2013年11月の Microsoft Update (定例) - 取締役平社員ブログ (ベータ版)

2013-11-13 MicrosoftUpdate (Win8)

予定通り、緊急 3 件 / 重要 5 件の合計 8 件。 CVE では 19 件です。

緊急は、 Internet Explorer ( IE ) 、Windows ( GDI と ActiveX の Kill Bit の２件 ) 。

IE10/11 、Windows 8/8.1 、Office 2013 にも影響します。

GDI の件は CVE-2013-3940 ですので、KB2896666 の脆弱性 ( CVE-2013-3906 ) とは別件です。

なお、 EMET 4.1 が出ています。 ( EMET は KB2896666 での緩和策の１つ。)

手元の Windows 8 では、KB の数にして 11個。 ( Windows のみ (11) )

Office 2013 は "Click-To-Run ( Click To Run / クイック実行 ) " なので Windows Update ではなし。

※ 10月分の Ver. 15.0.4535.1511 まで掲載。( 魚拓 ) 明日には更新されるでしょう。

非セキュリティは更新は、2個。 ( KB2882780 (Windows) 、KB2893519 (Windows) )

オプションの KB2889784 (Windows8 Rollup) は、２〜３日保留します。

Windows 7 (SP1) では、KB の数にして 14個。 ( Windows (8) + Office (6) )

非セキュリティ更新は、 3 個。 ( KB2893519 (Windows) 、KB2589352 (Office2010) 、KB2597087 (Office2010) )

オプションの KB2830477 (RDP) は、２〜３日保留します。

Windows Vista (SP2) では、同 11個。 ( Windows (6) + Office (5) )

非セキュリティ更新は、2 個。 ( KB2589352 (Office2010) 、KB2597087 (Office2010) )

Windows XP (SP3) では、 11個。 ( Windows (7) + Office (4) )

非セキュリティ更新は、2 個。 ( KB2589352 (Office2010) 、KB2597087 (Office2010) )

いずれも要 OS 再起動でした。 Windows XP の更新がとっても遅いです。

※ 迷惑メールフィルタ関係は、セキュリティ更新扱いでここに書いてます。

(図1)

2013年11月の Microsoft Update。(Windows 8)
(画像サイズ 38.43 KB)

(図2)

2013年11月の Microsoft Update で再起動。(Windows 8)
(画像サイズ 21.19 KB)

(図3)

2013年11月の Microsoft Update。(Windows 7)
(画像サイズ 54.3 KB)

(図4)

2013年11月の Microsoft Update。(Windows Vista)
(画像サイズ 57.59 KB)

関連 Web ページです。

セキュリティ情報:

マイクロソフト https://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov
> 2013 年 11 月のセキュリティ情報

マイクロソフト http://www.microsoft.com/ja-jp/security/default.aspx
> コンピューターとインターネットセキュリティ | Microsoft セーフティとセキュリティセンター

ブログ:

マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610237.aspx
> 2013 年 11 月のセキュリティ情報 (月例) – MS13-088 〜 MS13-095 -
> 日本のセキュリティチーム - Site Home - TechNet Blogs

マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610289.aspx
> 2013 年 11 月のマイクロソフトワンポイントセキュリティ〜ビデオで簡単に解説〜 -
> 日本のセキュリティチーム - Site Home - TechNet Blogs

マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610326.aspx
> 2013 年 11 月のセキュリティ更新プログラムのリスク評価 -
> 日本のセキュリティチーム - Site Home - TechNet Blogs

Microsoft http://blogs.technet.com/b/srd/archive/2013/11/12/assessing-risk-for-the-november-2013-security-updates.aspx
> Assessing risk for the November 2013 security updates -
> Security Research & Defense - Site Home - TechNet Blogs

Microsoft http://blogs.technet.com/b/srd/archive/2013/11/12/technical-details-of-the-targeted-attack-using-cve-2013-3918.aspx
> Technical details of the targeted attack using IE vulnerability CVE-2013-3918 -
> Security Research & Defense - Site Home - TechNet Blogs

※ ActiveX Kill Bit ( MS13-090 ) の件。

Microsoft http://blogs.technet.com/b/srd/archive/2013/11/12/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx
> Introducing Enhanced Mitigation Experience Toolkit (EMET) 4.1 -
> Security Research & Defense - Site Home - TechNet Blogs

※ EMET 4.1 が出てます。

Microsoft http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx
> Security Advisory 2868725: Recommendation to disable RC4 -
> Security Research & Defense - Site Home - TechNet Blogs

Microsoft http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2880823-recommendation-to-discontinue-use-of-sha-1.aspx
> Security Advisory 2880823: Recommendation to discontinue use of SHA-1 -
> Security Research & Defense - Site Home - TechNet Blogs

ワンポイントセキュリティ:

マイクロソフト http://technet.microsoft.com/ja-jp/security/dd251169
> 今月のマイクロソフトワンポイントセキュリティ情報

