脆弱性

5月のワンポイントセキュリティ

小野寺です。 5月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – May 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年5月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急3件, 警告1件)を公開しました。加えて、Jetに関するセキュリティ更新の提供に伴って、セキュリティアドバイザリ 950627 を更新しています。 また、MS06-069 も更新していますが、こちらは今月の公開との関連性はありません。 少し詳しく見ていきます。 まずは、MS08-028 (Jetのセキュリティ情報) ですが、セキュリティアドバイザリ 950627 で言及していた問題について対策を行っています。 アドバイザリに関していれば、Wordを通じてJetを悪用する方法だったわけですが、Jetの脆弱性は、MS08-028のみで対策可能です。MS08-026の適用により、WordからSQL コマンドまたはクエリを実行する前にユーザーに確認メッセージを表示します。将来的な攻撃経路 (Attacking vector)を減らすためにJet同様に適用をお勧めしたいですね。ちなみに、Jetですが・・・よく Office 製品 (Access) が入っていない環境は関係ないと誤解されているみたいですが、セキュリティ情報に書いてあるとおり、Jet自体はWindowsのコンポーネントです。Access(*.mdb)は、Jetを使うアプリケーションの一つに過ぎず、Jet形式は、結構色々な処で使われていたりします。 次に、MS08-029 (セキュリティ ソフトウェアのセキュリティ情報) は、Forefront Client Protection, OneCare, Windows Defender 等で利用している。Microsoft Malware Protection Engine で発生しうるサービス拒否の問題に対処しているのです。とはいえ、常に最新の状態で使っているユーザーは、基本的に新たにアクションをとる必要がありません。 対策されたエンジン自体は、いわゆる定義ファイルとして配信しているためです。 セキュリティ製品といえば、2007年7月~12月期について分析した セキュリティインテリジェンスレポート (SIR) の最新版(4版) を先日から公開しています。日本語の要約版も公開していますので、これを機に今のマルウェアや脆弱性の動向を見てみるのも良いかも。 このレポートは、世界中のデータをもとに編纂していますが、近いうちに日本に特化したものも、Blogで触れてみたいとは思っております。 今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年5月のセキュリティリリース予定

小野寺です。 今月は、計 4 件 (緊急3件, 警告1件) の公開を予定しています。リリース日は、週明け水曜日 (05/14) です。今年は、GW後に1週間の余裕があったので、正直なところ助かりました。昨年は、GW明けすぐのリリースだったため、色々と大変でした・・・ さて、話がそれましたが、セキュリティ更新のほかに、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx をご覧ください。 ちなみに、セキュリティ情報の識別番号を (セキュリティ情報 1等)を、より内容のわかる名前に変更しましました。今月からは、セキュリティ情報の識別名と名前を変え、”Wordのセキュリティ情報”といった形で製品・テクノロジ名を含む形にしてみました。さて、今月対応予定の製品として、「Diagnostics and Recovery Toolset (DaRT) 6.0 の Standalone System Sweeper」なるものがありますが、多くの方はあまり見慣れていないのではないかと思います。 これは、MDOP (Microsoft Deplyment Optipazation Pack)というSA契約者向けに提供しているツールキットに含まれるものひとつです。この Standalone System Sweeper は、ウイルスやスパイウェアなどのマルウェアに感染したPCをオフラインで駆除するものとなります。事前に別のPCで最新の定義ファイルを含めて、CDを作成する事で、感染PCでCD起動して駆除できるという意外と便利な一品だったりします。 そのほか、JETの更新も予定しています。どんな更新かは、たぶん皆様のご想像のとおりです。 影響を受ける製品 最大深刻度 影響 検出方法 再起動 Word のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 Publisher のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される …

2008年5月のセキュリティリリース予定 Read More »

Secureity Development Lifecycle

小野寺です。 本日、Security Development Lifecycle (SDL) Guidance が公開されました。  http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en 思い起こせば、2001年の頃に始まった SD3+C (Secure by Design,  by Default and in Deployment + Communication)が、発展して SDL になりました。現在の形になるまで、紆余曲折がいろいろあったのですが、現在は、Microsoftの色々な製品の色々な開発スタイル・プロセスに融合して製品・サービスのセキュリティを確保する基礎となっています。Windows Vista も、今回公開された SDL v3.2をベースに開発がおこなわれています。 現在は、オンライン版も書籍も英語ではありますが、ぜひ一読いただきたい資料です。(個人としては、ぜひ日本語化したいと思っています)今月末に開催される、RSA Conference 2008 に、この SDL を担当している Eric Bidstrup を招聘していて SDLを如何にして浸透させたか等を話してもらうことになっています。同時通訳でお送りしますので、開発、品質管理、プロジェクト管理等に係る方にはお勧めです。   マイクロソフトのセキュリティ開発ライフサイクル―より安全なソフトウェアの構築  https://rsacon2008.smartseminar.jp/public/session/view/60  このあたりの情報も、今後おりを見て日本語サイトで公開していきたいな・・・

