日本のセキュリティチーム (Japan Security Team) : WSUS

2009年12月09日のセキュリティ情報 (月例)

JSECTEAM — Tue, 08 Dec 2009 20:26:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 1 件更新、セキュリティアドバイザリを　2件新規公開、１件を更新しています。
また、ワンポイントセキュリティ (2009/12/09　午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供を開始しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-dec.mspx

MS09-069 (LSASS):
特別な細工がされたISAKMPを、受信することで、サービス拒否状態になる可能性があります。しかしながら、悪用には、事前に認証される必要があるため、悪用可能な人間は制限されます。また、悪用した場合は、その悪用者が特定可能となります。

MS09-070 (ADFS):
Active Directory フェデレーションサービス(ADFS)が、特別に細工されたHTTPリクエストの受信することで、リモートでコードが実行される可能性、または、キャッシュされた特定の情報を再利用される事による、なりすましの可能性があります。なりすましは、ブラウザのキャッシュ情報が入手できることが前提ですので、ユーザーアカウントを共有しているような環境や不特定多数が利用している環境以外では悪用は困難です。また、コード実行については、事前に認証される必要があるため、悪用可能な人間は制限されます。また、悪用した場合は、その悪用者が特定可能となります。

MS09-071 (IAS):
特別な細工がされたPEAPを受信することで、リモートでコードが実行される可能性があります。また、特別な細工がされてMS-CHAP2を受信することで、特権の昇格が発生する可能性があります。コード実行に関しては、理論的に可能ですが、多くの場合サービス拒否になる場合が多い思われます。なお、クライアントOSでは、使用形態やコードパスの関係で、緊急度を１段低く評価しています。

MS09-072 (Internet Explorer):
特別な細工のWebサイトを参照することで、コードが実行される可能性があります。セキュリティアドバイザリ 977981でお知らせしていた脆弱性に対処しています。このブログを公開した時点では、悪用は確認されていませんが、早期の適用をお勧めします。

MS09-073 (Wardpad):
特別な細工のされたWord 97形式のファイルを参照することで、コードが実行される可能性があります。悪用の可能性指標は、「2 - 不安定な悪用コードの可能性」です。

MS09-074 (Project):
特別な細工のされたProjectファイルを参照することで、コードが実行される可能性があります。悪用の可能性指標は、「2 - 不安定な悪用コードの可能性」です。

セキュリティ情報 (更新):
MS08-037 (DNS):
Windows 2000上のDNSクライアント用の更新プログラムを再提供しました。Windows 2000環境では、再度適用する必要があります。 Windows 2000以外の環境には、影響はありません。

セキュリティアドバイザリ情報 (新規):
セキュリティアドバイザリ 954157:Indeo コーデックのセキュリティ強化機能
Indeo コーデックに関して、多層防御の機能を追加する更新プログラムの提供をお知らせしています。

セキュリティアドバイザリ 974926: 統合 Windows 認証の、資格情報の中継攻撃
「セキュリティアドバイザリ 973811: 認証に対する保護の強化」に対応し、統合 Windows 認証をより安全にするための更新プログラムの提供をお知らせしています。

セキュリティアドバイザリ情報 (更新):
セキュリティアドバイザリ 977981: Internet Explorer の脆弱性により、リモートでコードが実行される
MS09-072で、お知らせしていた脆弱性に対処しました。

セキュリティアドバイザリ 973811: 認証に対する保護の強化
Windows HTTP Services、HTTP プロトコルスタック、インターネットインフォメーションサービス (IIS) の３種のコンポーネントに関する情報を追加しました。

2009年12月9日のセキュリティリリース予定 (定例)

JSECTEAM — Fri, 04 Dec 2009 00:54:00 GMT

小野寺です。

12月9日に予定している定例のセキュリティリリースについてのお知らせです。定例のリリースとしては、2009年最後のリリースとなります。
公開を予定しているセキュリティ情報は、6件 (緊急 3件, 重要 3件)となります。また、毎月リリースと同日に公開している Webcastのワンポイントセキュリティも、当日に公開予定です。
Bulletin 3のInternet Explorerの更新プログラムでは、セキュリティアドバイザリ977981でお知らせした件も対策する予定でいます。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Bulletin 1	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 2	緊急リモートでコードが実行される	再起動の可能性あり	Office
Bulletin 3	緊急リモートでコードが実行される	要再起動	Windows Internet Explorer
Bulletin 4	重要サービス拒否	要再起動	Windows
Bulletin 5	重要リモートでコードが実行される	要再起動	Windows
Bulletin 6	重要リモートでコードが実行される	要再起動	Windows Office

