Year: 2013

MS13-098: Update to enhance the security of Authenticode

Today we released MS13-098, a security update that strengthens the Authenticode code-signing technology against attempts to modify a signed binary without invalidating the signature. This update addresses a specific instance of malicious binary modification that could allow a modified binary to pass the Authenticode signature check. More importantly, it also introduces further hardening to consider …

MS13-098: Update to enhance the security of Authenticode Read More »

セキュリティ アドバイザリ 2916652「不正なデジタル証明書により、なりすましが行われる」を公開

[2013/12/13 追記] Windows XP および Windows Server 2003 用の更新プログラムがご利用いただけるようになりましたことをお知らせします。 2013 年 12 月 10日、セキュリティ アドバイザリ 2916652「不正なデジタル証明書により、なりすましが行われる」を公開しました。   デジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不正なデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。   影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2916652 を参照してください。   推奨するアクション Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2においては、証明書の自動更新ツールが既定で実装されており、自動的に保護が行われるので、措置を講じる必要はありません。   Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 において、証明書の自動更新ツール(サポート技術情報 2677070)を利用している場合、自動的に保護が行われるので、措置を講じる必要はありません。   Windows XP および Windows …

セキュリティ アドバイザリ 2916652「不正なデジタル証明書により、なりすましが行われる」を公開 Read More »

MS13-106: Farewell to another ASLR bypass

Today we released MS13-106 which resolves a security feature bypass that can allow attackers to circumvent Address Space Layout Randomization (ASLR) using a specific DLL library (HXDS.DLL) provided as part of Microsoft Office 2007 and 2010. The existence of an ASLR bypass does not directly enable the execution of code and does not represent a risk by …

MS13-106: Farewell to another ASLR bypass Read More »

Security Advisory 2916652 released, Certificate Trust List updated

Microsoft is updating the Certificate Trust List (CTL) for all supported releases of Microsoft Windows to remove the trust of a mis-issued third-party digital certificate, which could be used to spoof content and perform phishing or man-in-the-middle attacks against web properties. With this action, customers will be automatically be protected against this issue. Additionally, the …

Security Advisory 2916652 released, Certificate Trust List updated Read More »

BlueHat v13 is Coming

This week, starting Thursday, we’ll be hosting our 13th edition of BlueHat. I’m always so impressed with the level of knowledge we attract to each BlueHat, and while the event is invite-only, we’ll be sharing glimpses into the event via this blog and the hashtag #BlueHat. For each of the past six years I have …

BlueHat v13 is Coming Read More »

2013 年 12 月 11 日のセキュリティ リリース予定 (月例)

2013 年 12 月の月例セキュリティ リリースの事前通知を公開しました。2013 年 12 月 11 日に公開を予定している新規月例セキュリティ情報は、合計 11 件 (緊急 5 件、重要 6 件) です。 また、来週公開予定のセキュリティ更新プログラムで 2013 年 11 月 6 日 (日本時間) にセキュリティアドバイザリ 2896666 で説明している Microsoft Windows、Microsoft Office、および Microsoft Lync に影響する Microsoft Graphics コンポーネントの脆弱性についても解決する予定です。 2013 年 11 月 28 日に、セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開しましたが、この問題に対応するセキュリティ更新プログラムは、今月のセキュリティ情報には含まれません。セキュリティ アドバイザリ 2914486 をご確認いただき、回避策の適用をご検討ください。 なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) …

2013 年 12 月 11 日のセキュリティ リリース予定 (月例) Read More »

Advance Notification Service for December 2013 Security Bulletin Release

Today we’re providing advance notification for the release of 11 bulletins, five Critical and six Important, for December 2013. The Critical updates address vulnerabilities in Internet Explorer, Windows, Microsoft Exchange and GDI+. The Critical update for GDI+ fully addresses the publicly disclosed issue described in Security Advisory 2896666.   This release won’t include an update for …

Advance Notification Service for December 2013 Security Bulletin Release Read More »

