JVNDB-2014-004943

JVNDB-2014-004943
複数の Microsoft Windows 製品における任意のコードを実行される脆弱性
概要
複数の Microsoft Windows 製品には、任意のコードを実行される脆弱性が存在します。巧妙に細工された PowerPoint ドキュメントを悪用した本脆弱性への攻撃が 2014 年 10 月に観測されています。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.8 (重要) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for x64-based Systems Microsoft Windows 8.1 for 32-bit Systems Microsoft Windows 8.1 for x64-based Systems Microsoft Windows RT Microsoft Windows RT 8.1 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2

想定される影響
第三者により、巧妙に細工された OLE オブジェクトを介して、任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
マイクロソフト Microsoft Security Advisory : Vulnerability in Microsoft OLE Could Allow Remote Code Execution (3010060) Microsoft Security Bulletin : MS14-064 Security Research and Defense Blog : Assessing Risk for the November 2014 Security Updates TechNet Blogs (日本語版) : セキュリティアドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」を公開マイクロソフトセキュリティアドバイザリ : Microsoft OLE の脆弱性により、リモートでコードが実行される (3010060) マイクロソフトセキュリティ情報 : MS14-064
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-6352
参考情報
National Vulnerability Database (NVD) : CVE-2014-6352 IPA 重要なセキュリティ情報 : Microsoft Windows の脆弱性対策について(CVE-2014-6352) IPA 重要なセキュリティ情報 : Microsoft 製品の脆弱性対策について(2014年11月) JPCERT 注意喚起 : JPCERT-AT-2014-0043 JPCERT 注意喚起 : JPCERT-AT-2014-0045 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS14-064,065,066,067,069,070,071,072,073,074,076,077,078,079)(2014年11月12日) CISA Known Exploited Vulnerabilities Catalog : CVE-2014-6352 関連文書 : Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート
更新履歴
[2014年10月24日] 掲載 [2014年11月13日] ベンダ情報：マイクロソフト (MS14-064) を追加ベンダ情報：マイクロソフト (Assessing Risk for the November 2014 Security Updates) を追加参考情報：IPA 重要なセキュリティ情報 (Microsoft 製品の脆弱性対策について(2014年11月)) を追加参考情報：JPCERT 注意喚起 (JPCERT-AT-2014-0045) を追加参考情報：警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS14-064,065,066,067,069,070,071,072,073,074,076,077,078,079)(2014年11月12日)) を追加 [2014年11月26日] 参考情報：関連文書 (Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート) を追加


公表日	2014/10/21
登録日	2014/10/24
最終更新日	2014/11/26

複数の Microsoft Windows 製品における任意のコードを実行される脆弱性