2009年11月11日のセキュリティ情報

JSECTEAM — Tue, 10 Nov 2009 21:12:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされたRPCデータを受け取ることで、コードが実行される可能性があります。~~実際には、コード実行に至らずサービス拒否となるケースが主となります。~~

MS09-065 (Kernel mode driver):
特別な細工がされたEOTが使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOTは、Emmbeded OpenTypeは、Webで使用するためのフォントのため、不正な細工がされたWebサイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003以前のOSに限定されます。

MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS通信をActive Direcory (AD), ADMS, AD LDSで受信した場合に、サービス拒否が発生する可能性があります

MS09-067 (Excel):
特別な細工のされたExcelファイルを参照することで、コードが実行される可能性があります。

MS09-068 (Word):
特別な細工のされたWordファイルを参照することで、コードが実行される可能性があります。

セキュリティ情報 (更新):
MS09-045 (JScript):
Windows 2000上のJScript 5.7用の更新プログラムを追加しました。Windows 2000ですでにMS09-051の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。

MS09-051 (Media Runtime):
Windows 2000上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。

(訂正)
2009/11/11 17:30 MS09-064のサービス拒否に関する記述は、MS09-063に関してとなりますので、訂正しました。

2009年11月11日のセキュリティリリース予定 (定例)

JSECTEAM — Fri, 06 Nov 2009 00:49:00 GMT

小野寺です。

11月11日に予定している定例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、6件 (緊急 3件, 重要 3件)となります。また、毎月リリースと同日に公開している Webcastのワンポイントセキュリティも、当日に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-dec.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Bulletin 1	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 2	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 3	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 4	重要サービス拒否	要再起動	Windows
Bulletin 5	重要リモートでコードが実行される	再起動の可能性あり	Office
Bulletin 6	重要リモートでコードが実行される	再起動の可能性あり	Office

2009年10月14日のセキュリティ情報

JSECTEAM — Tue, 13 Oct 2009 21:39:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計13件 (緊急 8件, 重要 5件)を公開しました。
合わせて、セキュリティ情報を 2 件, セキュリティアドバイザリを 2　件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報の提供を開始します。(本日午後に公開予定)

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

MS09-050 (SMBv2):
セキュリティアドバイザリ 975497でお伝えしていた件に対処しました。
特別な細工がされたSMBv2パケットを受信することで、コードが実行される、またはサービス拒否状態となる可能性があります。

MS09-051 (Media Runtime):
特別な細工がされたストリーミングまたは音声データを再生することで、コードが実行される可能性があります。

MS09-052 (Media Player):
特別な細工がされたデータを開くことで、コードが実行される可能性があります。

MS09-053 (FTP Service):
セキュリティアドバイザリ 975191でお伝えしていた件に対処しました。
特定の細工を伴って、リストコマンド等を実行することで、サービス拒否または、コードが実行される可能性があります。

MS09-054 (IE):
特別な細工のされたWebサイト等を参照することで、コードが実行される可能性があります。

MS09-055 (Kill Bit):
MS09-035 (ATL)の影響を受けるいくつかのActiveXコンポーネントを、Kill Bit処理することで、Internet Explorerから呼び出せないようにしています。
攻撃の手法としては、MS09-035でお伝えしている通り、特別な細工のされたWebサイト等を参照することで、結果的にコードが実行される可能性があります。

MS09-056 (CryptoAPI):
特別な細工のされた不正な証明書が信頼できる証明書であると判断され、結果として、なりすましが行われる可能性があります。
実際の例としては、この脆弱性を悪用して生成された不正な証明書をもつWebサイトに接続した場合に、正常な証明書が使われたサイトである判断する場合があります。

MS09-057 (Index Service):
Index Serviceを不正なデータと共に呼び出すことで、コードが実行される可能性があります。
この脆弱性を、Webサイト等に埋め込むような攻撃が想定されますが、既定の状態ではIndex Serviceは動作していません。

