Year: 2011

December 2011 Bulletin Release Q&A and Slide Deck

Hello, Today we published the December Security Bulletin Webcast Questions & Answers page. We fielded six questions on various topics during the webcast, including bulletins released, deployment tools, and update detection tools. For more details on this month’s bulletins, click here to view the slide deck used in the webcast. See below to view the …

December 2011 Bulletin Release Q&A and Slide Deck Read More »

2011 年 マイクロソフトのセキュリティ公開まとめ

今年最後となる 12月度の月例セキュリティ リリースも終わり、今年 1 年のセキュリティ リリースの振り返りをしてみたいと思います。2011 年は、合計 99 件のセキュリティ情報を公開し、計 232 件の CVE に対応しました。セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークにやや減少傾向にあります (図1)。 図 1: 半期ごとのセキュリティ情報公開数および CVE 対応数 (2006 年上半期 ~ 2011 年下半期)   緊急度の高いセキュリティ情報の減少 セキュリティ情報には「緊急」「重要」「警告」「注意」の 4 段階の深刻度を設定していますが、2011 年は 4 段階で最も高い「緊急」の割合が、全体の 3 分の 1 に留まりました (図 2)。これは、2003 年に月例のセキュリティ リリースを始めて以来初のことです。また、絶対数においても「緊急」のセキュリティ情報の数は 2006 年以降初めて最少となっています (図 3)。 マイクロソフトは 2002 年の「信頼できるコンピューティング」宣言以来、よりセキュアな製品の開発に力を入れてきました。製品自体の脆弱コードを減らす努力に加え、脆弱性が悪用されにくい製品の開発 (既定では実行がブロックされる、実行にはユーザーの操作を介す等) に力を入れており、この結果、お客様に与える影響をより低く抑えることができてきていると分析しています。 図 2: 深刻度別セキュリティ情報の割合 …

2011 年 マイクロソフトのセキュリティ公開まとめ Read More »

December 2011 Security Bulletin Webcast Q&A

Hosts:             Jonathan Ness, Security Development Manager, MSRC                        Jerry Bryant, Group Manager, Trustworthy Computing Communications Website:         TechNet/Security Chat Topic:     December 2011 Security Bulletin Release Date:               Wednesday, December 14, 2011  Q: Some of my users had issues with text being deleted from Word documents. Is this an issue with the Office security bulletin? A: We are not aware …

December 2011 Security Bulletin Webcast Q&A Read More »

2011 年 12 月のマイクロソフト ワンポイント セキュリティ

皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日 12 月 14 日に公開した新規 13 件 (緊急 3 件、重要 10 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。 ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx 下の画像をクリックして動画を再生してください。 [Video]

2011 年 12 月のセキュリティ情報 (月例)

先週の事前通知でお知らせしました件数から 1 件減り、計 13 件 (緊急 3 件、重要 10 件) のセキュリティ情報を公開しました。 ■今月のセキュリティ リリースで対応したセキュリティアドバイザリ: 「マイクロソフト セキュリティ アドバイザリ 2639658: TrueType フォント解析の脆弱性により、特権が昇格される」の問題について「セキュリティ情報 MS11-087: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される」で対応しました。  「セキュリティ アドバイザリ 2269637: 安全でないライブラリのロードにより、リモートでコードが実行される」を更新し、「MS11-094 Microsoft PowerPoint の脆弱性により、リモートでコードが実行される」および「MS11-099 Internet Explorer 用の累積的なセキュリティ更新プログラム」を安全でないライブラリのロードに関連する更新プログラムとして追加しました。  「マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる」の問題について、事前通知の際のブログでは、今月のセキュリティ リリースで対応するとお伝えしましたが、セキュリティ更新プログラムの品質テストの過程でサードパーティ製ソフトウェアに影響する互換性の問題が見つかったため、今月の公開は見合わせることになりました。なお、このセキュリティアドバイザリ 2588513 で説明している脆弱性の悪用を試みる攻撃は現時点では確認していません。  ■2011 年 12 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec  ※ 「MS11-088 Microsoft Office IME (中国語版) の脆弱性により、特権が昇格される」のセキュリティ更新プログラムは、中国語版の …

2011 年 12 月のセキュリティ情報 (月例) Read More »

The December bulletins are released

Hello. As I previously mentioned in the Advance Notification Service blog post on Thursday, today we are releasing 13 security bulletins, three of which are rated Critical in severity, and 10 Important. These bulletins will increase protection by addressing 19 unique vulnerabilities in Microsoft products. Customers should plan to install all of these updates as …

The December bulletins are released Read More »

Assessing the risk of the December 2011 security updates

Today we released thirteen security bulletins. Three have a maximum severity rating of Critical with the other ten having a maximum severity rating of Important. We hope that the table below helps you prioritize the deployment of the updates appropriately for your environment. Bulletin Most likely attack vector Max Bulletin Severity Max Exploit-Ability Index Likely …

Assessing the risk of the December 2011 security updates Read More »

More information on the December 2011 ActiveX Kill Bits bulletin (MS11-090)

This month we released MS11-090 to address a vulnerability in the Microsoft Time component (CVE-2011-3397), which features the deprecated time behavior that is still supported in IE6. We would like to provide further information about this issue and help explain why a “binary behavior kill bit” is the appropriate course of action. Which products are …

More information on the December 2011 ActiveX Kill Bits bulletin (MS11-090) Read More »

More information on MS11-087

Today, we released MS11-087 addressing an issue in the font parsing subsystem of win32k.sys, CVE-2011-3402. The bulletin received a Critical rating due to a potential browser-based attack vector. We have not seen the browser-based attack vector exploited in the wild. The bulletin includes a workaround to disable this remote code execution attack surface. You might …

More information on MS11-087 Read More »