Japan Security Team

Windows Vistaの1年間の脆弱性に関するレポート

小野寺です。 2006年の11月末に Windows Vista を出荷してから一年以上が経過しました。出荷から一年間のWindows Vista, XPの脆弱性についてのレポートを公開しました。Windowsだけではなく、Red Hat Linux, Ubuntu および Mac OSについても合わせて分析しています。 この分析の結果、Windows Vistaが Security Development Lifecycle (SDL) の効果により、脆弱性数が確認することができます。もちろん、脆弱性の数 = 製品の安全性ではなく、最終的な安全性は色々な要素で決まります。とはいえ、脆弱性は少ないに越したことないわけで、指標の一つとして面白いレポートになっていると思います。 レポートは以下からダウンロード可能です。http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.xps (XPS)http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.pdf (PDF) 英語版のレポートは、2008/1/23 からレポートの著者である、Jeff Jones Security Blogで公開しています。http://blogs.technet.com/security/archive/2008/01/23/download-windows-vista-one-year-vulnerability-report.aspx  

2008年2月のセキュリティリリース

小野寺です 今月は、事前通知で 12 件 (緊急7件、重要5件) とお伝えしましたが、1 件をキャンセルし、計 11 件 (緊急6件、重要5件)の公開となります。 テストプロセスの中で、品質にかかわる問題が見つかったためです。 今月は、セキュリティ情報公開時点での、悪用は確認されていませんが、MS08-010 (Internet Explorer)の 「ActiveX オブジェクトのメモリの破損の脆弱性- CVE-2007-4790」は、今回の対応前に情報が公開されており、Microsoft Visual FoxPro FPOLE.OCX ActiveX control buffer overflow と呼ばれていました。 今回は、数が多い以外は、現在のところ大きな特記事項はありませんが、強いてあげると MS08-008 (OLE) は、再配布モジュール (oleaut32.dll)を修正していますので、このモジュールを含むアプリケーションの利用者は、開発(販売)元に問い合わせる必要があります。また、開発者は、各人のアプリケーションに、新しい oleaut32.dll を入れて新たにパッケージするか、共有コンポーネントを使うように構成を変更する必要があります。 今月のセキュリティ情報のストリーミング配信を午後を予定しています。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年2月のセキュリティリリース予定

小野寺です 今月は、計 12 件 (緊急 7 件、重要 5 件) の公開を予定しています。リリース日は、週明け水曜日 (02/13) です。加えて、セキュリティ以外の更新プログラムが Microsoft Update 経由で 7 件 と Internet Explorer 7 の自動更新による配信も同時に行います。例月よりも多くの更新プログラムを配信しますので環境によっては、段階的な配信等を検討する必要があるかもしれません。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-feb.mspx 影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Windows, Active Directory, ADAM 重要 サービス拒否 MBSA 必要 セキュリティ情報 2 Windows 重要 サービス拒否 MBSA 必要 セキュリティ情報 3 Windows, IIS 重要 特権の昇格 MBSA 必要 セキュリティ情報 4 …

2008年2月のセキュリティリリース予定 Read More »

ついに、 Windows Server 2008完成!

小野寺です。 Windows Server 2008 日本語版が、ついて完成し製造工程向けの出荷を開始しました。MSDNやTechNetサブスクリプション会員の方は、すでにダウンロード可能です。 Windows Server 2008 は、Windows Vista 同様に Security Development Lifecycle (SDL) に基づいて開発された製品であり、セキュリティに特化した設計時の脅威分析とそれに基づいた防護策が色々と施されています。発見された1つの脅威に対して、複数の防護策をとる多層防御の考え方が、製品その物に息づいてていると思っています。Windows Vista の場合で、出荷後 1 年間の脆弱性数を Windows XP と比較するだけでも 1/3 に減少しています。Windows Server 2008 でも、同様以上の結果ができるものと期待したいですね。(この辺の詳しいレポートは、近日このブログで公開しようと思います) また、今まで個々の PC やサーバーのセキュリティをそれぞれに維持することで、ネットワーク全体のセキュリティレベルを維持してきました。Windows Server 2008 の出荷により、ネットワーク アクセス保護機能 (いわゆる NAP)が使えるようになりますので、ネットワークが自律的にセキュリティを維持することができるようになります。セキュリティは、理想的には、セキュリティ対策のための対策ではなく、適切な全体運用統制の結果としてセキュリティも維持管理されるわけですが、その理想に少し容易に近づけるようになったのかもしれません。 これからが、楽しみです。製品情報サイトURL: http://www.microsoft.com/japan/windowsserver2008/ 開発者向け情報提供サイト:MSDN Windows デベロッパー センター Windows Server 2008 URL:http://www.microsoft.com/japan/msdn/windows/windowsserverlonghorn/ ITエンジニア向け情報サイト: TechNet Windows Server テックセンターURL: http://www.microsoft.com/japan/technet/windowsserver/default.mspx

Excelの脆弱性

小野寺です。 本日、Excelの脆弱性に関してセキュリティ アドバイザリ 947563を公開しました。  http://www.microsoft.com/japan/technet/security/advisory/947563.mspx 不正に細工された、Excel ファイルを開くことで、影響を受ける可能性があります。この脆弱性は、広範囲に悪用が確認されているわけではなく、限定された範囲でのみ確認されています。 影響を受けるのは、Excel 2000 (Office 2000) /Excel 2002 (Office XP)/Excel 2003 SP2以前 (Office 2003), Excel Viewer 2003/Excel 2004 for Macになります。 以下のバージョンは影響を受けません – Excel 2003 SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206) – Excel 2007 – Excel 2008 for Mac また、Excel 2003 (Office 2003) の場合は、SP3 を適用する以外に、以下で紹介している MOICE (Microsoft Office Isolated Conversion Environment)を使うのも今回の脆弱性の対応には有効です。  http://www.microsoft.com/japan/technet/security/advisory/937696.mspx

あなたのPCは大丈夫? (CHECK PC!)