MS09-058 (Kernel):
特別な細工がされたアプリケーケーションの実行または、存在により、サービス拒否または、特権の昇格が発生する可能性があります。
この脆弱性は、特別な細工がされたアプリケーションの実行または、フィルダに特別な細工がされたアプリケーションが存在し、そのフォルダが一覧された場合にも悪用される可能性があります。フォルダは、ローカルおよびリモートの共有フォルダの双方に可能性がありますが、リモートのフォルダの場合はサービス拒否が発生します。

MS09-059 (LSASS):
NTLMの認証プロセスの中で、特別な細工がされたパケットを送受信することで、サービス拒否が発生する可能性があります。

MS09-060 (Office):
MS09-035 (ATL)の影響を受けるOffice製品に含まれるActiveXの対処を行っています。

MS09-061 (.NET CLR):
.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。
通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。
Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。

MS09-062 (GDI+):
不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。
GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。

セキュリティ情報 (更新):
MS08-069 (XML):
Windows 7等の新しいプラットフォームに、XMLコンポーネントをインストールした場合にもMicrosoft Update等で検出が行われるように検出ルールを改定しました。

MS09-024 (Works):
Works9のクロアチア語、チェコ語、エストニア語等のいくつかの言語に新たに対応しました。日本語版、英語版に関する変更はありません。

2009年9月9日のセキュリティ情報

JSECTEAM — Wed, 09 Sep 2009 00:06:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計5件 (緊急 5件)を公開しました。
また、セキュリティ情報を 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

MS09-045 (JScript):
特別な細工がされたJScriptコードを含むWebサイトにアクセスすることで、コードが実行される可能性があります。
また、インストールしているInternet Explorerのバージョンによって、JScriptのバージョンが違います。Microsoft Update、WSUSやSystem Center等の更新プログラム配布ソリューションを利用している場合は、この辺が自動判別されるのですが、手動で配信する場合は、適用する更新プログラムに注意が必要です。

MS09-046 (DHTML):
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
今回対策した脆弱性は、MS09-037(ATL)との関連性はなく別のものとなります。関連の有無に関わらず、早期の更新プログラムの適用をお勧めします。

MS09-047 (Windows Media Format):
特別な細工がされた特定のメディアファイルを参照することで、コードが実行される可能性があります。
出所の不確かなメディアファイルの利用や、Web等でのストリーミングの利用により攻撃を受ける可能性がありますので、早期の更新プログラムの適用をお勧めします。
また、CVE-2009-2499は、日本から報告されたものになります。

MS09-048 (TCP):
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されておらず、多くの場合コードの実行に至らず、サービス拒否となる可能性が高いと分析しています。
また、Windows 2000については、サービス拒否の脆弱性のみが存在しますが、セキュリティ更新プログラムを提供しておりません。この脆弱性に対処するためには、Windows 2000のTCPスタックやOSの深部のアーキテクチャをかなりの広範囲に渡って変更する必要があり、互換性の維持に重大な問題が発生する可能性が高く、脆弱性への対応は困難であると判断しています。なお、Windows 2000が影響を受ける２つ脆弱性について、脆弱性悪用可能性指標は、3 (機能する見込みのない悪用コード) となっています。

MS09-049 (Winreless LAN):
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。また、こちらもTCPの脆弱性同様に安定した攻撃は艱難である可能性が高いと思われます。

セキュリティ情報 (更新):
MS09-037 (ATL):
Windows Media Center等で利用している HtmlInput Object ActiveXコントロールに関する更新プログラムを新たに公開しました。

2009年8月12日のセキュリティ情報

JSECTEAM — Wed, 12 Aug 2009 00:12:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計9件 (緊急 5件, 重要 4件)を公開しました。
また、セキュリティ情報を 2 件更新し、セキュリティアドバイザリを1件新規に公開し、セキュリティ情報の更新や公開に伴って 2 件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-aug.mspx

MS09-036 (ASP.NET):
特別な細工がされたHTTPリクエスト群を受信することで、応答不能になる可能性があります。
この脆弱性が非常に限定された範囲で悪用された事を確認しており、ASP.NETを使用しているお客様は、サービスの安定提供の為にも早期の適用をお勧めします。

MS09-037 (Windows ATL):
先日公開したMS09-035 (ATL)に関連して、Windowsのコンポーネントで影響を受けるものを対策しています。
コンポーネントにより若干の違いはありますが、各コンポーネントが特別な細工共に呼び出すWebサイトを訪れることでコードの実行等につながる可能性があります。
Internet Explorer経由の攻撃は、MS09-034 (IE)のセキュリティ更新プログラムに追加された新しい多層防御機能で防ぐ事ができますが、脆弱性自体を排除するという意味で、本更新プログラムの適用を強く推奨します。
更新プログラムの適用に際しては、Windowsバージョンに対して一つの更新プログラムではなく、コンポーネント毎に更新プログラムを分けていますので、MS09-037および、上記の8月分をまとめたサイトを参照の上で適用してください。Microsoft Update や WSUS, System Cetner で更新プログラムを適用・管理している場合は、自動的に選択されます。

MS09-038 (Windows Media):
特別な細工がされたAVIファイルが処理された場合に、コードが実行される可能性があります。
本脆弱性は、Windows Media Player (WMP)ではなく、AVIファイルを処理するコンポーネントによるものですのでWMPに依存しません。 AVIファイルが何坂の形で処理される事が攻撃のシナリオとなりますので、Web等を参照することで攻撃を受ける可能性も考えられます。この種の攻撃手法は最近増加傾向にあり、更新プログラムの適用を強く推奨します。

MS09-039 (WINS):
特別な細工がされたパケットをWINSサーバーが受信した場合に、コードが実行される可能性があります。
この脆弱性は、WINS サーバーに対するものであり、WINSクライアントやName Resolverは影響を受けません。更新プログラムの適用を強く推奨します。

MS09-040 (MSMQ):
特別な細工がされたIOCTLリクエストをMSMQで送信する場合に、高い権限を取得される可能性があります。
この脆弱性は、リモートから悪用する事はできませんが、ローカルでSYSTEM権限を取得することができる可能性があります。MSMQがインストールされ、動作しているシステム環境で、特にユーザー間で共有利用している様な環境では更新プログラムの適用を推奨します。

MS09-041 (Workstation):
特別な細工がされたRPCメッセージを受信することで、コードが実行される可能性があります。
悪用には、認証が必要となるためインターネット経由での悪用は困難になると予測できますが、一般的なイントラネット環境では悪用可能な環境であると考えられますので、更新プログラムの適用を強く推奨します。

MS09-042 (Telnet):
攻撃者が用意した特別な細工がされたTelnetサーバーに、影響を受けるバージョンのTelnetクライアントで接続することで、コードが実行される可能性があります。
Telnetクライアントを使用しなければ影響を受けることはないのですが、将来的に他の攻撃手法と複合的、telnetクライアントを強制的に呼び出されるようなシナリオで、外部からの攻撃が可能となりますので、更新プログラムの適用を強く推奨します。

MS09-043 (OWC):
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
この脆弱性の悪用は、セキュリティアドバイザリ 973472 でお知らせしていたもので、悪用が確認されている事もあり、早期の更新プログラムの適用を強く推奨します。

MS09-044 (RDP):
特別な細工がされたWebサイト等を参照すること、または特別な細工がされたRDPサーバーに接続させられた場合に、コードが実行される可能性があります。
更新プログラムの適用を強く推奨しますが、RDPには幾つかのバージョンがあり、適用に際してその点は注意する必要があります。MS09-037のところにも書きましたが、更新プログラムの管理ソリューションを使用している場合は、自動的に適切な更新が選択されます。

セキュリティ情報 (更新):
MS09-029 (EOT):
以前にお伝えした印刷スプーラーが異常終了する件に対処した新しい更新プログラムの提供を開始した事をお伝えするために更新しています。

MS09-035 (ATL):
スマートデバイス向けのライブラリの更新プログラムの提供を開始した事をお伝えするために更新しています。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (973811): 認証に対する保護の強化
このアドバイザリは、脆弱性に関してお知らせするものではなく、新しいセキュリティ機能を追加するための更新プログラムの提供を開始した事をお伝えするものです。
認証時に、資格情報を転送する事も出来るわけですが、信頼できないサーバーシステムが中間に存在する場合、転送により問題が起こる事もあり得ます。そのため、認証の転送に関しての安全性を確保しやすくするための追加機能を提供する事にしました。この機能は、クライアント、およびサーバーアプリケーションの双方において新機能を明示的に使用する事が必要であり、既存のシステムには影響をあたえません（逆に、効果もありません）。

