Server 2003 x64 Edition Service Pack 2 (2914368) (重要) | 適用なし |
| Itanium ベースのシステム用 Windows Server 2003 SP2 | Itanium ベース システム用 Windows Server 2003 SP2 (2914368) (重要) | 適用なし |
| Windows Vista | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | なし |
| Windows Vista Service Pack 2 | 適用なし | 適用なし |
| Windows Vista x64 Edition Service Pack 2 | 適用なし | 適用なし |
| Windows Server 2008 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | なし |
| Windows Server 2008 for 32 ビット システム Service Pack 2 | 適用なし | 適用なし |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 | 適用なし | 適用なし |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 | 適用なし | 適用なし |
| Windows 7 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | 重要 |
| Windows 7 for 32 ビット システム Service Pack 1 | 適用なし | Windows 7 for 32 ビット システム Service Pack 1 (2913602) (重要) |
| Windows 7 for x64 ベースのシステム Service Pack 1 | 適用なし | Windows 7 for x64 ベースのシステム Service Pack 1 (2913602) (重要) |
| Windows Server 2008 R2 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | 重要 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 | 適用なし | x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (2913602) (重要) |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 | 適用なし | Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 (2913602) (重要) |
| Windows 8 および Windows 8.1 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | なし |
| Windows 8 for 32 ビット システム | 適用なし | 適用なし |
| Windows 8 for x64 ベースのシステム | 適用なし | 適用なし |
| 32 ビット システム用 Windows 8.1 | 適用なし | 適用なし |
| x64 ベースシステム用 Windows 8.1 | 適用なし | 適用なし |
| Windows Server 2012 および Windows Server 2012 R2 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | なし |
| Windows Server 2012 | 適用なし | 適用なし |
| Windows Server 2012 R2 | 適用なし | 適用なし |
| Windows RT および Windows RT 8.1 | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | なし |
| Windows RT | 適用なし | 適用なし |
| Windows RT 8.1 | 適用なし | 適用なし |
| Server Core のインストール オプション | ||
| セキュリティ情報識別子 | MS14-002 | MS14-003 |
| 重大度の評価の集計 | なし | 重要 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) | 適用なし | 適用なし |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) | 適用なし | 適用なし |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) | 適用なし | x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) (2913602) (重要) |
| Windows Server 2012 (Server Core のインストール) | 適用なし | 適用なし |
| Windows Server 2012 R2 (Server Core のインストール) | 適用なし | 適用なし |
Microsoft Office スイートとソフトウェア
| Microsoft Office 2003 | |
|---|---|
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office 2003 Service Pack 3 | Microsoft Word 2003 Service Pack 3 (2863866) (重要) |
| Microsoft Office 2007 | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office 2007 Service Pack 3 | Microsoft Word 2007 Service Pack 3 (2837617) (重要) |
| Microsoft Office 2010 | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office 2010 Service Pack 1 (32 ビット エディション) | Microsoft Word 2010 Service Pack 1 (32 ビット エディション) (2863902) (重要) |
| Microsoft Office 2010 Service Pack 1 (32 ビット エディション) | Microsoft Word 2010 Service Pack 1 (32 ビット エディション) (2863901) (重要) |
