マイクロソフト セキュリティ情報 MS14-071 - 重要

Windows オーディオ サービスの脆弱性により、特権が昇格される (3005607)

公開日: 2014 年 11 月 12 日

バージョン:1.0

このセキュリティ更新プログラムは、非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、アプリケーションがマイクロソフトの Windows オーディオ サービスを使用している場合、特権が昇格される可能性があります。この脆弱性だけでは、任意のコードが実行されることはありません。この脆弱性は、リモートでコードが実行される可能性がある別の脆弱性と組み合わせて使用される必要があります。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT および Windows RT 8.1 について深刻度を「重要」と評価しています。詳細については、影響を受けるソフトウェアのセクションを参照してください。

このセキュリティ更新プログラムは、マイクロソフトの Windows オーディオ サービス コンポーネントに追加のアクセス許可の検証を追加することで、この脆弱性を解決します。この脆弱性の詳細については、特定の脆弱性のよく寄せられる質問 (FAQ) サブセクションを参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報 3005607を参照してください。

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、マイクロソフト サポート ライフ サイクルを参照してください。

影響を受けるソフトウェア 

オペレーティング システム

最も深刻な脆弱性の影響

総合的な深刻度

置き換えられる更新プログラム

Windows Vista

Windows Vista Service Pack 2
(3005607)

特権の昇格

重要

なし

Windows Vista x64 Edition Service Pack 2
(3005607)

特権の昇格

重要

なし

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2
(3005607)

特権の昇格

重要

なし

Windows Server 2008 for x64-based Systems Service Pack 2
(3005607)

特権の昇格

重要

なし

Windows Server 2008 for Itanium-based Systems Service Pack 2
(3005607)

特権の昇格

重要

なし

Windows 7

Windows 7 for 32-bit Systems Service Pack 1
(3005607)

特権の昇格

重要

なし

Windows 7 for x64-based Systems Service Pack 1
(3005607)

特権の昇格

重要

なし

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1
(3005607)

特権の昇格

重要

なし

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
(3005607)

特権の昇格

重要

なし

Windows 8 および Windows 8.1

Windows 8 for 32-bit Systems
(3005607)

特権の昇格

重要

なし

Windows 8 for x64-based Systems
(3005607)

特権の昇格

重要

なし

Windows 8.1 for 32-bit Systems
(3005607)

特権の昇格

重要

なし

Windows 8.1 for x64-based Systems
(3005607)

特権の昇格

重要

なし

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012
(3005607)

特権の昇格

重要

なし

Windows Server 2012 R2
(3005607)

特権の昇格

重要

なし

Windows RT および Windows RT 8.1

Windows RT[1]
(3005607)

特権の昇格

重要

なし

Windows RT 8.1[1]
(3005607)

特権の昇格

重要

なし

[1]この更新プログラムはWindows Updateを通じてのみ入手可能です。

 

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、11 月のセキュリティ情報の概要の Exploitability Index を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響

影響を受けるソフトウェア

Windows オーディオ サービスの脆弱性 CVE-2014-6322

総合的な深刻度

Windows Vista

Windows Vista Service Pack 2
(3005607)

重要 
特権の昇格

重要

Windows Vista x64 Edition Service Pack 2
(3005607)

重要 
特権の昇格

重要

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2
(3005607)

重要 
特権の昇格

重要

Windows Server 2008 for x64-based Systems Service Pack 2
(3005607)

重要 
特権の昇格

重要

Windows Server 2008 for Itanium-based Systems Service Pack 2
(3005607)

重要 
特権の昇格

重要

Windows 7

Windows 7 for 32-bit Systems Service Pack 1
(3005607)

重要 
特権の昇格

重要

Windows 7 for x64-based Systems Service Pack 1
(3005607)

重要 
特権の昇格

重要

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1
(3005607)

重要 
特権の昇格

重要

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
(3005607)