4月のワンポイントセキュリティ

小野寺です。 4月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – April 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspxまた、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。

2008年4月のセキュリティリリース予定

小野寺です 今月は、計 8 件 (緊急5件, 重要3件) の公開を予定しています。リリース日は、週明け水曜日 (04/09) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。Microsoft Updateで配信する更新について、以前は件数のみをお知らせしていましたが、今月から可能な限りその内容についてもお伝えしています。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx をご覧ください。 また、今月のInternet Explorer向けの更新には、ActiveX コントロールの動作変更を含んでおり、適用後は、「このコントロールをアクティブ化して使用するにはクリックしてください」のメッセージが表示されなくなります。詳細は、http://www.microsoft.com/japan/msdn/ie/community/070223_blog.mspxをご覧ください。 影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Windows 緊急 リモートでコードが実行される MBSA 必要 セキュリティ情報 3 Microsoft Windows 緊急 リモートでコードが実行される MBSA 必要 セキュリティ情報 4 Microsoft Windows, Internet Explorer 緊急 リモートでコードが実行される MBSA …

2008年4月のセキュリティリリース予定 Read More »

Jet Database Engine (Jet) の脆弱性

小野寺です。 Microsoft Jet Database Engine (Jet) に関する脆弱性 Word を通じて悪用された事がわかり現在調査を行っています。今回は、OSとWordのバージョンの組み合わせによって、影響の有無が変化します。 攻撃の入り口となる Word は、以下の通りです。   Microsoft Word 2007 および Microsoft Word 2007 Service Pack 1  Microsoft Word 2003 Service Pack 2 および Service Pack 3  Microsoft Word 2002 Serivce Pack 3  Microsoft Word 2000 Service Pack 3 実際に脆弱性の悪用が可能中のは以下の OS と上記に Word が組み合わされた場合になります。   Windows Server 2003 Service …

Jet Database Engine (Jet) の脆弱性 Read More »

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース)

小野寺です。 先日お知らせした、Excel 2003 でMS08-014 を適用すると、配列数式としてリアル タイム データ ソースを参照するユーザー定義関数を使用すると、誤った値が返されまる現象に対処した、新しい MS08-014 の提供を開始しました。もちろん、Microsoft Update でも配信していますので、自動更新による配信をまつは、windowsupdate.microsoft.com に行くことで以下の新版が、表示されるはずです。  Microsoft Office Excel 2003 セキュリティ更新プログラム: KB943985 v2 新しいバージョンが、すでにインストールされているかは、ファイルバージョンを見るか、インストールした更新の一覧を確認します。1) ファイルバージョンを確認%programfiles%\Microsoft Office\OFFICE11 にある Excel.exe のバージョンを確認します。 2008/03/12 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8206.0)2008/03/20 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8211.0) 2) インストールした更新の一覧を確認XP は、「プログラムの追加と削除」で「更新プログラムの表示」を選択、Windows Vista は、「プログラムのアンインストール」から「インストールされた更新プログラムを表示」を選択します。 2008/03/12 公開のセキュリティ更新を適用した環境:   Security Update for Excel 2003 (KB943985): EXCEL2008/03/20 公開のセキュリティ更新を適用した環境:  Security Update for Excel …

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース) Read More »

2008年3月のセキュリティリリース (Office 以外も注意)

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。 今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。 MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの”Office以外の製品”にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。影響を受ける OWC を含む製品は以下となります。 開発環境 (クライアント)Visual Studio .NET 2002 Service Pack 1Visual Studio .NET 2003 Service Pack 1 サーバー環境Microsoft BizTalk Server 2000Microsoft BizTalk Server 2002Microsoft …

2008年3月のセキュリティリリース (Office 以外も注意) Read More »

2008年3月のセキュリティリリース予定

小野寺です 今月は、計 4 件 (緊急4 件) の公開を予定しています。リリース日は、週明け水曜日 (03/12) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムが Microsoft Update 経由で 2 件となっています。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx   影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 3 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 4 Microsoft Office Web Components 緊急 リモートでコードが実行される MBSA 必要 # …

2008年3月のセキュリティリリース予定 Read More »