| Microsoft Office 2010 Service Pack 2 (32 ビット エディション) | Microsoft Word 2010 Service Pack 2 (32 ビット エディション) (2863902) (重要) |
| Microsoft Office 2010 Service Pack 2 (32 ビット エディション) | Microsoft Word 2010 Service Pack 2 (32 ビット エディション) (2863901) (重要) |
| Microsoft Office 2010 Service Pack 1 (64 ビット エディション) | Microsoft Word 2010 Service Pack 1 (64 ビット エディション) (2863902) (重要) |
| Microsoft Office 2010 Service Pack 1 (64 ビット エディション) | Microsoft Word 2010 Service Pack 1 (64 ビット エディション) (2863901) (重要) |
| Microsoft Office 2010 Service Pack 2 (64 ビット エディション) | Microsoft Word 2010 Service Pack 2 (64 ビット エディション) (2863902) (重要) |
| Microsoft Office 2010 Service Pack 2 (64 ビット エディション) | Microsoft Word 2010 Service Pack 2 (64 ビット エディション) (2863901) (重要) |
| Microsoft Office 2013 および Microsoft Office 2013 RT | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office 2013 (32 ビット エディション) | Microsoft Word 2013 (32 ビット エディション) (2827224) (重要) |
| Microsoft Office 2013 (32 ビット エディション) | Microsoft Word 2013 (32 ビット エディション) (Word PIA) (2863834) (重要) |
| Microsoft Office 2013 (64 ビット エディション) | Microsoft Word 2013 (64 ビット エディション) (2827224) (重要) |
| Microsoft Office 2013 (64 ビット エディション) | Microsoft Word 2013 (64 ビット エディション) (Word PIA) (2863834) (重要) |
| Microsoft Office 2013 RT | Microsoft Word 2013 RT (2827224) (重要) |
| その他の Office ソフトウェア | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office 互換機能パック Service Pack 3 | Microsoft Office Compatibility Pack Service Pack 3 (2837615) (重要) |
| Microsoft Word ビューアー | Microsoft Word ビューアー (2863867) (重要) |
MS14-001 の注意事項
このセキュリティ情報は、複数のソフトウェア カテゴリにまたがっています。 影響を受けるその他のソフトウェアについては、このセクションの他の表を参照してください。
Microsoft Office Services と Web Apps
| Microsoft SharePoint Server 2010 | |
|---|---|
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft SharePoint Server 2010 Service Pack 1 | Word Automation Services (2837577) (重要) |
| Microsoft SharePoint Server 2010 Service Pack 2 | Word Automation Services (2837577) (重要) |
| Microsoft SharePoint Server 2013 | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft SharePoint Server 2013 | Word Automation Services (2837625) (重要) |
| Microsoft Office Web Apps 2010 | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office Web Apps 2010 Service Pack 1 | Microsoft Web Applications 2010 Service Pack 1 (2837596) (重要) |
| Microsoft Office Web Apps 2010 Service Pack 2 | Microsoft Web Applications 2010 Service Pack 2 (2837596) (重要) |
| Microsoft Office Web Apps 2013 | |
| セキュリティ情報識別子 | MS14-001 |
| 重大度の評価の集計 | 重要 |
| Microsoft Office Web Apps 2013 | Microsoft Office Web Apps Server 2013 (2863879) (重要) |
MS14-001 の注意事項
このセキュリティ情報は、複数のソフトウェア カテゴリにまたがっています。 影響を受けるその他のソフトウェアについては、このセクションの他の表を参照してください。
Microsoft Enterprise Resource Planning (ERP) ソリューション
| Microsoft Dynamics AX 4.0 | |
|---|---|
| セキュリティ情報識別子 | MS14-004 |
| 重大度の評価の集計 | 重要 |
| Microsoft Dynamics AX 4.0 Service Pack 2 | Microsoft Dynamics AX 4.0 Service Pack 2 (2920510) (重要) |
| Microsoft Dynamics AX 2009 | |
| セキュリティ情報識別子 | MS14-004 |
| 重大度の評価の集計 | 重要 |
| Microsoft Dynamics AX 2009 Service Pack 1 | Microsoft Dynamics AX 2009 Service Pack 1 (2914058) (重要) |
