jsecteam

2008年4月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。 特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。 具体的には、以下のような流れです。  1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)  2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)  3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる) MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。 今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx  

VB100% Award 受賞

小野寺です。 イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。 2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました。これまで、対応するプラットフォームでのテストにはすべて参加しているのですが、OneCareが過去4回のテストで3度目の受賞、Forefrontは、5回のテストですべて受賞することができています。   Microsoft Forefront Client Security (1.5.1937.0)      Microsoft Windows Live OneCare (2.0.2500.22)    より詳細な結果は、以下から誰でも見ることができます。(登録は必要ですが・・・)http://www.virusbtn.com/vb100/archive/results?display=vendors この結果だけで、すべての性能が決まるわけではありませんが、やはり受賞できるというのは、中々に良いものです。

2008年4月のセキュリティリリース予定

小野寺です 今月は、計 8 件 (緊急5件, 重要3件) の公開を予定しています。リリース日は、週明け水曜日 (04/09) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。Microsoft Updateで配信する更新について、以前は件数のみをお知らせしていましたが、今月から可能な限りその内容についてもお伝えしています。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx をご覧ください。 また、今月のInternet Explorer向けの更新には、ActiveX コントロールの動作変更を含んでおり、適用後は、「このコントロールをアクティブ化して使用するにはクリックしてください」のメッセージが表示されなくなります。詳細は、http://www.microsoft.com/japan/msdn/ie/community/070223_blog.mspxをご覧ください。 影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Windows 緊急 リモートでコードが実行される MBSA 必要 セキュリティ情報 3 Microsoft Windows 緊急 リモートでコードが実行される MBSA 必要 セキュリティ情報 4 Microsoft Windows, Internet Explorer 緊急 リモートでコードが実行される MBSA …

2008年4月のセキュリティリリース予定 Read More »

Jet Database Engine (Jet) の脆弱性

小野寺です。 Microsoft Jet Database Engine (Jet) に関する脆弱性 Word を通じて悪用された事がわかり現在調査を行っています。今回は、OSとWordのバージョンの組み合わせによって、影響の有無が変化します。 攻撃の入り口となる Word は、以下の通りです。   Microsoft Word 2007 および Microsoft Word 2007 Service Pack 1  Microsoft Word 2003 Service Pack 2 および Service Pack 3  Microsoft Word 2002 Serivce Pack 3  Microsoft Word 2000 Service Pack 3 実際に脆弱性の悪用が可能中のは以下の OS と上記に Word が組み合わされた場合になります。   Windows Server 2003 Service …

Jet Database Engine (Jet) の脆弱性 Read More »

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース)

小野寺です。 先日お知らせした、Excel 2003 でMS08-014 を適用すると、配列数式としてリアル タイム データ ソースを参照するユーザー定義関数を使用すると、誤った値が返されまる現象に対処した、新しい MS08-014 の提供を開始しました。もちろん、Microsoft Update でも配信していますので、自動更新による配信をまつは、windowsupdate.microsoft.com に行くことで以下の新版が、表示されるはずです。  Microsoft Office Excel 2003 セキュリティ更新プログラム: KB943985 v2 新しいバージョンが、すでにインストールされているかは、ファイルバージョンを見るか、インストールした更新の一覧を確認します。1) ファイルバージョンを確認%programfiles%\Microsoft Office\OFFICE11 にある Excel.exe のバージョンを確認します。 2008/03/12 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8206.0)2008/03/20 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8211.0) 2) インストールした更新の一覧を確認XP は、「プログラムの追加と削除」で「更新プログラムの表示」を選択、Windows Vista は、「プログラムのアンインストール」から「インストールされた更新プログラムを表示」を選択します。 2008/03/12 公開のセキュリティ更新を適用した環境:   Security Update for Excel 2003 (KB943985): EXCEL2008/03/20 公開のセキュリティ更新を適用した環境:  Security Update for Excel …

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース) Read More »

2008年3月のリリースに関する追加情報

小野寺です。  MSRC Blogでも、書いていますが、MS08-014 を提供した環境で計算結果に違いが出る現象が発見され現在調査を行っています。 この現象の影響を受けるのは、以下の製品で他のバージョンは、影響受けません。  Excel 2003 Service Pack 2 + MS08-014  Excel 2003 Service Pack 3 + MS08-014 加えて、現在分かっている範囲で現象の発生条件は、以下のすべてを満たす場合となります。  – Visual Basic for Applications (いわゆるマクロ)から、Real Time Data (RTD) Sourceを使っている  – RTD を使った、ある程度複雑なクエリを処理している。 詳細は、セキュリティ情報 MS08-014 の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」に記載しています。  http://www.microsoft.com/japan/technet/security/bulletin/ms08-014.mspx この現象への対策などの更新情報は、セキュリティ警告サービスを通じて行う予定です。

3月のワンポイントセキュリティ (春らしい版)

小野寺です。 3月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – March 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspxまた、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。

2008年3月のセキュリティリリース (Office 以外も注意)

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。 今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。 MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの”Office以外の製品”にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。影響を受ける OWC を含む製品は以下となります。 開発環境 (クライアント)Visual Studio .NET 2002 Service Pack 1Visual Studio .NET 2003 Service Pack 1 サーバー環境Microsoft BizTalk Server 2000Microsoft BizTalk Server 2002Microsoft …

2008年3月のセキュリティリリース (Office 以外も注意) Read More »

2008年3月のセキュリティリリース予定

小野寺です 今月は、計 4 件 (緊急4 件) の公開を予定しています。リリース日は、週明け水曜日 (03/12) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムが Microsoft Update 経由で 2 件となっています。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx   影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 3 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 4 Microsoft Office Web Components 緊急 リモートでコードが実行される MBSA 必要 # …

2008年3月のセキュリティリリース予定 Read More »

今度のFIRST TC は東京開催だ!

小野寺です。 世界各国の Incident Response (インシデント対応)にかかわる人たちが加盟する FIRST という組織がありますが、定期的に集まって、Technical Colloquia (TC) を開いています。そこで、いろいろな情報交換が行われるわけですが、このTCには基本的に FIRSTのメンバーしか参加できません。 しかし、今回の東京開催では、日本国内の FIRST メンバーが主催で、誰でも参加可能な Joint Workshop on Security 2008,Tokyo を開催します。タイムテーブルをみると結構な充実ぶりなので、インシデント対応にかかわる人は参加して損はないのではないかと個人的に思っています。 詳細と登録は、以下のサイトへhttps://regist.e-side.co.jp/product_info.php?products_id=105