MS09-029のスプーラーの件と MS09-034 & MS09-035の更新

JSECTEAM — Wed, 05 Aug 2009 06:03:00 GMT

小野寺です。

先日、定例外でリリースしたMS09-034とMS09-035、それとMS09-029を更新しました。また、MS09-035について幾つかコメントももらっているのでその辺も含めて少し書いておこうと思います。

MS09-034:
韓国語版のInternet Explorer 6 Service Pack 1 (Windows 2000用) で、印刷に関する問題が発見されたため、セキュリティ更新プログラムを再リリースしました。
この現象および、再リリースは、韓国語版に対してのみのものですので、日本語版や英語版を使っていお客様には影響はありません。

MS09-035:
製品バージョン毎に幾つかのセキュリティ更新プログラムを提供していますが、その中に、再頒布可能パッケージ用のセキュリティ更新プログラム(KB973544, KB973551, KB973552)があります。また、Microsoft Updateでは、これらの再頒布可能パッケージ用のサブセット版として、ATLに関する脆弱性に対応する、「ATL に関するセキュリティ更新プログラム (KB973923, KB973924)」を配信しています。
このどちらを適用しても、脆弱性に対処できるのですが、Microsoft Update側では、、「ATL に関するセキュリティ更新プログラム」が、適用されているかどうかを検出して、配信の有無を判断していました。結果、「再頒布可能パッケージ用のセキュリティ更新プログラム」を適用している場合に、MBSAで、更新が適用されていないと判断されたり、Microsoft Updateで、再度、「ATL に関するセキュリティ更新プログラム」が配信される事がありました。今回のMicrosoft Update側の検出ロジックを修正しその問題に対処しています。
配信しているパッケージ自体に変更はありませんので、すでに更新を適用している場合は、特に対応の必要はありません。

MS09-029:
すでに、ご存知の方もいると思いますが、Windows 2000, XP または Windows Server 2003 のセキュリティ更新プログラムを適用することで、印刷スプーラーが異常終了する事例の報告を受けています。MS09-029に既知の問題が発見された事をお知らせするために、セキュリティ情報を更新しています。印刷スプーラーの件については、対応の準備が整い次第、プロダクトセキュリティ警告サービス等を通じてお知らせする予定です。

2009年7月29日のセキュリティ情報 (定例外)

JSECTEAM — Wed, 29 Jul 2009 03:22:00 GMT

小野寺です

2009年7月24日に事前通知でお伝えした通り、定例外で、セキュリティ情報計2件 (緊急 1件, 警告 1件)を公開しました。
また、今回の２つのセキュリティ情報について説明するセキュリティアドバイザリも1件合わせて公開しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 7月の月例リリース分と今回分をまとめて一つにしています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

MS09-034 (Internet Explorer):
特別な細工が施されたWebサイトやメール上のコンテンツを参照することで、リモートでコードが実行される可能性があります。
今回対応した3つの脆弱性は、どれも悪用・公開はこのBlogを書いている時点では確認されていません。そのため、これら３つの脆弱性が、定例外のリリースの理由ではありません。とはいえ、深刻度が緊急の脆弱性ですから、早急な適用をお勧めします。
今回定例外のリリースを、行ったのはこの更新プログラムに、将来的な安全性をより高めるために、新しい多層防御機能を追加している事に関連しています。詳しくはもう一つのセキュリティ情報MS09-035とセットで説明する必要があるため、後述します。