| Microsoft Dynamics AX 2012 および Microsoft Dynamics AX 2012 R2 | |
| セキュリティ情報識別子 | MS14-004 |
| 重大度の評価の集計 | 重要 |
| Microsoft Dynamics AX 2012 | Microsoft Dynamics AX 2012 (2914055) (重要) |
| Microsoft Dynamics AX 2012 R2 | Microsoft Dynamics AX 2012 R2 (2914057) (重要) |
検出と展開のツールとガイダンス
管理者がセキュリティ更新プログラムをデプロイするのに役立つリソースがいくつかあります。
- Microsoft Baseline Security Analyzer (MB (メガバイト)SA) を使用すると、管理者はローカル システムとリモート システムをスキャンして、不足しているセキュリティ更新プログラムや一般的なセキュリティ構成の誤りを確認できます。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager は、管理者がセキュリティ更新プログラムを配布するのに役立ちます。
- Application Compatibility Toolkit に含まれる Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows 更新プログラムのテストと検証を合理化する上で役立ちます。
これらのツールと使用可能なその他のツールの詳細については、「IT 担当者向けのセキュリティ ツール」を参照してください。
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
MS14-001
- Word のメモリ破損の脆弱性を報告するための Google セキュリティ チームの Mateusz Jurczyk、Hive Fratric、Ben Hawkes (CVE-2014-0258)
- Word のメモリ破損の脆弱性を報告するための Google セキュリティ チームの Mateusz Jurczyk、Hive Fratric、Ben Hawkes (CVE-2014-0259)
- Word のメモリ破損の脆弱性を報告するための Google セキュリティ チームの Mateusz Jurczyk、Hive Fratric、Ben Hawkes (CVE-2014-0260)
MS14-002
- FireEye, Inc. カーネル NDProxy の脆弱性 (CVE-2013-5065)
MS14-003
- Win32k のウィンドウ ハンドルの 脆弱性を報告するための Qihoo の小洪市 (CVE-2014-0262)
MS14-004
- Andrey Maykov、FTO プロジェクトのリード デベロッパー、クエリ フィルターの DoS の脆弱性を報告する (CVE-2014-0261)
その他の情報
Microsoft Windows 悪意のあるソフトウェア削除ツール
毎月第 2 火曜日に発生するセキュリティ情報リリースでは、Microsoft は、Windows Update、Microsoft Update、Windows Server Update Services、ダウンロード センターの Microsoft Windows 悪意のあるソフトウェア削除ツールの更新バージョンをリリースしました。 帯域外セキュリティ情報のリリースでは、Microsoft Windows 悪意のあるソフトウェア削除ツールの更新バージョンは利用できません。
MU、WU、WSUS でのセキュリティ以外の更新
Windows Update および Microsoft Update のセキュリティ以外のリリースについては、次を参照してください。
- Microsoft サポート技術情報の記事 894199: コンテンツのソフトウェア更新サービスと Windows Server Update Services の変更点について説明します。 すべての Windows コンテンツが含まれます。
- Windows Server Update Services の過去 1 か月間の更新。 Microsoft Windows 以外の Microsoft 製品の新しい更新プログラム、改訂された更新プログラム、および再リリースされた更新プログラムがすべて表示されます。
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
セキュリティ戦略とコミュニティ
更新管理戦略
Update Management のセキュリティ ガイダンスには、セキュリティ更新プログラムを適用するための Microsoft のベスト プラクティスに関する推奨事項に関する追加情報が記載されています。
その他のセキュリティ 更新の取得
その他のセキュリティの問題の更新は、次の場所から入手できます。
- セキュリティ更新プログラムは、Microsoft ダウンロード センターから入手できます。 "セキュリティ更新プログラム" のキーワード (keyword)検索を実行すると、最も簡単に見つけることができます。
- コンシューマー プラットフォームの更新は、Microsoft Update。
- Windows Update で今月提供されるセキュリティ更新プログラムは、セキュリティおよびクリティカル リリース ISO CD イメージ ファイルのダウンロード センターから入手できます。 詳細については、マイクロソフト サポート技術情報の記事913086を参照してください。
IT プロフェッショナル セキュリティ コミュニティ
セキュリティを強化し、IT インフラストラクチャを最適化し、IT Pro Security Community のセキュリティ トピックに関する他の IT 担当者と参加する方法について説明します。
サポート
- 影響を受けるソフトウェアは、影響を受けるバージョンを特定するためにテストされています。 その他のバージョンは、サポートライフサイクルを過ぎている。 ソフトウェアバージョンのサポートライフサイクルを決定するには、Microsoft サポートライフサイクルにアクセスしてください。
- IT プロフェッショナル向けのセキュリティ ソリューション: TechNet セキュリティのトラブルシューティングとサポート
- ウイルスやマルウェアから Windows を実行しているコンピューターを保護する: ウイルス ソリューションとセキュリティ センター
- お住まいの国に応じた現地サポート: 国際サポート
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2014 年 1 月 14 日): セキュリティ情報の概要が公開されました。
Page generated 2014-05-08 13:13Z-07:00.