日本のセキュリティチーム (Japan Security Team) : XP SP3

2009年3月のセキュリティ情報

JSECTEAM — Tue, 10 Mar 2009 23:03:00 GMT

小野寺です

2009年3月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 3 件 (緊急 1 件、重要 2 件)となります。
また、MS08-052の更新プログラムを一部環境向けに再提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-006 (Windows Kernel):
特別な細工が施された画像ファイルの表示によるリモートでコードが実行される可能性または、プログラムの実行により特権の昇格が可能となる可能性があります。
現時点では、脆弱性の詳細は公開されておらず、悪用コードが作成されたとしても安定したコードの提供は難しいと可能性があります。結果、特権の昇格やコードの実行が起こる前に、異常終了等によるサービス拒否状態になる事がおおかもしれません。また、安定したコードが発見された場合の脆弱性としての危険度は高いものとなりますので、不安定なコードで済んでいるうちに、早々に更新を適用するべきです。

MS09-007 (Windows SChannel):
この脆弱性により、クライアント認証を持っていない攻撃者が、クライアント認証の所有者になりすます可能性があります。
サーバー等で、証明書認証を使用している場合に認証を誤魔化される様な場合が最も想定しやいのですが、実際に悪用しようとすると必要条件(悪用のための前提)が多く、実際の悪用は容易ではないと思われます。
しかしながら、必要条件が満たされれば悪用できますので、早めに更新を適用する事をお勧めします。

MS09-008 (DNS/WINS):
大胆に簡略化すると、DNS/WINSサーバーの登録情報を改竄できる、または応答をごまかせる、名前解決時のなりすましの可能性があります。
これにより、本来のURLや、マシン名で接続しているはずにもかかわらず、攻撃者の要したサイトやマシンに誘導される可能性があります。
MS08-037で対策済みのDNSのなりすまし問題と被害結果は同様ですが、今回の対策した脆弱性については攻撃の成功確率はそれほど高くは有りません。必要条件がそれなりにあり、また、悪用のためのコード（プログラム）の安定化させる事は難しいと思われます。
しかし、万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性ですので、早めに更新を適用する事をお勧めします。

セキュリティ情報 (更新):
MS08-052 (GDI+):
MS08-052 は、GDI+ に関する脆弱性に対応していますが、幾つかの環境向けに更新プログラムを再提供しています。
最初に提供した更新プログラを適用後に、サービスパックを適用するこおで、脆弱性に未対応の状態に戻ってしまう場合がある事が分かり、その問題に対処したものを再提供しています。サービスパック適用後に、既存の更新プログラムを適用している様な場合は、再適用の必要はありません。
また、今回対象になったのは、以下のOS向けの更新プログラムです。

Windows XP Service Pack 3 (Service Pack 2の時に更新を適用し、その後 Service Pack 3を適用した場合)
Windows Server 2003 Service Pack 2 (Service Pack 1の時に更新を適用し、その後 Service Pack 2を適用した場合)

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Koobface に対応しています。

2008年最後のセキュリティリリース (2008年12月)

JSECTEAM — Tue, 09 Dec 2008 21:51:00 GMT

小野寺です

今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。
また、セキュリティアドバイザリ 960906 を公開しています。クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。

セキュリティ情報 (新規):
今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS08-070 (VB6 Runtime):
特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。
今回対処としているランタイムコンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネントファイルを検索していただく事です。
これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。
また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。

MS08-071 (GDI):
特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-072 (Word):
特別に細工された Word またはリッチテキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。
本日、公開しているセキュリティアドバイザリとは別の脆弱性となります。

MS08-073 (IE):
特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-074 (Excel):
特別な細工がされた Excel ファイルをユーザーが表示した場合、リモートでコードが実行される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/959070 に記載しています。

MS08-075 (Windows Search):
特別な細工がされた保存された検索ファイルがWindows エクスプローラーで開かれ、保存された場合、またはユーザーが特別な細工がされた検索 URLをクリックした場合、リモートでコードが実行される可能性があります。

MS08-076 (WMC):
特別な細工がされたサーバーまたは、Webサイトにアクセスする事で、資格情報が悪用され、結果として、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-077 (SharePoint):
SharePoint サイトの管理用 URLを直接参照し、特定の操作をする事で、特権が昇格される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/957175 に記載しています。

セキュリティアドバイザリ:
マイクロソフトセキュリティアドバイザリ (960906)
OSに含まれている簡易的な文書作成用のアクセサリである、ワードパッドで、特別に細工されたファイルを開く事でリモートでコードで実行される可能性のある問題が確認され、現在調査を行っています。Windows Vista, Windows Server 2008は影響を受けません。 Windows XP は、Service Pack 3 を適用している場合は、影響を受けないため、Service Pack 3の適用をお勧めします。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/FakeXPA および Win32/Yektel に対応しています。
先月に引き続き、偽ウイルス対策ソフト Win32/FakeXPA に対処しています。FakeXPAは感染(インストール)した環境で、Microsoft Updateを模した様なバルーンメッセージを表示させます。多数のウイルスを駆除する事を通知してくれますが、実際には、多数のウイルス、ワームをダウンロードしてインストールします。
他の削除対象のマルウェアファミリは以下のサイトに掲載しています。
http://www.microsoft.com/japan/security/malwareremove/families.mspx

Windows XP SP3でMS06-069が復活？

JSECTEAM — Wed, 04 Jun 2008 04:21:00 GMT

小野寺です。

”Windows XP SP3でMS06-069で復活 (ロールバック)”という話が、幾つか舞い込んできて、耳にしたときは一瞬背筋が寒くなりました・・・
確認してみると、色々と誤解があったみたいで、先日の SANS Institute のblogに端を発しているようでが、さらに元を辿ると、MS06-069をWindows XP SP3 に関連して更新したことにあるといえばあります。

5月の定期リリースの時に MS06-069 (Adobe Flash Playerの脆弱性) のセキュリティ情報を更新してたのですが、更新理由は、Windows XP SP3の公開に伴って、MS06-069の「影響を受ける製品」の一覧を更新し、Microsoft UpdateでWindows XP SP3上でも MS06-069が正しく検出できるように変更しました。

SANSの記事は、微妙な書き方ですが、誤解はないのですが、回り回って、「Windows XP SP3 を適用すると昔の MS06-069 が復活する」という話になってしまったみたいですね。

正しくは、Windows XP SP3のパッケージには、MS06-069の更新プログラムに相当するものを含まないため、Windows XP SP3 をPCに新規にインストールした場合等に、他の更新とと一緒に MS06-069 の適用が必要ということです。

Windows XP SP2 で今までセキュリティ更新を適用してきた環境では、Windwos XP SP3を適用しても、MS06-069を再適用する必要ありません。ちなみに、Windows に含まれているのは、 Flash Version 6 ですが、最新の Flash をインストールしている環境に Windows XP SP3 をインストールしても、Flash 6 に戻るようなことはありません。
どうしても心配な人は、 %systemroot%\system32\Macromed\Flash にある Flash6.ocx のバージョンが 6.0.88.0 以上でああることを確認してください。