【更新プログラム配布中】Windows向けセキュリティアップデート情報：2014年5月GW号外

本日までに発表されたセキュリティアップデート情報概要まとめです。
GW期間中に是非確認して欲しいものをまとめました。

１．Internet Explorerゼロデイ脆弱性

• マイクロソフト セキュリティ アドバイザリ 2963983 - Security TechCenter

現在サポートしている全てのWindows OSで動作するIE6～11に存在するゼロデイ脆弱性が発表されました。
今のところ脆弱性を修正する更新プログラムは配信されていません。

この脆弱性については、日本のセキュリティチームからOS別回避策が紹介されています。

• [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される - TechNet Blogs

推奨される対策は以下の通り。

• Windows Vista
  →Vector Markup Language (VML) を無効化する
• Windows 7以降の32bit OS
  →Vector Markup Language (VML) を無効化する
• Windows 7以降の64bit OSかつIE8～9
  →Vector Markup Language (VML) を無効化する
• Windows 7以降の64bit OSかつIE10以上
  →拡張保護モードを有効にする
• Windows 8/8.1の64bit版かつWindowsストアアプリのIE10/11
  →拡張保護モード同等の機能により攻撃が回避されることが確認されている

一番確実なのは、IEの使用を中断してChromeやFirefoxを利用すること。

FireEyeはIEでのFlashPlayerを無効化することを推奨しています。
32bit OS利用企業向けにはEMETの導入が最も推奨されていることから、今回の件に限らず32bit/64bitユーザーともこれを機にEMETの導入が望ましいと思います。


＜2014.05.02追記＞
本脆弱性に対処する更新プログラム（KB2964358）が、XPを含む全てのWindows向けに配信されています。速やかに確認し、更新しましょう。

• マイクロソフト セキュリティ情報 MS14-021 - 緊急
• セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - TechNet Blogs

ただし、VMLの無効化を行った場合は再度有効化する必要があります。
MS14-021 FAQの”マイクロソフト セキュリティ アドバイザリ 2963983 で説明されている回避策を適用した場合、この更新プログラムを適用する前に回避策を解除する必要がありますか? ”の項目を確認・対応の上アップデートしましょう。
＜追記ここまで＞

２．Adobe関連

• Flash Player 13（緊急度：Critical，Priority：1）
  ・リリース日：2014.04.28
  ・IE向け：13.0.0.206
  ・Chrome向け：13.0.0.206

バッファオーバーフローにより任意のコードを実行させられる危険性（CVE-2014-0515）があるとのこと。
Flash Playerが同梱されているWindows 8向けIE 10/11向け更新プログラムも配信されています。

• Adobe Flash Player の脆弱性 (APSB14-13) に関する注意喚起 - JPCERT/CC
• マイクロソフト セキュリティ アドバイザリ (2755801) - Security TechCenter

３．Google Chrome 34

• Windows向け：34.0.1847.131
  ・リリース日：2014.04.24
  ・Flash Playerの更新を含む、合計9件の脆弱性を修正