小野寺です。 今日からCHECK PC! の本年度版が始まったみたいです。今年は、「上戸彩」さんがイメージキャラクターの様です。 http://www.checkpc.jp/top.html 私も、一通り試してみましたが、この分かり易さはマイクロソフトのサイトでも見習っていきたいですね。リスク診断を行うと、その対策や説明も表示されますが、Windows ユーザー向けの情報を以下にまとめておきます。(ちなみに、私のリスク診断はちゃんと 0 リスクでした) スパイウェア Windows Vistaには、Windows Defender というスパイウェア対策ソフトが標準で搭載されていますので、それを利用していただくのが第一歩です。 Windows XP のユーザーは、以下のサイトから、Windows Defender を無償で入手できます。 http://www.microsoft.com/japan/athome/security/spyware/software/default.mspx フィッシング Internet Explorer 7 から、フィッシングフィルタが標準搭載されました。自動検出とブラックリストの組み合わせで動いています。  Windows Vista は、標準搭載、Windows XP は、以下のサイトから無償で入手できます。http://www.microsoft.com/japan/windows/downloads/ie/getitnow.mspx 不正アクセス 悪用の手口をしって、気おつけていくことも大切ですが、まずは、OSやアプリケーションを最新の状態にすることが必要です。 Microsoft Update を使うことで、Windwos,Office などを一括して更新することができます。 http://microsoftupdate.microsoft.com ウイルス ウイルス対策は、もしもの時にために導入することを強くお勧めします。 マイクロソフト製のウイルス対策ソフトなら Windows Live OneCare (http://onecare.live.jp/) があります。(企業向けは Forefront です) 他社からも提供されており、詳しくは以下   Windows XP用: http://www.microsoft.com/japan/athome/security/viruses/wsc/ja/default.mspx   Windows Vista用: http://www.microsoft.com/japan/athome/security/update/windowsvistaav.mspx また、プロバイダ各社で、セキュリティサービスを提供しており、それを併用するのもお勧めです。   http://www.microsoft.com/japan/security/msra/giais.mspx

1 月のワンポイントセキュリティ (正月バージョン)

小野寺です。 12 月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – January 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspxまた、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。

2008年1月のセキュリティリリース & Podcasting

小野寺です 今年最初のセキュリティ情報の公開は、事前通知でお伝えした通り緊急1件、重要1件の計2件です。加えて、セキュリティアドバイザリを 1件公開しています。今月は、セキュリティ情報公開時点での、悪用は確認されていません。 MS08-001: Windows TCP/IP の脆弱性により、リモートでコードが実行される (941644)このセキュリティ情報が、緊急に分類されている 1 件ですが、ネットワークを通じて特別に細工されたIGMP/MLDパケットを受け取ることで、攻撃される可能性があるためです。Windows XP SP2 以降であれば、各クライアントにファイアウォールもありますし、過去に発生したネットワーク経由でのワームの拡散の可能性は余りないのではないかと個人的には、思っています。Windows 2000 についても、影響を受けるのは、サービス拒否 (DoS)の脆弱性のみであるため、こちらも拡散に使われる可能性は少なそうです。とはいえ、どちらも、攻撃できる可能性が存在していることには変わりはありませんし、企業内などでビデオ会議システムや、オンラインラーニング等を行っている場合は、マルチキャスト (IGMP/MLD)を使っている可能性もあり、その場合はファイアウォールでは防ぐことができないことも考えられますので、早めの対処が望ましいでしょう。 セキュリティ アドバイザリ: Windows サイドバーの保護を強化する更新プログラム (943411)今回のアドバイザリは、脆弱性に関するものではなく、セキュリティ機能の強化のための更新プログラムを提供開始したた事をお知らせするものです。Windows Vistaのサイドバーには各社のガジェットを追加することができますが、そのガジェットの動作を禁止することが可能になります。 今月のセキュリティ情報のストリーミング配信を午後を予定しています。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx また、今月から Podcast配信 (RSS) の提供もはじめました。公開にあたって、MVPの方々には、β段階で色々なフィードバックをいただきました。改めて感謝いたします。まだ、いただいたフィードバックのすべてを、反映できているわけではありませんが、改善しながら提供を続けていきます。

2008年1月のセキュリティリリース予定

小野寺です あけましておめでとうございます。本年も、より安心・安全なコンピューター環境を実現できるよう活動してまいりますので、よろしくお願いいたします。 さて、セキュリティ更新の提供も、刻々と変化するセキュリティ事情や悪用の手法に対応するための一つの方法な訳ですが、今月は、計 2 件 (緊急 1 件、重要 1 件)の公開を予定しています。リリース日は、週明け水曜日 (01/09) です。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-jan.mspx 影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Windows 緊急 リモートでコードが実行される MBSA 必要 セキュリティ情報 2 Windows 重要 ローカルの特権の昇格 MBSA 必要

MS07-069適用後の問題に対処する更新を公開

 五味です。   12月12日に公開した「MS07-069 Internet Explorer 用の累積的なセキュリティ更新プログラム」を適用後、Windows XP SP2 上の Internet Explorer 6 を使用している環境で、特定のウェブサイトを参照すると Internet Explorer 6 が異常終了する現象がありました。(問題の詳細はこちら KB946627)   先ほど、この現象に対する更新プログラムを公開しました。 http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=cc096493-367d-4d28-80ab-2a70139ae839   Windows Update/Microsoft Update/WSUS/自動更新でも入手可能です。