日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
2014 年 11 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 11 月 12 日に公開を予定している新規月例セキュリティ情報は、合計 16 件 (緊急 5 件、重要 9 件、警告 2 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 https://technet.microsoft.com/ja-jp/library/security/bulletin/ms14-nov
セキュリティ情報 ID
総合的な深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア*
セキュリティ情報 1
緊急
リモートでコードが実行される
再起動が必要な場合あり
サポートされているすべてのエディションの Microsoft Windows
セキュリティ情報 2
要再起動
サポートされているすべてのリリースの Microsoft Windows 上の Internet Explorer
セキュリティ情報 3
サポートされているすべてのリリースの Microsoft Windows
セキュリティ情報 4
セキュリティ情報 5
特権の昇格
Microsoft Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2
セキュリティ情報 6
重要
Microsoft Word 2007、Word Viewer、および Office 互換機能パック
セキュリティ情報 7
Microsoft Windows Server 2003
セキュリティ情報 8
Microsoft Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
セキュリティ情報 9
影響を受けるリリースの Microsoft Windows 上の Microsoft .NET Framework 1.1 Service Pack 1、.NET Framework 2.0 Service Pack 2、.NET Framework 3.5、.NET Framework 3.5.1、.NET Framework 4、.NET Framework 4.5、.NET Framework 4.5.1、および .NET Framework 4.5.2
セキュリティ情報 10
Microsoft SharePoint Server 2010
セキュリティ情報 11
セキュリティ機能のバイパス
セキュリティ情報 12
Microsoft Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013
セキュリティ情報 13
Microsoft Windows 8、Windows 8.1、 Windows Server 2012、および Windows Server 2012 R2 RTM
セキュリティ情報 14
情報漏えい
Active Directory Federation Services 2.0、Active Directory Federation Services 2.1、および Active Directory Federation Services 3.0
セキュリティ情報 15
警告
Microsoft Windows Server 2003、Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、および Microsoft Office 2007
セキュリティ情報 16
サービス拒否
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
こんにちは、村木ゆりかです。
本日、脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit, EMET) の新しいバージョン 5.1 を公開しました。
ツール、およびユーザーガイドは、こちらからダウンロードできます。
[12/12 追記]
EMET 5.1 の日本語版ユーザーガイドを公開しました。ダウンロードはこちらからできます。
今回のバージョン 5.1 における主な変更点は:
Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正
いくつかの緩和策の向上およびバイパスへの対策
「Local Telemetry」機能の追加 この機能により緩和策が実行された際にメモリダンプを保存することが可能になりました。
すべての変更点は、サポート技術情報 3015976 に記載されています。
特に、Windows 7, Windows 8.1 のInternet Explorer 11 にて EMET 5.0 を利用している場合は、EAF+ の緩和策との互換性の問題が報告されていました。この問題は EMET 5.1 で修正されていますので、アップデートをすることをお勧めします。
■ Enhanced Mitigation Experience Toolkit (EMET) 基本解説 連載
Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 1 回 EMET とは
Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問
■関連リンク
Enhanced Mitigation Experience Toolkit (EMET)
EMET 5.0 ユーザー ガイド (日本語)
EMET5.1 ユーザーガイド(日本語)
EMET 緩和策のガイドライン
2014 年 11 月 12 日 (日本時間)、マイクロソフトは計 14 件 (緊急 4 件、重要 8 件、警告 2 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 3 種類のマルウェアに対応しています。
今月 7 日に公開した事前通知の内容から一部変更があります。”セキュリティ情報 5”、”セキュリティ情報 12” としてご案内していたセキュリティ情報は、問題が確認されたため、公開を見合わせています。今後適切なタイミングで公開を行う予定です。
お客様は、できるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS14-064 (Windows OLE)、MS14-065 (Internet Explorer)、および、MS14-066 (Schannel) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。
■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点
■ 既存のセキュリティ アドバイザリの更新 (2 件)
■ 2014 年 11 月のセキュリティ情報一覧 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。https://technet.microsoft.com/ja-jp/library/security/ms14-Nov
マイクロソフトは新たに確認した脆弱性について、次の 15 件の新しいセキュリティ情報を公開しました。
セキュリティ情報タイトル
最大深刻度
影響を受けるソフトウェア
MS14-064
Windows OLE の脆弱性により、リモート コードが実行される (3011443)
サポートされているすべてのエディションの
Microsoft Windows.
MS14-065
Internet Explorer 用の累積的なセキュリティ更新プログラム (3003057)
影響を受ける Windows クライアント、およびサーバー上の Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、および Internet Explorer 11
MS14-066
SChannel の脆弱性により、リモートでコードが実行される (2992611)
MS14-067
Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (2993958)
MS14-069
Microsoft Office の脆弱性により、リモートでコードが実行される (3009710)
Microsoft Word 2007、Microsoft Word Viewer、および Microsoft Office 互換機能パック
MS14-070
TCP/IP の脆弱性により、特権が昇格される (2989935)
MS14-071
Windows オーディオ サービスの脆弱性により、特権が昇格される (3005607)
Microsoft Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1
MS14-072
.NET Framework の脆弱性により、特権が昇格される (3005210)
MS14-073
Microsoft SharePoint Foundation の脆弱性により、特権が昇格される (3000431)
MS14-074
リモート デスクトップ プロトコルの脆弱性により、セキュリティ機能のバイパスが起こる(3003743)
Microsoft Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1
MS14-076
インターネット インフォメーション サービス (IIS) の脆弱性により、セキュリティ機能のバイパスが起こる (2982998)
Microsoft Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2 RTM
MS14-077
Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こる (3003381)
Active Directory フェデレーション サービス 2.0
Active Directory フェデレーション サービス 2.1、および Active Directory フェデレーション サービス 3.0
MS14-078
IME (日本語版) の脆弱性により、特権が昇格される (2992719)
Windows Server 2003、Windows Vista、 Windows Server 2008、Windows 7、および Windows Server 2008 R2、および Microsoft Office 2007
MS14-079
Windows カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (3002885)
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
皆さん、こんにちは!先ほど 11 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 11 月 12 日に公開した新規 14 件 (緊急 4 件、重要 8 件、警告 2 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。
※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。
本記事は、Security Research & Defense のブログ “Assessing risk for the November 2014 security updates” (2014 年 11 月 11 日公開) を翻訳した記事です。
本日、33 件の個別の CVE を解決する 14 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、8 件が「重要」、2 件が「警告」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃
セキュリティ情報最大深刻度
最大悪用可能性指標
プラットフォーム緩和策、および特記事項
(Windows OLE コンポーネント)
ユーザーが悪意のある Office ドキュメントを開く。
0
CVE-2014-6352 は、限定的な標的型攻撃での利用が広まっています。
(SChannel)
悪意のあるユーザーが特別に細工されたパケットを公開されているサービスに送信する。
1
社内で、事前のセキュリテ��評価の際に、発見されました。
MS14-065 (Internet Explorer)
ユーザーが悪意のある Web ページを閲覧する。
MS14-069 (Office)
ユーザーが悪意のある Word ドキュメントを開く。
Office 2010 および それ以降のバージョンは、このセキュリティ情報のいかなる脆弱性の影響も受けません。
MS14-067 (MSXML)
2
MSXML 3 のみが脆弱です。
MS14-073 (SharePoint)
ユーザーが悪意のあるリンクを開く。
これは、クロスサイト スクリプティングの脆弱性です。
(IME)
ユーザーが、Adobe リーダーで悪意のある PDF ドキュメントを開く。
CVE-2014-4077 は、悪意のある DIC ファイルを使用するバイナリ ハイジャック経由で、実際の現場での標的型攻撃 1 件に使用されました。
(Windows オーディオ サービス)
ローカルの特権の昇格のみで、サンドボックスの回避に利用される可能性があります。
(tcpip.sys)
認証 Windows ユーザーが標的システムで悪意のあるプログラムを実行する。
ローカルの特権の昇格のみです。
(.NET Framework)
攻撃者が、脆弱な Web アプリケーションに対し、悪意のあるデータを送信する。
.NET Remoting を利用していないアプリケーションは脆弱ではありません。
(IIS)
ホワイトリストだけが、正規のドメインに接続していない攻撃者にアクセスされる可能性がある。ブラックリストも同様にバイパスされる可能性がある。
3
この脆弱性が兆候を現すのは、ドメイン名制限のホワイトリスト、およびブラックリスト機能がワイルドカードを含むエントリーに使用される設定の場合です。
IP アドレス制限は影響を受けません。
(RDP)
一部のシナリオで、認証監査ログがバイパスされる可能性がある。
この脆弱性は、失敗した AuthZ シナリオのみに当てはまり、失敗した AuthN シナリオには当てはまりません。例えば、認証ユーザーのログオンが、サーバーへの RDP の特権がないユーザーに試みられた場合、そのイベント ログは記録されない場合があります。イベント ログは、不正なユーザー、あるいはパスワードが存在した場合、記録されます。
(ADFS)
一部の設定で認証ユーザーがログアウトできない可能性がある。
サインアウト エンドポイントの設定なしで SAML 依存パーティーを使用するために ADFS サーバーが設定される場合の特定の設定で兆候を現します。
(カーネル モード
ドライバー[win32k.sys])
この脆弱性はサービス拒否のみを誘発します。
スハ・カーン、MSRC エンジニアリング
本日、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。
このセキュリティ情報は、こちらのブログでもお知らせしていましたとおり、2014 年 11 月 12 日の月例セキュリティ情報公開日においては、公開が延期されていたものです。
お客様は、できるだけ早期に、セキュリティ更新プログラムを適用するようお願いします。
なお、既定の設定では自動更新が有効であるため、自動でセキュリティ更新プログラムが適用されます。
■概要
11 月 19 日に、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。
このセキュリティ更新プログラムは、Microsoft Windows Kerberos KDC の非公開で報告された 1 件の脆弱性を解決します。この脆弱性により攻撃者は、特権のないドメイン ユーザー アカウントの特権からドメイン管理者アカウントに特権を昇格します。この脆弱性が悪用されるには、有効なドメイン資格情報を所有していることが攻撃者にとっての必要条件となります。
セキュリティ情報の公開時点で、この脆弱性の内容は一般には公開されていませんが、この脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。既知の攻撃は、Windows Server 2012 または、Windows Server 2012 R2 を実行するシステムには影響を及ぼしません。
■影響を受けるソフトウェア
Windows Server 2003
Windows Vista*
Windows Server 2008**
Windows 7 *
Windows Server 2008 R2**
Windows 8*
Windows Server 2012**
Windows 8. 1*
Windows Server 2012 R2**
* 脆弱性は存在していませんが、多層防御を提供するためにセキュリティ更新プログラムが提供されています。
** Server Core インストールは影響を受けます。
■推奨するアクション
できるだけ早期に、セキュリティ更新プログラムを適用することを推奨しています。
既定の設定では自動更新が有効であるため、自動でセキュリティ更新プログラムが適用されます。
セキュリティ更新プログラムを適用後、再起動が必要です。
詳細は、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を参照してください。
本記事は、Cyber Trust ブログ “Fault Modeling for Cloud Services” (2012 年 10 月 11 日公開) を翻訳した記事です。
過去数週間に渡り、サービス停止の原因と関連する緩和策の戦略 (英語) および、クラウド サービス障害に備える重要性について投稿しました。今回は、障害によどみなく確実に対応するクラウド サービスを設計および構築するためにマイクロソフトが採用している方法の 1 つをご紹介します。この概念は目新しいものではありませんが、プロバイダーにとっても、お客様にとっても、一考の余地があるのではないかと考えています。
セキュリティ関連の問題を評価する際は、脅威のモデリングが設計プロセスの重要な手順になります。同様に、信頼できるクラウド サービスの設計プロセスでは障害のモデリングが重要です。障害のモデリングとは、サービスの相互作用点や依存関係を特定し、サービスを効率的に監視して問題を速やかに検出するためにはどこに投資すべきかをエンジニアリング チームが見極められるようにすることです。さらに、こうしたモデリングは、エンジニアリング チームを、障害に耐えるまたは障害を軽減するサービスの能力を高める効率的な対処メカニズムに導きます。
障害モデルの構築の主要なステップは次のとおりです。
コンポーネントのインベントリを作成する。インベントリには、Web サーバーでホストされるユーザー インターフェイス コンポーネント、リモート データ センターでホストされるデータベース、モデル化しているこのサービスが依存する外部サービスを含め、サービスが使用するすべてのコンポーネントが含まれます。
ユーザーのシナリオを作成する。シナリオでは、ユーザーがサービスを操作する可能性のある方法をすべて説明します。たとえば、オンライン ビデオ サービスの場合は、ログイン、ビデオ ライブラリの閲覧、ビデオの選択および視聴、視聴後のビデオの評価などについて説明します。
コンポーネントとシナリオを含むマトリックスを構築し、コンポーネントの利用を各シナリオにマッピングする。ユーザーのシナリオをコンポーネント インベントリにマッピングすると、各シナリオでどのコンポーネントにアクセスするかを特定し、依存関係や障害ポイントになりうる箇所を特定できます。
障害を処理するメカニズムを定義する。依存関係ごとに障害を処理するメカニズム (対処戦略) を定義しておけば、障害が起きたときにソフトウェアによって何らかの合理的な処置が確実に実行されます。「合理的」の意味は、サービスの機能や対処戦略で対応する障害の種類によって異なります。たとえば、自動車購入サービスのアーキテクトが、各車種の型式やモデル別の評価を示すアプリケーションを設計するとします。こうした購入サービスは、車種の比較評価を実施する別のサービスに依存することがあります。この場合、評価サービスが故障あるいは利用不能になったときの購入サービスの対処戦略は、車種のリストを一切表示しないのではなく、参考となる評価はなしに車種のリストを表示することであると思われます。つまり、特定の障害が起きても、サービスによって、顧客の立場から見た合理的な成果がもたらされるようにします。
サービスの信頼性に関する最近のホワイトペーパーをダウンロードして、これらの信頼性のトピックの詳細を確認することをお勧めします。
デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト