Year: 2014

Advance Notification Service for the November 2014 Security Bulletin Release

Today, we provide advance notification for the release of 16 Security Bulletins. Five of these updates are rated Critical, nine are rated as Important, and two are rated Moderate in severity. These updates are for Microsoft Windows, Internet Explorer, Office, Exchange, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services …

Advance Notification Service for the November 2014 Security Bulletin Release Read More »

Security Advisory 3009008 updated

Today, we announced the availability of SSL 3.0 fallback warnings in Internet Explorer (IE) 11. For more information please visit the IE blog. We have also published an update on the status of the changes we have made to our Azure offerings in response to the SSL 3.0 vulnerability. For more information please visit the …

Security Advisory 3009008 updated Read More »

[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2

本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしているSSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。 (1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。 2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要がります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください。 (2) セキュリティアドバイザリ 3009008 に記載のある回避策について、クライアントでの回避策とサーバーでの回避策を分かりやすくするよう記載変更しました。 (3) Internet Explorer での回避策 (SSL 3.0無効化) …

[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 Read More »

Security Advisory 3010060 released

Today, we released Security Advisory 3010060 to provide additional protections regarding limited, targeted attacks directed at Microsoft Windows customers. A cyberattacker could cause remote code execution if someone is tricked into opening a maliciously-crafted PowerPoint document that contains an infected Object Linking and Embedding (OLE) file. As part of this Security Advisory, we have included an easy, …

Security Advisory 3010060 released Read More »

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開

2014/11/12 に本脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-064 として公開しました。 本日、マイクロソフト セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」を公開しました。このアドバイザリでは、すべてのサポートされるバージョンの Windows において確認された OLE オブジェクトの処理に存在する脆弱性の説明、および回避策の情報を提供しています。 ※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。 現在マイクロソフトでは、脆弱性を悪用する悪意のある Microsoft PowerPoint ファイルを利用した限定的な標的型攻撃を確認しています。 脆弱性の詳細の確認および調査が完了次第、マイクロソフトでは適切な措置を実施する予定です。これには、月例あるいは定例外セキュリティ更新プログラムの公開などを含みます。それまでの間、お客様は、アドバイザリに記載されているガイダンスに従い、回避策を適用することを検討してください。     ■影響を受ける環境 ​ Windows Server 2003 を除く、サポートされるすべてのバージョンの Windows   ■発生する可能性のある影響 悪意のあるユーザーは、以下のような方法で、ユーザーを攻撃する可能性があります。 電子メールの添付ファイルなどで、脆弱性を悪用するように細工された Microsoft Office ファイル (PowerPoint ファイル) などをユーザーに送付します。 悪意のあるウェブサイトを閲覧するよう、フィッシング メールなどで誘導します。ウェブサイトに、細工された Microsoft Office ファイル (PowerPoint ファイル) などを配置し、ユーザーに開かせるよう誘導します。  もし、細工された Microsoft Office ファイル (PowerPoint ファイル) などを開いた場合、リモートでコードが実行される可能性があります。リモートでコードが実行された場合、悪意のあるユーザーが遠隔地からあなたのコンピューターを乗っ取り、さまざまな操作を行う可能性があります。 詳細は、「絵でみるセキュリティ: …

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 Read More »

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。   ————————– 以前、こちらのブログでもお伝えしたように、8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS 14-051 (KB2976627) Internet Explorer 用の累積的なセキュリティ更新プログラムにて、古いバージョンの ActiveX コントロールの利用をブロックするセキュリティ強化の機能変更を公開し、2014 年 9 月 10 日 (日本時間) より、古いバージョンの Java のブロックを開始しています。  10 月 14 日 (米国時間) に、このセキュリティ機能の対象および機能を 11 月に拡張することを、IE Blog (英語情報) にてお知らせしました。本ブログで、その内容をお伝えします。 …

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します Read More »

2014 年 10 月のセキュリティ更新プログラムのリスク評価

本記事は、Security Research & Defense のブログ “Assessing risk for the October 2014 security updates” (2014 年 10 月 15 日公開) を翻訳した記事です。 本日、24 件の個別の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、3 件は最大深刻度が「緊急」、5 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。   セキュリティ情報 最も起こりうる攻撃 セキュリティ情報最大深刻度 最大悪用可能性指標 プラットフォーム緩和策、および特記事項 MS14-058 (カーネル モード ドライバー [win32k.sys]) 攻撃者が Office ドキュメント、または Web ブラウザを利用してユーザーのコンピューターに悪意のあるフォントをロードし、その結果、リモートでコードが実行される。 緊急 0 CVE-2014-4148 および CVE-2014-4113 の悪用が確認されています。CVE-2014-4148 は、リモートコード実行に利用されました。CVE-2014-4113 は特権の昇格に利用されました。 NULL ページ マッピングの緩和策 …

2014 年 10 月のセキュリティ更新プログラムのリスク評価 Read More »

セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開

本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。 ※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。 SSL 3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。 マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆弱性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、現時点では、悪用は確認されていません。 詳細は、セキュリティ アドバイザリ 3009008 を参照してください。   ■影響を受けるソフトウェア・環境 サポートされるすべてのバージョンの Windows ※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。   ■ 回避方法 SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。 クライアント側: グループ ポリシー、あるいは、個別にSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 …

セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 Read More »

2014 年 10 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは! 先ほど 10 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 今月から、ビデオは「ゆりか先生」が担当しています。本日  10 月 15 日に公開した新規 8 件 (緊急 3 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。 ※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。 ご利用のブラウザーは video タグをサポートしていません。 ■関連リンク ウイルスやプライバシーなど気になるセキュリティ問題について、簡単に実践できるセキュリティ対策をご紹介していますので、ぜひご覧ください。 ゆりか先生のセキュリティひとくち講座 http://www.microsoft.com/ja-jp/security/msy/default.aspx   ゆりか先生の情報セキュリティ講座 http://www.msn.com/ja-jp/news/microsoft/information

More Details About CVE-2014-4073 Elevation of Privilege Vulnerability

Today Microsoft shipped MS14-057 to the .NET Framework in order to resolve an Elevation of Privilege vulnerability in the ClickOnce deployment service. While this update fixes this service, developers using Managed Distributed Component Object Model (a .NET wrapped around DCOM) need to take immediate action to ensure their applications are secure. Managed DCOM is an …

More Details About CVE-2014-4073 Elevation of Privilege Vulnerability Read More »