Hi, Bill here, The March 2009 release contains 3 new bulletins, 1 of which has a maximum severity of “Critical”. MS09-006 – Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690) MS09-007 – Vulnerability in SChannel Could Allow Spoofing (960225) MS09-008 – Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238) We …
小野寺です。 少し前になりますが、Jeff Jonesが、主な4つのデスクトップOSを調査して、脆弱性の対応状況等をレポートとして公表していました。脆弱性に対する考え方の一つとして面白いため、翻訳版を作ってみました。冒頭部分を以下に抜粋します。 —-このレポートでは 2008年上半期にApple、Microsoft、Red HatおよびUbuntuが対応した全脆弱性について考察しており、Days of Risk (DoR) 、一般的にインストールされているデスクトップのオペレーティング システムのコンポーネントに影響する問題について、詳細に検証しています。 2008 年上半期の主要な調査結果: 2008 年上半期、ベンダー企業 4 社は、総数 585 件の脆弱性に対応しました。影響を受けた複数のベンダー企業 26.8% のうち、同日に修正されたのは 8 件のみでした。残りについては、最初に公開された利用可能な修正プログラムと最後に公開された修正プログラムとの間に平均 35 日間の遅れ (差) がありました。 マイクロソフトは、全脆弱性について Days of Risk (脆弱性が一般に公開されてからベンダーの対策が利用可能になるまでの時間)の平均日数が最も低く、24.22 日間でした。次点のベンダー企業では 72 日間でした。 デスクトップ OS の脆弱性では、2008 年上半期、Windows Vista の脆弱性が最も少なく 21 件でした。次に低い数字は Windows XP SP2 の 26 件です。 Windows Vistaの利用者にとって、2008年上半期でWindows XP SP2に影響を与えた26件の脆弱性うち、その46%で、完全な、または部分的な緩和策が存在しました。しかし、1件の脆弱性が新規コード部分に発見されました。 これらのベンダー企業および製品の測定に加え、本レポートではより低い深刻度のためにあまり問題にされない場合について、深刻度の程度を調整した分析を行っています。詳しくは、レポートをご覧ください。 XPS …
小野寺です。 今月は、計3件 (緊急1 件, 重要 2 件) の公開を予定しています。リリース日は、週明け水曜日 (3/11) となります。 公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms09-Mar.mspx セキュリティ情報 識別名 最大深刻度および脆弱性の影響 再起動に関する情報 影響を受けるソフトウェア Windows 1 緊急リモートでコードが実行される 要再起動 Microsoft Windows Windows 2 重要なりすまし 要再起動 Microsoft Windows Windows 3 重要なりすまし 要再起動 Microsoft Windows
It’s getting busy around here with people preparing for the CanSecWest security conference (http://cansecwest.com/). Many of the Microsoft Security Engineering Center (MSEC) and Microsoft Security Response Center (MSRC) members that regularly post to this blog will be attending CanSecWest and soaking up the 3 days of presentations & networking. If you haven’t heard us talk …
Hello, Bill here. I wanted to let you know that we just posted our Advance Notification for next week’s bulletin release, scheduled for Tuesday, March 10, 2009 around 10 a.m. Pacific Standard Time. As part of this month’s security bulletin release process, we will issue three security bulletins – one rated ‘Critical’ and two rated …
The Microsoft Office applications (Word, Excel, PowerPoint, etc) have built-in ActiveX control support. ActiveX support allows a richer experience when interacting with an Office document. For example, a document author could use the Safe-For-Initialization Office Web Components (OWC) ActiveX control to retrieve data from an intranet data source. Office applications’ prompting behavior By default, Office …
Behavior of ActiveX controls embedded in Office documents Read More »