重要 
特権の昇格

重要

Windows 8 および Windows 8.1

Windows 8 for 32-bit Systems
(3005607)

重要 
特権の昇格

重要

Windows 8 for x64-based Systems 8
(3005607)

重要 
特権の昇格

重要

Windows 8.1 for 32-bit Systems
(3005607)

重要 
特権の昇格

重要

Windows 8.1 for x64-based Systems
(3005607)

重要 
特権の昇格

重要

Windows Server 2012 および Windows Server 2012 R2

Windows Server 2012
(3005607)

重要 
特権の昇格

重要

Windows Server 2012 R2
(3005607)

重要 
特権の昇格

重要

Windows RT および Windows RT 8.1

Windows RT
(3005607)

重要 
特権の昇格

重要

Windows RT 8.1
(3005607)

重要 
特権の昇格

重要

 

Windows オーディオ サービス コンポーネントに特権の昇格の脆弱性が存在します。この脆弱性は、マイクロソフトの Windows オーディオ サービスが、特定の条件下でアクセス許可を不適切に検証し、昇格された特権でのスクリプト実行を許可してしまう場合に発生します。マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。このセキュリティ情報公開時に、マイクロソフトはこの脆弱性がお客様の攻撃に使用されていたことを示す情報は受けていません。この更新プログラムは、Microsoft Windows オーディオ サービス コンポーネントに追加のアクセス許可の検証を追加することでこの脆弱性を解決します。

問題を緩和する要素

お客様の状況で、次の緩和する要素が役立つ場合があります:

  • この脆弱性だけでは、任意のコードを実行することはできません。この脆弱性は、リモートでコードが実行される可能性がある別の脆弱性と組み合わせて使用される必要があります。たとえば、攻撃者が別の脆弱性を悪用して Internet Explorer を通じて任意のコードを実行しようとする場合、Internet Explorer によってプロセスが起動されるコンテキストにより、コードは低い整合性レベル (非常に限られたアクセス許可) での実行に制限される場合があります。しかし、攻撃者は、この脆弱性を悪用して、任意のコードを整合性レベル「中」(現在のユーザーのアクセス許可) で実行できる可能性があります。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

よく寄せられる質問

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか? 
攻撃者が、Windows オーディオ サービスに存在するこの脆弱性を悪用した場合、影響を受けるシステムで権限が昇格される可能性があります。

この脆弱性だけでは、任意のコードを実行することはできません。しかし、この脆弱性は別の脆弱性 (例えば、リモート コード実行の脆弱性) と組み合わせて利用される可能性があり、その場合別の脆弱性は昇格された特権を利用して任意のコードを実行する可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか? 
1 つの攻撃のシナリオで、攻撃者は、この脆弱性の悪用を意図した Web サイトをホストする可能性があります。さらに、侵害された Web サイトやユーザー提供のコンテンツを受け入れたりホストしたりする Web サイトに、特別に細工したコンテンツが含まれていて、この脆弱性が悪用される可能性があります。しかしながら、このシナリオで、攻撃者は、攻撃者がコントロールするコンテンツをユーザーに強制的に参照させることはできません。その代わり、攻撃者はユーザーにアクションを起こさせる必要があります。たとえば、攻撃者は Internet Explorer で任意のコードを実行する別の脆弱性を悪用する可能性があります。攻撃者は次に、この脆弱性を悪用し、任意のコードを中間の整合性レベル (現在のユーザーのアクセス許可) で実行させる可能性があります。

セキュリティ更新プログラムの展開については、概説の こちら に記載のマイクロソフト サポート技術情報を参照してください。

マイクロソフトは、責任ある脆弱性の情報開示により、顧客の保護に協力してくださったセキュリティ コミュニティの方々の努力を評価します。詳細については、謝辞を参照してください。

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2014/11/12): セキュリティ情報を公開しました。

Page generated 2014-11-05 17:05Z-08:00.
表示: