日本のセキュリティチーム (Japan Security Team) : SMS

2009年5月のセキュリティリリース予定

JSECTEAM — Fri, 08 May 2009 02:57:00 GMT

小野寺です。
今月は、計1件 (緊急1 件) の公開を予定しています。
リリース日は、週明け水曜日 (5/13) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
PowerPoint	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office

2009年4月のセキュリティリリース予定

JSECTEAM — Fri, 10 Apr 2009 05:10:00 GMT

小野寺です。
今月は、計8件 (緊急5 件, 重要 2 件, 警告 1 件) の公開を予定しています。
リリース日は、週明け水曜日 (4/15) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Windows 1	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Microsoft Office
Windows 2	緊急リモートでコードが実行される	要再起動	Microsoft Windows
Windows 3	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows
Internet Explorer	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Internet Explorer
Excel	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office
Windows 4	重要リモートでコードが実行される	要再起動	Microsoft Windows
ISA	重要サービス拒否	要再起動	Microsoft Forefront Edge Security
Windows 5	警告特権の昇格	要再起動	Microsoft Windows

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

JSECTEAM — Tue, 13 Jan 2009 19:07:00 GMT

小野寺です

今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。

セキュリティ情報 (新規):
概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-001 (SMB):
特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。

また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
技術的な詳細については、このブログの Conficker.B に記載してあります。

さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。

企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
http://support.microsoft.com/kb/891716/

悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/security/malwareremove/default.mspx

SMS2003クライアントに更新が展開できない件の更新プログラム提供開始

JSECTEAM — Wed, 18 Jun 2008 05:27:00 GMT

小野寺です。

セキュリティアドバイザリ 954474でお伝えしていた、System Center Configuration Manager (SCCM) 2007 から Systems Management Services (SMS) 2003 クライアントへの更新の展開がうまくいかない件ですが、本日この現象に対処するための、更新プログラムを公開しました。

更新プログラムは、サポート技術情報 (954474) から入手可能ですが、これを書いている時点で、技術情報はまだ英語ですが、日本語版の更新プログラムももちろん提供していますので、該当する環境には適用をお願いします。

さて、何故こんなことが起こったかですが、SCCMが更新を展開するためのもととなる情報カタログ (wsusscn2.cab) がありますが、Microsoft Office 2003 SP1 に関して、メタデータと呼ばれる各更新プログラムの素性等々を記載したデータを拡張しました。この拡張により、SCCM 2007側で情報カタログの同期処理がうまくいかないケースがあったわけです。

セキュリティ担当者としては、セキュリティ更新が引き金ではなくてよかったと思う反面、利用者側からみると何が原因でもトラブルが起きたことには変わりはないわけで、再発防止に努めたいですね。

参照:
マイクロソフトセキュリティアドバイザリ (954474)
System Center Configuration Manager 2007 によるセキュリティ更新プログラムの展開がブロックされる
http://www.microsoft.com/japan/technet/security/advisory/954474.mspx

System Center Configuration Manager 2007 blocked from deploying security updates
http://support.microsoft.com/kb/954474/en-us