セキュリティアドバイザリ : (新規分)

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2862152
> マイクロソフトセキュリティアドバイザリ (2862152):
> DirectAccess の脆弱性により、セキュリティ機能のバイパスが起こる

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2868725
> マイクロソフトセキュリティアドバイザリ (2868725):
> RC4 を無効化するための更新プログラム

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2880823
> マイクロソフトセキュリティアドバイザリ (2880823):
> マイクロソフトルート証明書プログラムでの SHA-1 ハッシュアルゴリズムの廃止

※ SA2862973 (MD5) に続き、SHA-1 もいよいよ。

セキュリティアドバイザリ : (更新分)

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2755801
> マイクロソフトセキュリティアドバイザリ (2755801):
> Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム

※ Flash Player 11.9.900.152 ( APSB13-26 ) の件。

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2854544
> マイクロソフトセキュリティアドバイザリ (2854544):
> Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム

※ SA2880823 、 SA2862973 (MD5) の件など。

ダウンロードサイト:

マイクロソフト http://www.microsoft.com/ja-jp/download/malicious-software-removal-tool-details.aspx
> Windows 悪意のあるソフトウェアの削除ツール - Microsoft Download Center

マイクロソフト http://www.microsoft.com/ja-jp/security/pc-security/malware-removal.aspx
> 悪意のあるソフトウェアの削除ツール | コンピューターの保護

※ V5.6 。 Deminnix 、Napolar 対応。クリーニングされるマルウェアの詳細リストはこちら。

マイクロソフト http://www.microsoft.com/ja-jp/download/confirmation.aspx?id=9905
> Windows 悪意のあるソフトウェアの削除ツール x64

マイクロソフト http://www.microsoft.com/ja-jp/download/confirmation.aspx?id=16
> Windows 悪意のあるソフトウェアの削除ツール

・・・

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41109
> Outlook 2003 Junk E-mail Filter (KB2849999) の更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41124
> Microsoft Office Outlook 2007 Junk Email Filter (KB2825642) の更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=27394
> Microsoft Office 2010 (KB982726) 32 ビット版の定義の更新をダウンロード

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=27393
> Microsoft Office 2010 (KB982726) 64 ビット版の定義の更新をダウンロード

・・・

セキュリティ更新。関係分で 33 件。

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41074
> Internet Explorer 8 for Windows XP 用セキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41061
> Windows Vista 用 Internet Explorer 7 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40983
> Windows Vista 用 Internet Explorer 9 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41013
> Windows 8 用 Internet Explorer 10 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41051
> Windows 8 x64-based Systems 用 Internet Explorer 10 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41062
> Windows 8.1 用 Internet Explorer 11 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41016
> x64 ベースシステム Windows 8.1 用 Internet Explorer 11 の累積的なセキュリティ更新プログラム (KB2888505)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40919
> Windows XP 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41058
> Windows Vista 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41009
> Windows 7 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41011
> Windows 7 for x64-Based Systems 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41040
> Windows 8 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40936
> Windows 8 for x64-Based Systems 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41031
> Windows 8.1 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41056
> Windows 8.1 for x64-Based Systems 用セキュリティ更新プログラム (KB2876331)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40920
> Windows XP の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40944
> Windows Vista の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40974
> Windows 7 の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40918
> Windows 7 for x64-based Systems の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40927
> windows 8 の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40925
> windows 8 for x64-based Systems の ActiveX Killbits に対するセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40933
> Windows 8.1 用 ActiveX Killbits の累積的なセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40935
> x64 ベースシステム Windows 8.1 用 ActiveX Killbits の累積的なセキュリティ更新プログラム (KB2900986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41120
> Office 2003 (KB2760494) のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41122
> Microsoft Office 2007 suites (KB2760415) のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41111
> Microsoft Office 2010 (KB2553284) 32 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41112
> Microsoft Office 2010 (KB2760781) 32 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41118
> Microsoft Office 2010 (KB2553284) 64 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41121
> Microsoft Office 2010 (KB2760781) 64 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41101
> Microsoft Office 2013 (KB2768005) 32 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41115
> Microsoft Office 2013 (KB2768005) 64 ビット版のセキュリティ更新プログラム

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=40990
> Windows 8 for x64-Based Systems 用セキュリティ更新プログラム (KB2893986)

マイクロソフト http://www.microsoft.com/ja-jp/download/details.aspx?id=41073
> Windows 8 for x64-Based Systems 用セキュリティ更新プログラム (KB2875783)

・・・

非セキュリティ更新。関係分で 7 件。XP の .Net FrameWork 関係を除きます。

Microsoft http://support.microsoft.com/kb/2882780
> Incorrect UI color rendering when an application uses
> the D3D11CreateDevice or D3D10CreateDevice function in Windows

Microsoft http://support.microsoft.com/kb/2893519
> "Remember my credentials" option cannot be hidden
> when the SspiPromptForCredentials function is called in Windows