MS09-035 (Visual Studio/ATL):
脆弱なATL (Active Template Library)を使って開発されたActiveXコントロールを通じて、ActiveXコントロール関連の本来のセキュリティ機能が迂回される可能性があります。結果として、コードの実行等につながる可能性があります。
さて、ATL等を使った事がある方は、お気づきかもしれませんが、この脆弱性は、Visual Studioが攻撃の対象となるわけではありません。 Visual Studioに付属するATLを使用して、開発されたActiveXコントロールなどのコンポーネントやコントロールが影響を受けます。その際の現実的な攻撃経路 (Attacking vectorといいます)として、特別な細工が施されたWebサイトから、影響を受けるActiveXコントロールが呼び出される場合です。この辺の関連は、MS09-034とセットで必要があるため、後述します。
MS09-035は、今後、脆弱性の影響を受けないコントロールやコンポーネントを開発できるように、ATLを更新してATL内の脆弱性に対処しています。そのため、影響を受ける可能性のあるコンポーネント開発者は、MS09-035の更新プログラム適用後に、該当コンポーネントを、リビルドする必要があります。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (973882): Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
MS09-034 および MS09-035に関連します。マイクロソフトの開発環境である Visual Studioには、ATL (Active Template Library)と呼ばれるC++のクラスライブラリが付属しています。このATLのコードが原因となって、このライブラリを基に開発されたコンポーネントが脆弱な状態になる場合があります。
このATL自体の脆弱性に対処したのが、MS09-035です。主に開発者向けの更新プログラムです。開発者の方はMS09-035を適用したのちに、コンポーネントをリビルドすることで、この脆弱性を開発したコンポーネントから排除することができます。この脆弱性の影響を受けるかを開発者が判断する方法は、MSDNサイト (http://msdn.microsoft.com/ja-jp/ee309358.aspx) をご覧ください。

この脆弱性は、脆弱なATLによって開発されたコントロールやコンポーネントでも発生し、攻撃の経路としては、Webを参照することによる影響を受けるActiveXを悪用した攻撃が考えられます。MS09-034は、ATLに関するもの以外のInternet Explorerの脆弱性に対処していますが、それと同時に、このATL脆弱性の影響を受けるActiveXがInternet Explorerを通じて悪用される事を防ぐための多層防御機能を新たに追加しています。
この多層防御機能は、ActiveXの動作を監視し、今回の脆弱性が悪用される事を阻止します。そのため、多くのユーザーは、Internet Explorerのセキュリティ更新プログラム MS09-034 を適用する事で、ATLの脆弱性がWeb参照時に悪用される事を防ぐ事ができます。

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

2009年5月のセキュリティ情報

JSECTEAM — Tue, 12 May 2009 22:11:00 GMT

小野寺です

2009年5月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 1 件 (緊急 1 件)となります。
また、合わせて、セキュリティアドバイザリを 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

MS09-017 (PowerPoint):
特別な細工が施されたPowerPointファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (969136) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Winwebsec と ~~FakePowav~~ に対応しています。どちらも、最近特に俗化を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

(2009/05/15: MSRTで対応したマルウェアを訂正しました)

2009年5月のセキュリティリリース予定

JSECTEAM — Fri, 08 May 2009 02:57:00 GMT

小野寺です。
今月は、計1件 (緊急1 件) の公開を予定しています。
リリース日は、週明け水曜日 (5/13) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
PowerPoint	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office

2009年4月のセキュリティ情報

JSECTEAM — Wed, 15 Apr 2009 00:15:00 GMT

小野寺です

2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。
また、合わせて、セキュリティアドバイザリを 4 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

MS09-009 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-010 (Wordpad):
特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-011 (DirectShow):
特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。
現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。

MS09-012 (MSDTC):
WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。

MS09-013 (WinHTTP):
WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。
今回対応している３つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。

MS09-014 (IE):
基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。

MS09-015 (SearchPath):
セキュリティアドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。
脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode というAPIを追加して、今後アプリケーションを開発するにあたり、意図しないファイル探査を抑制できるようにしています。

MS09-016 (ISA):
Webプロキシの機能部分が、不正なパケットを受信することでサービス拒否が発生する可能性があります。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Waledac に対応しています。

2009年4月のセキュリティリリース予定

JSECTEAM — Fri, 10 Apr 2009 05:10:00 GMT

小野寺です。
今月は、計8件 (緊急5 件, 重要 2 件, 警告 1 件) の公開を予定しています。
リリース日は、週明け水曜日 (4/15) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Windows 1	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Microsoft Office
Windows 2	緊急リモートでコードが実行される	要再起動	Microsoft Windows
Windows 3	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows
Internet Explorer	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Internet Explorer
Excel	緊急リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office
Windows 4	重要リモートでコードが実行される	要再起動	Microsoft Windows
ISA	重要サービス拒否	要再起動	Microsoft Forefront Edge Security
Windows 5	警告特権の昇格	要再起動	Microsoft Windows