MS13-055の重要な更新プログラムは、 リモートコード実行など、Internet Explorerのすべてのバージョンに存在する脆弱性を排除することを目的としています。これは、バージョン6から始まり、最新のIE 10で終わります(すべてのWindows XP-8 ModerateなどのサーバーOSバージョン)。 別の重要な更新プログラムであるMS13-052は、リモートコード実行およびSilverlightの脆弱性に対処します。 NET Framework (すべてのOS Windows XP-8-RT、x32およびx64)。
同社は、LPE 0day脆弱性CVE-2013-3660( MS13-055 )の修正を発表しました。これについては、前回のパッチ火曜日の投稿で詳しく説明しました。
いくつかの更新のフレームワーク(MS13-052、MS13-053、MS13-054)で、同社は処理中にさまざまなコンポーネント( .NET Framework 、 SilverlightおよびWin32サブシステムドライバー-win32k.sys )のコードに存在する脆弱性CVE-2013-3129を修正します。 TrueTypeフォントファイル。 特別に細工されたTrueTypeファイルを開くと、システム内の任意のコードのリモート実行(RCE)が必要になる場合があります。 この場合、攻撃者は侵害されたシステムを完全に制御できます。
MS13-052は、 .NET FrameworkおよびMicrosoft Silverlight 5 (RCE)の7つの脆弱性を修正します 。 CVE-2013-3129、CVE-2013-3131、CVE-2013-3132、CVE-2013-3133、CVE-2013-3134、CVE-2013-3171、CVE-2013-3178。
MS13-053は、リモートコード実行および特権の昇格(RCE)など、OSカーネル( win32k.sys )の8つの脆弱性を修正します。 CVE-2013-1300、CVE-2013-1340、CVE-2013-1345、CVE-2013-3129、CVE-2013-3167、CVE-2013-3172、CVE-2013-3173、CVE-2013-3660
MS13-054は、OS自体、Office製品、Visual StudioおよびLync(RCE)でフォントファイルを処理する際の脆弱性CVE- 2013-3129を修正します。 コードを悪用する可能性があります。
MS13-055は 、メモリ破損(RCE)などのInternet Explorerの17の脆弱性を修正します。 攻撃者は、特別に細工されたWebページを介してシステム上で任意のコードをリモートで実行できます。 この更新プログラムはIEのすべてのバージョンに適用されます。
MS13-056は、 DirectShow OSコンポーネントのクロスプラットフォーム(XP-7)RCE脆弱性CVE-2013-3174を修正します。これは、特別に細工されたGIFイメージファイルを通じてサイバー犯罪者によって悪用される可能性があります。 コードを悪用する可能性があります。
MS13-057は、Windows Media Formatランタイムライブラリコンポーネント(wmvdecod.dll)のクロスプラットフォーム(XP-7-RT)RCE脆弱性CVE-2013-3127を修正します。 攻撃者は、Windows Mediaアプリケーション用に特別に細工されたファイルを介してこの脆弱性を悪用する可能性があります。 エクスプロイトコードを作成するのは難しいでしょう 。
MS13-058は、MS Defender(Windows 7リリース)の特権の昇格のような脆弱性CVE- 2013-3154を修正します。 CVE-2013-3154。 コードを悪用する可能性があります。
1- 悪用される可能性のあるコード
この脆弱性が悪用される可能性は非常に高く、攻撃者はこの悪用を使用して、たとえばリモートでコードを実行できます。
2- 悪用コードの構築は難しい
脆弱性の技術的特徴とエクスプロイト開発の複雑さだけでなく、攻撃者が持続可能なエクスプロイト状況を達成する可能性は低いため、エクスプロイトの可能性は平均です。
3- 悪用される可能性の低いコード
悪用される可能性は最小限であり、攻撃者は正常に機能するコードを開発し、この脆弱性を使用して攻撃を行うことはできません。
できるだけ早く更新プログラムをインストールすることをお勧めします。まだインストールしていない場合は、Windows Updateを使用して更新プログラムの自動配信を有効にします(このオプションは既定で有効になっています)。
安全である。