より安全性の高い暗号方式を利用しましょう

こんにちは、村木ゆりかです。 2013 年 11 月度の定例セキュリティ情報公開日に、マイクロソフト セキュリティ アドバイザリ(2868725) 「RC4 を無効化するための更新プログラム」を公開しました。これは、マイクロソフトが安全な暗号化や証明書の利用を促進するための継続的な取り組み (セキュリティ アドバイザリ2854544) の一環です。    暗号は「使ってさえいれば安全」ではない 安全なデータのやり取りのために、とりあえずSSL/TLS などの暗号化は設定しているが、詳細な設定は適当なまま。そんな方も多いのではないでしょうか?  誰でも内容を読めてしまう状態(平文) でデータをやり取りすることが危険だということは明白です。では、例えば、暗号化した文章「NHB LV PV」はどうでしょう?「アルファベット順に 3 つずらす」という仕組み (暗号方式) を利用しており、復号すると「KEY IS MS」となります。この暗号文は、確かにそのままでは文章として読めませんが、単純な暗号方式であるため、勘のいい方はすぐ元の文章がお判りになったか、時間をかけていくつかの知られている暗号化方式を試すことで解読できます。これでは暗号化している意味がありません。  暗号化方式の多くは複雑性や解読までにかかる時間などを基に設計されています。このため、以前は誰も破れなかった暗号方式も、コンピューターの処理速度の向上や、新たな解析手法の登場などにより、解読できてしまい安全性が低下 (危殆化) することがあります。安全性を保つためには、暗号化を利用するだけではなく、より安全な方式を利用することがとても重要です。   RC4 とは? ストリーム型と呼ばれる暗号化方式の 1 つで、高速でコストが安いことから多くのアプリケーションに採用されてきました。現在では、技術の進化から解読可能であることが判明するなどアルゴリズムの安全性が低くなっています。しかしながら、依然として広く利用されており、RC4 を利用する SSL/TLS が攻撃に利用されるケースが広まっています。  Internet Explorer 11では、RC4 以外のより安全性の高い暗号化方式を優先的に利用し、TLS1.2 が既定で有効であるなど、安全な方式を優先的に利用するよう設計されています。BEAST 攻撃などの現在広く知られている攻撃に対して、TLS1.2 は影響を受けません。 ウェブ サイトと、ブラウザーの間でどのような方式を利用するかは、お互いが利用できる方式を優先付けと共に通知し利用可能なものを選択します。マイクロソフトが500 万のウェブ サイトを対象に調査したところ、RC4 以外のより安全な暗号化方式が利用できるにも関わらず、ブラウザーの設定などにより利用されていないケースが約40% もあることが分かりました。Internet Explorer 11 が安全な方式を優先的に利用する設定を既定で行うことで、自動的にユーザーにより安全な環境を提供する事ができます(参考:MSRC 公式ブログ、Internet …

より安全性の高い暗号方式を利用しましょう Read More »

セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開

2013 年 11 月 28 日、セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開しました。   Windows XP および Windows Server 2003 のカーネル コンポーネントの脆弱性に関するレポートについて調査を行っています。Windows Vista 以降の Windows は、この脆弱性の影響はありません。Microsoft Active Protections Program (MAPP) メンバーの 1 社が、サードパーティ製品のリモートでコードが実行される脆弱性により危険にさらされているシステムで、この問題が悪用されていることを発見しました。この限定的な標的型攻撃は、悪意のある PDF ファイルを開かせることで、Windows XP および Windows Server 2003 に存在するこの脆弱性を悪用します。   現在、この問題に対応するセキュリティ更新プログラムの開発に向け取り組んでいますが、それまでの間、Windows XP または Windows Server 2003 をご利用のお客様は、アドバイザリで説明している「NDProxy.sys を無効にし、Null.sys に経路を切り替える」回避策の展開を検討してください。   関連リンク: Microsoft Security Response Center ブログ …

セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開 Read More »

Microsoft Releases Security Advisory 2914486

Today we released Security Advisory 2914486 regarding a local elevation of privilege (EoP) issue that affects customers using Microsoft Windows XP and Server 2003. Windows Vista and later are not affected by this local EoP issue. A member of the Microsoft Active Protections Program (MAPP) found this issue being used on systems compromised by a third-party …

Microsoft Releases Security Advisory 2914486 Read More »