マイクロソフトは、製品の脆弱性の修正を目的とした一連の更新プログラムのリリースを発表しました。 プレリリース(5月9日)の
前半で発表され
たセキュリティ修正プログラムは33の固有の脆弱性をカバーします(クリティカルステータスの2つの修正と重要なステータスの8つの修正)。 詳細レポート(CVE IDによる修正の修正を含む)は、
ここにあります 。 前の月と同様に、更新プログラムは
Internet Explorerの 重大な脆弱性を修正することを目的としており、タイプは
リモートコード実行です。 これらのアップデートの1つは、ブラウザのすべてのバージョンの脆弱性を閉じます。6番目のバージョンから最新のIE 10で終わります。別の重要な修正は、IE 8の欠陥を閉じることを目的としています。悪意のあるコードのその後の配信。 IEパッチを適用するには、再起動が必要です。
重要な更新プログラムの1つ(
MS13-037 )は、Internet Explorer(バージョン6〜10)の10個の脆弱性を修正します。 これらの脆弱性を悪用するには、ブラウザーコードがメモリ内の既に削除されたオブジェクトにアクセスするときに
解放後使用の手法が使用されます。これにより、現在のユーザーのコンテキストでメモリが破損し、任意のコードが実行される可能性があります。 これらには、CVE-2013-0811、CVE-2013-1306、CVE-2013-1307、CVE-2013-1308、CVE-2013-1309、CVE-2013-1310、CVE-2013-1311、CVE-2013-が含まれます1312、CVE-2013-1313、CVE-2013-2551。
別の重要な更新プログラム(
MS13-038 )は、IE専用の解放後使用方法によって悪用される脆弱性も修正します。 この脆弱性の悪用は、米国政府機関への攻撃で使用されたため、この脆弱性は
野生で悪用されています。
5月8日にMicrosoftがIE8の脆弱性を修正する
ための特別なツールFix Itツールを
リリースしたことに注意してください。
2つの重要な更新プログラムは、カーネルモードドライバーの脆弱性を修正することを目的としています。
MS13-039は、Windows 8、Server 2012、RT用のhttp.sysドライバーでCVE-2013-1305の修正を規制し、
サービス拒否タイプです。 この脆弱性は、一部のHTTPヘッダーを誤って処理するドライバーコードに存在します。 その結果、HTTPヘッダーがhttp.sysドライバーに配信されるときに、攻撃者はHTTPヘッダーの処理プロセスで無限ループを引き起こす可能性があり、これはサーバーとクライアントの両方にとって深刻な問題です。
カーネルモードドライバーの2番目の重要な更新(
MS13-046 )は、DirectXドライバー(dxgkrnl.sys)やWindowsサブシステムドライバー(win32k.sys)などのコンポーネントに関連しています。 dxgkrnl.sysの場合、タイプ
Elevation of Privelegeであり、メモリ内のオブジェクトを使用したドライバーコードの不正な操作に関する脆弱性CVE-2013-1332の修正について話します。 これらの脆弱性は、Windows XPからWindows 8、Server 2012およびRTまでのOSのすべてのバージョンに存在します。 win32k.sysの場合、脆弱性CVE-2013-1333およびCVE-2013-1334について説明しています。これらの脆弱性は、タイプ
Elevation of Privelegeでもあります。
一般に、修正プログラムは
Microsoft Windows 、
Officeなどの製品に焦点を当てています
。 NET Framework 、
Windows Essentials、および
Microsoft Lync 。
できるだけ早く更新プログラムをインストールすることをお勧めします。まだインストールしていない場合は、Windows Updateを使用して更新プログラムの自動配信を有効にします(このオプションは既定で有効になっています)。
アドビは、
ColdFusion (ホットフィックス)、
Adobe Flash Player 、
Adobe Reader、および
Acrobatの製品のアップデートをリリースしました。
Adobe Flash Playerの更新により、任意のコードの実行につながる可能性のある合計13の脆弱性が
修正されます。
ユーザーがブラウザで使用しているFlash Playerのバージョンのチェックを使用することをお勧めします。これには、オフィシャルを使用できます。 Adobeソースは
こちらまたは
こちら 。 Google ChromeやInternet Explorer 10などのブラウザーは、Flash Playerの新しいバージョンのリリースで自動的に更新されることに注意してください。 この
リンクでブラウザのFlashアップデート情報を取得できます。
ブラウザ用のFlash Playerの現在のバージョン:
Adobe ReaderおよびAcrobatの更新により
27の脆弱性が解決されます 。これらのほとんどは、特別に細工されたPDFを表示したときに任意のコードが実行される可能性があります。 これらには、CVE-2013-2718、CVE-2013-2719、CVE-2013-2720、CVE-2013-2721、CVE-2013-2722、CVE-2013-2723、CVE-2013-2725、CVE-2013-が含まれます2726、CVE-2013-2731、CVE-2013-2732、CVE-2013-2734、CVE-2013-2735、CVE-2013-2736、CVE-2013-3337、CVE-2013-3338、CVE-2013-3339、 CVE-2013-3340、CVE-2013-3341。
更新の1つは、Adobe Readerでサンドボックスモードをバイパスするために使用される可能性のある
解放後使用の脆弱性(CVE-2013-2550)に対処します。 スタックオーバーフロー(CVE-2013-2724)およびメモリバッファー(CVE-2013-2730、CVE-2013-2733)につながる脆弱性も修正の対象です。
更新するソフトウェアバージョン。
Adobe ReaderおよびAcrobatユーザーには自動更新機能があります。 手動で更新するには、この
推奨事項を使用してください。
ColdFusionの場合、ホットフィックスは2つの脆弱性CVE-2013-1389およびCVE-2013-3336を修正することを目的としています。
脆弱性CVE-2013-3336は、許可されていないユーザーがリモートサーバーからファイルを受信することを許可します。さらに、この脆弱性は
野生で悪用されています。つまり、この脆弱性はすでにサイバー犯罪者によって悪用されています。
安全である。