Webcast

2010年3月のワンポイントセキュリティ

小野寺です。2010年3月のワンポイント セキュリティ情報を公開しました。 IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。 以下の画像をクリックすると再生が始まります。 フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:http://technet.microsoft.com/ja-jp/dd251169.aspx

2010年2月のワンポイントセキュリティ

小野寺です。2010年2月のワンポイント セキュリティ情報を公開しました。 IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。 以下の画像をクリックすると再生が始まります。 フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:http://technet.microsoft.com/ja-jp/dd251169.aspx

2010年1月のワンポイントセキュリティ [特別編]

小野寺です。本日定例外で公開した MS10-002 の Internet Explorer のセキュリティ更新プログラムに関する特別版のワンポイントセキュリティ情報を公開しました。 以下の画像をクリックすると再生が始まります。 フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:http://technet.microsoft.com/ja-jp/dd251169.aspx

2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ …

2009年7月のセキュリティ情報 Read More »

2009年6月のセキュリティ情報

小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-018 (Active Directory):特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。 MS09-019 (Internet Explorer):幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。 MS09-020 (IIS):特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。 MS09-021 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。 しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。 MS09-022 (Spooler):特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。 MS09-023 (Windows Search):特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。 MS09-024 …

2009年6月のセキュリティ情報 Read More »

セキュリ亭 開店

小野寺です。 先日、お試し版で公開したセキュリ亭ですが、思いのほか受けがよかったので、5/25に正式に開店させることとしました。 「あんしん処 セキュリ亭」では、システム管理者の抱えるさまざまな悩みを、セキュリ亭の主とエンジニアが解決していきます。あんしん処 セキュリ亭 Web サイト: http://technet.microsoft.com/ja-jp/security/dd767538.aspx 今後の予定としては、 「社内のセキュリティ教育」「安全なWebサイトの作りかた」「知っておいて損のない法律面」等を考えていますが、時事も見ながら公開していこうと思っています。 扱ってほしい話題があれば、上記サイトの右上の「クリックして評価とフィードバックをお寄せください」から、フィードバックを送っていただければ、あなたの悩みを解決させていただくかも