マイクロソフトは2013年1月のセキュリティ情報

マイクロソフトは2013年1月にグローバルユーザーを対象とした最初のセキュリティ情報7件を発表しました。このうち2件は最高レベルの深刻度です。 Windows、Office、開発者用ツール、サーバーソフトウェア、その他の製品が含まれます。

1. WindowsのPrint Spoolerコンポーネントの脆弱性により、リモートでコードが実行される可能性がありますセキュリティ情報：MS13-001レベル：深刻度サポート技術情報番号：KB2769369要約：このセキュリティ更新プログラムは非公開で報告されたWindowsにおける脆弱性を解決します。プリントサーバーが特別に細工された印刷ジョブを受信した場合、この脆弱性によりリモートでコードが実行される可能性があります。ファイアウォールのベストプラクティスと標準のデフォルトのファイアウォール構成は、企業外からの攻撃からネットワークを保護するのに役立ちます。ベストプラクティスとして、インターネットに直接接続されているシステムによって公開されるポートの数はできるだけ少なくする必要があります。影響システム：Windows 7、Windows Server 2008 R2

2、Microsoft XMLコアサービスの脆弱性により、リモートでコードが実行される可能性があります。セキュリティ情報：MS13-002レベル：緊急サポート技術情報番号：KB2756145要約：このセキュリティ更新プログラムは解決されました2件の非公開で報告されたMicrosoft XMLコアサービスにおける脆弱性。ユーザーがInternet Explorerを使用して特別に細工されたWebページを閲覧した場合、すべての脆弱性によりリモートでコードが実行される可能性があります。しかし、攻撃者はそのようなWebサイトにユーザーを強制的に訪問させることはできません。代わりに、攻撃者は通常、ユーザーに攻撃者のWebサイトにリンクさせるために電子メールまたはインスタントメッセンジャーメッセージ内のリンクをクリックさせることによって、ユーザーにそのサイトにアクセスするように誘導する必要があります。影響を受けるシステム：Windows XP、Windows Vista、Windows 7、Windows 8、およびWindows RT

3、System Center Operations Managerの脆弱性により、特権が昇格される可能性があります。セキュリティ情報：MS13-003レベル：重要：サポート技術情報番号：KB2748552概要：このセキュリティ更新プログラムは非公開で報告された2つのMicrosoft System Center Operations Managerに存在する脆弱性を解決します。これらの脆弱性により、ユーザーが特別に細工されたURLを介して影響を受けるWebサイトにアクセスした場合、特権が昇格される可能性があります。しかし、攻撃者はそのようなWebサイトにユーザーを強制的に訪問させることはできません。代わりに、攻撃者は通常、電子メールまたはインスタントメッセンジャーのメッセージ内のリンクをクリックして、影響を受けるサイトにユーザーをリンクさせることによって、ユーザーにそのサイトにアクセスするよう仕向ける必要があります。影響を受けるソフトウェア：Microsoft System Center Operations Manager 2007

4. .NET Frameworkの脆弱性により、特権が昇格される可能性があるセキュリティ情報：MS13-004レベル：重要なKB Q：KB2769324概要：このセキュリティ更新プログラムは.NETを解決しますフレームワークにおける4つの密かに報告された脆弱性これらの最も深刻な脆弱性は、XAMLブラウザアプリケーション（XBAP）を実行できるWebブラウザを使用して、特別に細工されたWebページをユーザーが表示した場合に特権の昇格を許します。 Windows .NETアプリケーションもこの脆弱性を利用してコードアクセスセキュリティ（CAS）の制限を回避する可能性があります。攻撃者がこれらの脆弱性を悪用した場合、ログインしたユーザーと同じユーザー権限を取得する可能性があります。アカウントのシステムユーザー権限が少なくなるように構成されているユーザーは、管理ユーザー権限を持つユーザーよりも影響が少なくなります。影響を受けるソフトウェア：.NET Framework 1.0、.NET Framework 1.1、.NET Framework 2.0、.NET Framework 3.5、.NET Framework 3.5.1、.NET Framework 4、および.NET Framework 4.5

5、Windowsカーネルモードドライバーの脆弱性により、特権が昇格される可能性があります。セキュリティ情報：MS13-005レベル：重要なKBコンテンツ：KB2778930要約：このセキュリティ更新プログラムは非公開で報告されたMicrosoft Windowsに存在する1件の脆弱性を解決します。攻撃者が特別に細工したアプリケーションを実行した場合、この脆弱性により特権が昇格される可能性があります。影響システム：Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、およびWindows RT

6. Microsoft Windowsの脆弱性により、セキュリティ機能がバイパスされる可能性があります。 -006レベル：重要なKBの内容：KB2785220要約：このセキュリティ更新プログラムは非公開で報告されたMicrosoft WindowsのSSLおよびTLS実装に存在する脆弱性を解決します。攻撃者が暗号化されたWeb通信ハンドシェイクを傍受すると、この脆弱性によりセキュリティ機能がバイパスされる可能性があります。影響システム：Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、およびWindows RT

7.オープンデータプロトコルの脆弱性により、サービス拒否が起こる可能性があります。セキュリティ情報：MS13- 007レベル：重要なナレッジベース番号：KB2769327概要：このセキュリティ更新プログラムは非公開で報告されたOpen Data（OData）プロトコルに存在する脆弱性を解決します。認証されていない攻撃者が特別に細工したHTTP要求を影響を受けるWebサイトに送信した場合、この脆弱性によりサービス拒否が起こる可能性があります。ファイアウォールのベストプラクティスと標準のデフォルトのファイアウォール構成は、企業外からの攻撃からネットワークを保護するのに役立ちます。ベストプラクティスとして、インターネットに接続されているシステムに公開されているポートの数をできるだけ少なくします。影響を受けるソフトウェア：.NET Framework 3.5、.NET Framework 3.5、.NET Framework 3.5.1、および.NET Framework 4