Year: 2011

December 2011 Out-Of-Band Bulletin Release: Q&A and Webcast

Hello, Today we published the December 2011 Out-of-Band Security Bulletin Webcast Questions & Answers page. We fielded 41 questions on the subject of MS11-100 . There were four questions during the webcast that we were unable to answer and we have included those questions and answers on the Q&A page. We invite our customers to …

December 2011 Out-Of-Band Bulletin Release: Q&A and Webcast Read More »

セキュリティ アドバイザリ (2659883) の脆弱性を解決する MS11-100 を定例外で公開

2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。 MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。 今回のセキュリティ更新プログラムでは、4件の脆弱性が修正されています。このうち3件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1件の ASP.NET の脆弱性の報告を受け、本日、4件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。 MAPP (Microsoft Active Protection Program) の対応今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に …

セキュリティ アドバイザリ (2659883) の脆弱性を解決する MS11-100 を定例外で公開 Read More »

Microsoft releases MS11-100 for Security Advisory 2659883

Hello, Today we released Security Update MS11-100 to address the issue described in Security Advisory 2659883. The security update has a severity rating of Critical and resolves a publicly disclosed remote unauthenticated Denial of Service issue in ASP.NET versions 1.1 and above on all supported versions of .NET Framework. Of note, the new method of …

Microsoft releases MS11-100 for Security Advisory 2659883 Read More »

ASP.NET security update is live!

Today we released MS11-100, addressing a newly disclosed denial-of-service vulnerability affecting several vendors’ Web application platforms, including Microsoft’s ASP.NET. Yesterday, we posted an SRD blog describing the vulnerability and the detection and workaround opportunities. With this blog post, we’d like to update you on the following topics: Why is this bulletin rated “Critical” for a …

ASP.NET security update is live! Read More »

セキュリティ アドバイザリ 2659883 の問題を解決するセキュリティ更新の事前通知 (定例外)

マイクロソフトは、「セキュリティ アドバイザリ2659883」で説明している ASP.NET の脆弱性を解決する定例外のセキュリティ更新プログラムを公開する予定です。現時点では、セキュリティ更新プログラムを 2011 年 12 月 30 日 (日本時間) に公開する予定です。 この ASP.NET の脆弱性は、既に詳細情報が一般に公開されており、深刻度は緊急と評価しています。影響を受ける ASP.NET はすべてのバージョンの .NET Framework です。現時点でマイクロソフトは攻撃を確認していませんが、お客様におかれましては、セキュリティ更新プログラムが公開されしだい、早急にテストを行い、適用することをお勧めします。 公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec-ans

Advanced Notification for out-of-band release to address Security Advisory 2659883

Hello, Today we’re providing advance notification for an out-of-band security update to address the publicly disclosed issue described in Security Advisory 2659883. The release is scheduled for tomorrow, December 29, at approximately 10 a.m. PST. The bulletin has a severity rating of Critical and addresses a publicly disclosed vulnerability in ASP.NET that affects all versions …

Advanced Notification for out-of-band release to address Security Advisory 2659883 Read More »

Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開

本日マイクロソフトは、Webアプリケーションがサービス拒否となる脆弱性に関するセキュリティ アドバイザリ 2659883 を公開しました。この脆弱性は、いくつかの Web アプリケーションベンダーに影響を与えますが、マイクロソフト製品では ASP.NET を含む IIS サーバーが脆弱性の影響を受けることを確認しています。現在、マイクロソフトはこの問題を解決するセキュリティ更新プログラムを開発中です。現時点ではこの脆弱性が悪用されたとの報告は受けておりませんが、マイクロソフトはこの脆弱性に関する詳細情報が一般に公表されていることを確認しています。   マイクロソフトは、セキュリティ更新プログラムがご利用可能になり次第、脆弱性の影響を受ける製品に対して早急にセキュリティ更新プログラムを適用することをお勧めします。この問題の影響を受ける環境や回避策などの詳細は、セキュリティ アドバイザリ 2659883をご参照ください。   脆弱性の概要 今回公表された脆弱性は、一般的に”ハッシュ衝撃攻撃 (Hash Collision Attack)” と呼ばれ、マイクロソフトのテクノロジーだけでなく、その他ベンダーの Web アプリケーションにも影響を与えます。マイクロソフト製品においては、攻撃者によって送信された細工した HTTP リクエストパケットを ASP.NET の Web サイトで受信するだけで、Web サイトの CPU リソースが一定時間 100% 消費されサービス拒否の状態になります。 マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。また、今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。   本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。   関連情報 マイクロソフト セキュリティ アドバイザリ (2659883): ASP.NET の脆弱性により、サービス拒否が起こる マイクロソフト サポート技術情報 2659883 Microsoft …

Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開 Read More »

Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue

Hello, Today we published Security Advisory 2659883 to provide a workaround to help protect ASP.NET customers from a publicly disclosed vulnerability that affects various Web platforms industry-wide. We are not aware of any attacks using this vulnerability, which affects all supported versions of .NET Framework, however we recommend customers use the mitigation and workaround described …

Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue Read More »

More information about the December 2011 ASP.Net vulnerability

Today, we released Security Advisory 2659883 alerting customers to a newly disclosed denial-of-service vulnerability affecting several vendors’ web application platforms, including Microsoft’s ASP.NET. This blog post will cover the following: Impact of the vulnerability How to know if your configuration is vulnerable to denial-of-service How to detect the vulnerability being exploited at network layer How …

More information about the December 2011 ASP.Net vulnerability Read More »

長期休暇の前に

寒い日が続きますね。初詣の CM が流れたり、街では歳末大売り出しののぼりや福引を見かけるようになりました。すっかり年末ムードがただよっていますね。 早い方は、もう年末年始休暇という方もいらっしゃるでしょうか? 休暇中は、普段よりもインターネットを利用する時間が長くなり、普段に比べて色々なトラブルや被害に遭う可能性も増えます。またこの時期は、クリスマス カードや年賀状などのグリーティング カードを電子メールで送りあうことも多く、特に電子メール経由での感染という点でも注意していただきたいところです。 日ごろから基本のセキュリティ対策を行い、セキュリティ知識を身につけることで、被害に遭わないようにしていきましょう。   <<ツールを活用する>>ツールを活用して、以下 3 つの基本のセキュリティ対策を行ってください。アクション センターや Windows セキュリティ センターで、それぞれの状態の確認や設定変更ができます。   自動更新を有効にして、ソフトウェアを最新の状態にするソフトウェアを常に最新の状態にしておくことで、ウイルス感染を防ぐことができます。 ウイルス対策ソフトウェアを最新の状態にするウイルス対策ソフトウェアがインストールされていても、最新の状態になっていないとウイルスを検知することができません。ウイルス対策ソフトが期限切れになっているもしくは定義ファイルが最新ではないという方は、更新を検討してください。または、無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールを検討してください。 ファイアウォールを有効にするインターネットを介してコンピューターに侵入しようとするハッカー、ウイルス、ワームの排除に役立ちます。   また、迷惑メールを減らすために、以下の 6 つの対策を検討してください。詳しくは、「Hotmail: 改良された新セキュリティ機能について」を参照してください。 メールアドレスを秘密にしておく 迷惑メール対策を備えたメール プログラムを使う 迷惑メール用の設定を行い特定のメールをブロックする 画像を無効にし、信頼できる人からの画像だけ見る 送信者がだれであっても、添付ファイルには注意し、ウイルス対策ソフトウェアを使う 迷惑メールや被害を報告する   それでは、みなさま良いお年をお迎えください。 関連リンク ▼ 長期休暇の前に ~セキュリティ対策のお願い~ ▼ セキュリティ対策の基本をビデオで確認する