Microsoft http://support.microsoft.com/kb/2889784
> Windows RT, Windows 8, and Windows Server 2012 update rollup: November 2013

Microsoft http://support.microsoft.com/kb/2893519
> "Remember my credentials" option cannot be hidden
> when the SspiPromptForCredentials function is called in Windows

マイクロソフト http://support.microsoft.com/kb/2589352
> 2589352 Office 2010 更新プログラムの説明: 2013 年 11 月 12 日

※ アルバニア語、クロアチア語、セルビア語 (ラテン) 翻訳の件。

マイクロソフト http://support.microsoft.com/kb/2597087
> 2597087 Office 2010 更新プログラムの説明: 2013 年 11 月 12 日

※ アクセシビリティチェックの件。

マイクロソフト http://support.microsoft.com/kb/2830477
> 更新機能は Windows で使用できる RemoteApp とデスクトップ接続の

(関連)

マイクロソフト http://technet.microsoft.com/ja-jp/security/advisory/2862973
> マイクロソフトセキュリティアドバイザリ (2862973):
> マイクロソフトルート証明書プログラムでの MD5 ハッシュアルゴリズム廃止用の更新プログラム

Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=41138
> Download Enhanced Mitigation Experience Toolkit 4.1 from Official Microsoft Download Center

直リンク:

Microsoft http://download.microsoft.com/download/7/A/A/7AA570E7-92DF-4C28-BE12-E72831797666/EMET%20Setup.msi

Microsoft http://download.microsoft.com/download/7/A/A/7AA570E7-92DF-4C28-BE12-E72831797666/EMET%20User%27s%20Guide.pdf

・・・

セキュmemo の該当ページ。

・・・

インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20131113_623341.html
> マイクロソフトが11月の月例パッチ公開、IEやOffice関連など計8件 -INTERNET Watch

一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130045.html
> 2013年11月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起

一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2013/at130044.html
> 2013年11月 Microsoft Graphics Component の未修正の脆弱性に関する注意喚起

※ KB2896666 の脆弱性 ( CVE-2013-3906 ) の件。

・・・

Adobe - Security Bulletins http://www.adobe.com/support/security/bulletins/apsb13-26.html
> APSB13-26 - Security updates available for Adobe Flash Player

SANS Internet Storm Center https://isc.sans.edu/forums/diary/November+2013+Microsoft+Patch+Tuesday/17003
> November 2013 Microsoft Patch Tuesday | Diary Discussions | Community Forums |
> SANS Internet Storm Center; Cooperative Network Security Community - Internet Security

※ ActiveX の Kill Bit ( MS13-090 ) の件が、PATCH NOW! 。 Critical が Clients で 3件。 Servers では Critical がなし。

Secunia Advisories http://secunia.com/advisories/55534/
> icrosoft Windows Flash Player Two Memory Corruption Vulnerabilities

Secunia Advisories http://secunia.com/advisories/55539/
> Microsoft Office Multiple WordPerfect Document Parsing Vulnerabilities

Secunia Advisories http://secunia.com/advisories/50000/
> Microsoft Windows GDI "SetDIBitsToDevice()" API BITMAPINFOHEADER
> Processing biClrUsed Integer Overflow Vulnerability

Secunia Advisories http://secunia.com/advisories/55054/
> Microsoft Internet Explorer Multiple Vulnerabilities

Secunia Advisories http://secunia.com/advisories/55574/
> Microsoft Outlook X.509 S/MIME AIA Information Disclosure Vulnerability

Secunia Advisories http://secunia.com/advisories/55629/
> Microsoft Windows X.509 Certificate Parsing Denial of Service Vulnerability

Secunia Advisories http://secunia.com/advisories/55558/
> Microsoft Windows Ancillary Function Driver Information Disclosure Weakness

Secunia Advisories http://secunia.com/advisories/55550/
> Microsoft Windows Hyper-V Hypercall Function Parameter Handling Vulnerability

・・・

http://d.hatena.ne.jp/TsuSUZUKI/20131108/1383878652

※ マイクロソフトセキュリティ情報の事前通知 - 2013 年 11 月

http://d.hatena.ne.jp/TsuSUZUKI/20131011/1381470073

※ 続・2013年10月の Microsoft Update (定例)

http://d.hatena.ne.jp/TsuSUZUKI/20131009/1381352126

※ 2013年10月の Microsoft Update (定例) 」

http://d.hatena.ne.jp/TsuSUZUKI/20131106/1383722501

※ Microsoft Security Advisory (2896666): Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution

http://d.hatena.ne.jp/TsuSUZUKI/20131112/1384267558

※ Adobe Flash Player バージョン 11.9.900.152 リリース

http://d.hatena.ne.jp/TsuSUZUKI/20130618/1371557541

※ Enhanced Mitigation Experience Toolkit 4.0

いじょうです。