日本のセキュリティチーム (Japan Security Team) : MBSA

2009年11月11日のセキュリティ情報

JSECTEAM — Tue, 10 Nov 2009 21:12:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされたRPCデータを受け取ることで、コードが実行される可能性があります。~~実際には、コード実行に至らずサービス拒否となるケースが主となります。~~

MS09-065 (Kernel mode driver):
特別な細工がされたEOTが使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOTは、Emmbeded OpenTypeは、Webで使用するためのフォントのため、不正な細工がされたWebサイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003以前のOSに限定されます。

MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS通信をActive Direcory (AD), ADMS, AD LDSで受信した場合に、サービス拒否が発生する可能性があります

MS09-067 (Excel):
特別な細工のされたExcelファイルを参照することで、コードが実行される可能性があります。

MS09-068 (Word):
特別な細工のされたWordファイルを参照することで、コードが実行される可能性があります。

セキュリティ情報 (更新):
MS09-045 (JScript):
Windows 2000上のJScript 5.7用の更新プログラムを追加しました。Windows 2000ですでにMS09-051の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。

MS09-051 (Media Runtime):
Windows 2000上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。

(訂正)
2009/11/11 17:30 MS09-064のサービス拒否に関する記述は、MS09-063に関してとなりますので、訂正しました。

2009年11月11日のセキュリティリリース予定 (定例)

JSECTEAM — Fri, 06 Nov 2009 00:49:00 GMT

小野寺です。

11月11日に予定している定例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、6件 (緊急 3件, 重要 3件)となります。また、毎月リリースと同日に公開している Webcastのワンポイントセキュリティも、当日に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Bulletin 1	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 2	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 3	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 4	重要サービス拒否	要再起動	Windows
Bulletin 5	重要リモートでコードが実行される	再起動の可能性あり	Office
Bulletin 6	重要リモートでコードが実行される	再起動の可能性あり	Office

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

2009年5月のセキュリティリリース予定

JSECTEAM — Fri, 08 May 2009 02:57:00 GMT

小野寺です。
今月は、計1件 (緊急1 件) の公開を予定しています。
リリース日は、週明け水曜日 (5/13) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
PowerPoint	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office

2009年4月のセキュリティリリース予定

JSECTEAM — Fri, 10 Apr 2009 05:10:00 GMT

小野寺です。
今月は、計8件 (緊急5 件, 重要 2 件, 警告 1 件) の公開を予定しています。
リリース日は、週明け水曜日 (4/15) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Windows 1	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Microsoft Office
Windows 2	緊急リモートでコードが実行される	要再起動	Microsoft Windows
Windows 3	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows
Internet Explorer	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Internet Explorer
Excel	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office
Windows 4	重要リモートでコードが実行される	要再起動	Microsoft Windows
ISA	重要サービス拒否	要再起動	Microsoft Forefront Edge Security
Windows 5	警告特権の昇格	要再起動	Microsoft Windows

MBSAが久しぶりにバージョンアップ

JSECTEAM — Tue, 27 May 2008 09:55:00 GMT

小野寺です。

MBSA (Microsoft Baseline Security Analizer)が久しぶりにバージョンアップして、2.1となりました。
前回、2.01を公開したのが、2006年6月ですから、実に2年ぶりですね・・・

一応 MBSA を知らない人向けに語弊を恐れず簡単に説明すると、「セキュリティパッチの適用具合と製品の設定を確認するツール」という感じです。実際には、このツールで確認するのは、名前の通り 'baseline' となる最低限のセキュリティだけですので、このツールの検査に合格しても、ビジネス的に十分かどうかはまた別の話です。逆に、このツールで不合格になるような環境は、多くのケースで不適切と言えます。

さて、今回、マイナーバージョンが一つ上がって、2.1 となりましたが、今回の目玉は、Windows Vista と Windwos Server 2008対応です。2.0.1 も Windows Vista の更新プログラムのスキャンはできたのですが、脆弱性レポートなどの幾つかの機能には対応していませんでした。今回のバージョンアップで、その辺の機能にひと通り対応しています。また、64bit 環境, Windows Embedded, SQL Server 2005 の脆弱性評価にも正式に対応しました。

新機能を列挙すると以下のようなものがあります。

Windows Vista および Windows Server 2008 のサポート
更新されたグラフィカルユーザーインターフェイス
64-bit プラットフォームのフルサポートおよび 64-bit のプラットフォームおよびコンポーネントに対する脆弱性評価 (VA) チェック
Windows XP Embedded プラットフォームのサポート
SQL Server 2005 の脆弱性評価 (VA) チェックのサポート
Microsoft Udate の登録およびエージェントの更新
ユーザーが選択したディレクトリパスまたはネットワーク共有に完了したスキャンレポートを出力する機能
Windows Server Update Services 2.0 および 3.0 のWUAへの対応

ちなみに、ダメ環境のレポートはこんな感じです。

詳しいことは、MBSAのページとそのFAQ (よくある質問) を見てください。
http://www.microsoft.com/japan/technet/security/tools/mbsa2_1/default.mspx