2009年11月11日のセキュリティ情報

小野寺です

事前通知でお伝えした通り、セキュリティ情報 計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイント セキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。  

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされたRPCデータを受け取ることで、コードが実行される可能性があります。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-065 (Kernel mode driver):
特別な細工がされたEOTが使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOTは、Emmbeded OpenTypeは、Webで使用するためのフォントのため、不正な細工がされたWebサイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003以前のOSに限定されます。

MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS通信をActive Direcory (AD), ADMS, AD LDSで受信した場合に、サービス拒否が発生する可能性があります

MS09-067 (Excel):
特別な細工のされたExcelファイルを参照することで、コードが実行される可能性があります。

MS09-068 (Word):
特別な細工のされたWordファイルを参照することで、コードが実行される可能性があります。

セキュリティ情報 (更新):
MS09-045 (JScript):
Windows 2000上のJScript 5.7用の更新プログラムを追加しました。Windows 2000ですでにMS09-051の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。

MS09-051 (Media Runtime):
Windows 2000上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。 

(訂正)
2009/11/11 17:30 MS09-064のサービス拒否に関する記述は、MS09-063に関してとなりますので、訂正しました。

Published 11 November 09 06:12 by JSECTEAM

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

No Comments

Leave a Comment

(required) 
(optional)
(required) 

  
Enter Code Here: Required

Search

This Blog

Syndication

Page view tracker