- 5月のワンポイントセキュリティ
-
小野寺です。
5月のワンポイントセキュリティを公開しました。
Video: Security Updates This Month - May 2008
soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
- 2008年5月のセキュリティリリース
-
小野寺です
今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急3件, 警告1件)を公開しました。
加えて、Jetに関するセキュリティ更新の提供に伴って、セキュリティアドバイザリ 950627 を更新しています。 また、MS06-069 も更新していますが、こちらは今月の公開との関連性はありません。
少し詳しく見ていきます。
まずは、MS08-028 (Jetのセキュリティ情報) ですが、セキュリティアドバイザリ 950627 で言及していた問題について対策を行っています。 アドバイザリに関していれば、Wordを通じてJetを悪用する方法だったわけですが、Jetの脆弱性は、MS08-028のみで対策可能です。MS08-026の適用により、WordからSQL コマンドまたはクエリを実行する前にユーザーに確認メッセージを表示します。将来的な攻撃経路 (Attacking vector)を減らすためにJet同様に適用をお勧めしたいですね。
ちなみに、Jetですが・・・よく Office 製品 (Access) が入っていない環境は関係ないと誤解されているみたいですが、セキュリティ情報に書いてあるとおり、Jet自体はWindowsのコンポーネントです。Access(*.mdb)は、Jetを使うアプリケーションの一つに過ぎず、Jet形式は、結構色々な処で使われていたりします。
次に、MS08-029 (セキュリティ ソフトウェアのセキュリティ情報) は、Forefront Client Protection, OneCare, Windows Defender 等で利用している。Microsoft Malware Protection Engine で発生しうるサービス拒否の問題に対処しているのです。
とはいえ、常に最新の状態で使っているユーザーは、基本的に新たにアクションをとる必要がありません。 対策されたエンジン自体は、いわゆる定義ファイルとして配信しているためです。 セキュリティ製品といえば、2007年7月~12月期について分析した セキュリティインテリジェンスレポート (SIR) の最新版(4版) を先日から公開しています。日本語の要約版も公開していますので、これを機に今のマルウェアや脆弱性の動向を見てみるのも良いかも。 このレポートは、世界中のデータをもとに編纂していますが、近いうちに日本に特化したものも、Blogで触れてみたいとは思っております。
今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
- 2008年5月のセキュリティリリース予定
-
小野寺です。
今月は、計 4 件 (緊急3件, 警告1件) の公開を予定しています。
リリース日は、週明け水曜日 (05/14) です。今年は、GW後に1週間の余裕があったので、正直なところ助かりました。昨年は、GW明けすぐのリリースだったため、色々と大変でした・・・ さて、話がそれましたが、セキュリティ更新のほかに、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx をご覧ください。
ちなみに、セキュリティ情報の識別番号を (セキュリティ情報 1等)を、より内容のわかる名前に変更しましました。今月からは、セキュリティ情報の識別名と名前を変え、”Wordのセキュリティ情報”といった形で製品・テクノロジ名を含む形にしてみました。
さて、今月対応予定の製品として、「Diagnostics and Recovery Toolset (DaRT) 6.0 の Standalone System Sweeper」なるものがありますが、多くの方はあまり見慣れていないのではないかと思います。 これは、MDOP (Microsoft Deplyment Optipazation Pack)というSA契約者向けに提供しているツールキットに含まれるものひとつです。この Standalone System Sweeper は、ウイルスやスパイウェアなどのマルウェアに感染したPCをオフラインで駆除するものとなります。事前に別のPCで最新の定義ファイルを含めて、CDを作成する事で、感染PCでCD起動して駆除できるという意外と便利な一品だったりします。
そのほか、JETの更新も予定しています。どんな更新かは、たぶん皆様のご想像のとおりです。
|
影響を受ける製品 |
最大深刻度 |
影響 |
検出方法 |
再起動 |
|
Word のセキュリティ情報 |
Microsoft Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
|
Publisher のセキュリティ情報 |
Microsoft Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
|
Jet のセキュリティ情報 |
Microsoft Windows |
緊急 |
リモートでコードが実行される |
MBSA |
必要な場合あり |
|
セキュリティ ソフトウェア
のセキュリティ情報 |
Windows Live OneCare,
Microsoft Antigen,
Microsoft Windows Defender,
Microsoft Forefront Security |
警告 |
サービス拒否 |
MBSA |
不要 |
- なめ猫スクリーンセーバー&セキュリティ対策キット
-
小野寺です。
現在、「スキルチャージ プログラム」なるエンジニア向けにスキルアップの為の無償支援をしようという企画を行っています。
その中で、もちろんセキュリティも含まれており、左の画像の、「セキュリティ対策キット」として、セキュリティリンク集とマイクロソフトの情報源、製品情報をひとまとめにしたものを提供しています。
そして、人によっては新しい、人によっては懐かしい「なめ猫」を使ったスクリーンセーバーも用意してみました。このスクリーンセーバーは、RSSを使って、このBlogとセキュリティ情報をお知らせします。ちなみに、毎日、なめ猫があなたのセキュリティ?を占ってくれます。
このほか、OneCareプレゼントや、セキュリティ以外でも面白い企画があるので、興味のある人はぜひ。
http://www.microsoft.com/japan/powerpro/skillcharge/default.mspx
- 最近のWeb改ざんとかSQLインジェクションとか
-
小野寺です。
3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。
4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。
SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx
実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。
最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。
;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略)
そのほか、特殊記号 (' ; --等)がログに残っている場合も同様に注意が必要でしょう。
問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。
最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。
すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。
- Secureity Development Lifecycle
-
小野寺です。
本日、Security Development Lifecycle (SDL) Guidance が公開されました。
http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en
思い起こせば、2001年の頃に始まった SD3+C (Secure by Design, by Default and in Deployment + Communication)が、発展して SDL になりました。
現在の形になるまで、紆余曲折がいろいろあったのですが、現在は、Microsoftの色々な製品の色々な開発スタイル・プロセスに融合して製品・サービスのセキュリティを確保する基礎となっています。Windows Vista も、今回公開された SDL v3.2をベースに開発がおこなわれています。
現在は、オンライン版も書籍も英語ではありますが、ぜひ一読いただきたい資料です。(個人としては、ぜひ日本語化したいと思っています)
今月末に開催される、RSA Conference 2008 に、この SDL を担当している Eric Bidstrup を招聘していて SDLを如何にして浸透させたか等を話してもらうことになっています。同時通訳でお送りしますので、開発、品質管理、プロジェクト管理等に係る方にはお勧めです。
マイクロソフトのセキュリティ開発ライフサイクル―より安全なソフトウェアの構築
https://rsacon2008.smartseminar.jp/public/session/view/60
このあたりの情報も、今後おりを見て日本語サイトで公開していきたいな・・・
- 4月のワンポイントセキュリティ
-
小野寺です。
4月のワンポイントセキュリティを公開しました。
Video: Security Updates This Month - April 2008
soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
また、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。
- 2008年4月のセキュリティリリース
-
小野寺です
今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。
今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。
特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。
適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。
具体的には、以下のような流れです。
1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)
2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)
3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる)
MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。
今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
- VB100% Award 受賞
-
小野寺です。
イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。
このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。
2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました。これまで、対応するプラットフォームでのテストにはすべて参加しているのですが、OneCareが過去4回のテストで3度目の受賞、Forefrontは、5回のテストですべて受賞することができています。
Microsoft Forefront Client Security (1.5.1937.0)
Microsoft Windows Live OneCare (2.0.2500.22)
より詳細な結果は、以下から誰でも見ることができます。(登録は必要ですが・・・)
http://www.virusbtn.com/vb100/archive/results?display=vendors
この結果だけで、すべての性能が決まるわけではありませんが、やはり受賞できるというのは、中々に良いものです。
- 2008年4月のセキュリティリリース予定
-
小野寺です
今月は、計 8 件 (緊急5件, 重要3件) の公開を予定しています。
リリース日は、週明け水曜日 (04/09) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。
Microsoft Updateで配信する更新について、以前は件数のみをお知らせしていましたが、今月から可能な限りその内容についてもお伝えしています。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx をご覧ください。
また、今月のInternet Explorer向けの更新には、ActiveX コントロールの動作変更を含んでおり、適用後は、「このコントロールをアクティブ化して使用するにはクリックしてください」のメッセージが表示されなくなります。詳細は、http://www.microsoft.com/japan/msdn/ie/community/070223_blog.mspxをご覧ください。
|
影響を受ける製品 |
最大深刻度 |
影響 |
検出方法 |
再起動 |
|
セキュリティ情報 1 |
Microsoft Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
|
セキュリティ情報 2 |
Microsoft Windows |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 3 |
Microsoft Windows |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 4 |
Microsoft Windows, Internet Explorer |
緊急 |
リモートでコードが実行される |
MBSA |
必要な場合あり |
|
セキュリティ情報 5 |
Microsoft Windows, Internet Explorer |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 6 |
Microsoft Windows |
重要 |
なりすまし |
MBSA |
必要 |
|
セキュリティ情報 7 |
Microsoft Windows |
重要 |
特権の昇格 |
MBSA |
必要 |
|
セキュリティ情報 8 |
Microsoft Office |
重要 |
リモートでコードが実行される |
MBSA |
不要 |
- Jet Database Engine (Jet) の脆弱性
-
小野寺です。
Microsoft Jet Database Engine (Jet) に関する脆弱性 Word を通じて悪用された事がわかり現在調査を行っています。
今回は、OSとWordのバージョンの組み合わせによって、影響の有無が変化します。
攻撃の入り口となる Word は、以下の通りです。
Microsoft Word 2007 および Microsoft Word 2007 Service Pack 1
Microsoft Word 2003 Service Pack 2 および Service Pack 3
Microsoft Word 2002 Serivce Pack 3
Microsoft Word 2000 Service Pack 3
実際に脆弱性の悪用が可能中のは以下の OS と上記に Word が組み合わされた場合になります。
Windows Server 2003 Service Pack 1 (msjec40.dll - 4.0.90250.0)
Windows XP Servicce Pack 2 (msjet40.dll - 4.0.8618.0)
Windows 2000 Service Pack 4 (msjet40.dll - 4.0.7321.0)
それ以外の以下の OS は、影響を受けません。
Windows Server 2008 (msjet40.dll - 4.0.9704.0)
Windows Server 2003 Service Pack 2 (msjet40.dll - 4.0.9505.0)
Windows Vista (msjet40.dll - 4.0.9635.0)
Windwos Vista Service Pack 1 (msjet40.dll - 4.0.9704.0)
詳しくは、セキュリティアドバイザリ 950627をご覧ください。
http://www.microsoft.com/japan/technet/security/advisory/950627.mspx
- Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース)
-
小野寺です。
先日お知らせした、Excel 2003 でMS08-014 を適用すると、配列数式としてリアル タイム データ ソースを参照するユーザー定義関数を使用すると、誤った値が返されまる現象に対処した、新しい MS08-014 の提供を開始しました。
もちろん、Microsoft Update でも配信していますので、自動更新による配信をまつは、windowsupdate.microsoft.com に行くことで以下の新版が、表示されるはずです。
Microsoft Office Excel 2003 セキュリティ更新プログラム: KB943985 v2
新しいバージョンが、すでにインストールされているかは、ファイルバージョンを見るか、インストールした更新の一覧を確認します。
1) ファイルバージョンを確認
%programfiles%\Microsoft Office\OFFICE11 にある Excel.exe のバージョンを確認します。
2008/03/12 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8206.0)
2008/03/20 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8211.0)
2) インストールした更新の一覧を確認
XP は、「プログラムの追加と削除」で「更新プログラムの表示」を選択、Windows Vista は、「プログラムのアンインストール」から「インストールされた更新プログラムを表示」を選択します。
2008/03/12 公開のセキュリティ更新を適用した環境:
Security Update for Excel 2003 (KB943985): EXCEL
2008/03/20 公開のセキュリティ更新を適用した環境:
Security Update for Excel 2003 (KB943985)V2: EXCEL
詳細は、MS08-014 を見てください。
- 2008年3月のリリースに関する追加情報
-
小野寺です。
MSRC Blogでも、書いていますが、MS08-014 を提供した環境で計算結果に違いが出る現象が発見され現在調査を行っています。
この現象の影響を受けるのは、以下の製品で他のバージョンは、影響受けません。
Excel 2003 Service Pack 2 + MS08-014
Excel 2003 Service Pack 3 + MS08-014
加えて、現在分かっている範囲で現象の発生条件は、以下のすべてを満たす場合となります。
- Visual Basic for Applications (いわゆるマクロ)から、Real Time Data (RTD) Sourceを使っている
- RTD を使った、ある程度複雑なクエリを処理している。
詳細は、セキュリティ情報 MS08-014 の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」に記載しています。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-014.mspx
この現象への対策などの更新情報は、セキュリティ警告サービスを通じて行う予定です。
- 3月のワンポイントセキュリティ (春らしい版)
-
小野寺です。
3月のワンポイントセキュリティを公開しました。
Video: Security Updates This Month - March 2008
soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
また、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。
- 2008年3月のセキュリティリリース (Office 以外も注意)
-
小野寺です
今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。
今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。
MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの"Office以外の製品"にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。
影響を受ける OWC を含む製品は以下となります。
開発環境 (クライアント)
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003 Service Pack 1
サーバー環境
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Internet Security and Acceleration Server 2000 Service Pack 2
また、MS08-016は、Office 2003 SP3 は影響を受けないのですが、Microsoft Update によって、Office 2003 SP3 環境にも更新プログラムが展開されます。 これは、セキュリティ更新に含まれているモジュールが、Office 2003 SP3 のモジュール バージョンよりも新しいためです。手動や他の更新システムで配信する場合は、Office 2003 SP3に対してして配信する必要はありません。
今月のセキュリティ情報のストリーミング配信を午後を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx