日本のセキュリティチーム (Japan Security Team) : 展開

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法その２

JSECTEAM — Fri, 20 Nov 2009 18:40:00 GMT

小野寺です。

以前、737dエラーの対処方法を、このブログでお伝えしましたが、特定の環境で解決できないというコメントを頂戴しました。
別の解決策として、以下のサポート技術情報を公開しました。

Windows Update を使用して更新プログラムをインストールすると、エラーコード "737D" が表示される
http://support.microsoft.com/kb/977268/ja

レジストリを編集する方法になりますので、手順を間違わないように注意しながら、実施してみてください。

Microsoft Updateの後にWindows XPが起動しない？？

JSECTEAM — Fri, 13 Nov 2009 01:42:00 GMT

小野寺です。

Microsoft Update (11月のセキュリティ更新)を行った後に、Windows XPが起動しないという報告がWeb等でも散見されています。
この件、ですが、 ATI Radeon HD 2400 シリーズの古いバージョンのドライバに起因することが判明しました。

すでに、起動しなくなってしまった場合は、以下の手順で、一時的にセキュリティ更新プログラム (MS09-065/KB969947)をアンストールして対処します。　現象が出ていない場合や、これからのセキュリティ更新プログラムを適用する場合は、まず ATIのサイトで、最新のドライバを入手してインストールした後に、セキュリティ更新プログラムを適用することをお勧めします。

コンピューターの起動時に、Windows 拡張オプションメニューが表示されるまで、F8 キーを繰り返し押します。
注 : お使いのコンピューターによって、Windows 拡張オプションメニューに表示される項目が異なる場合がございます。
方向キーや下方向キーで [セーフモード] を選択し、Enter キーを押してください。
セーフモードで Windows XP が起動します。
[スタート] ボタンをクリックし、[コントロールパネル] をクリックしてください。
[コントロールパネル] ウィンドウの中から [プログラムの追加と削除] を開いてください。
[更新プログラムの表示] チェックボックスにチェックを入れてください。
[Windows XP セキュリティ更新 (KB969947)] をクリックし、[削除] ボタンをクリックします。
[ソフトウェア更新の削除ウィザード] で [次へ] をクリックしてください。
注 : KB969947 ダイヤログが表示された場合、そこに表示された更新プログラムをインストールした順番に削除してください。詳しくは http://support.microsoft.com/kb/823836/ja をご覧ください。
[完了] ボタンが表示されるまで待ち [完了] ボタンをクリックします。自動的に再起動が起こらない場合、[スタート]ボタンから再起動してください。
Windows XP 起動後に [スタート] ボタンをクリックし、[コントロールパネル] 、[プログラムの追加と削除] を開いてください。
ATIのビデオドライバを選択し、削除してください。
Catalyst Control Centerを選択し、削除してください。
Microsoft Update もしくは Windows Update を実行し、[Windows XP 用セキュリティ更新プログラム (KB969947)] をインストールしてください。詳細は http://support.microsoft.com/kb/882797/ja をご覧ください。
ATI のサイトから、ドライバのダウンロードを行い、インストールしてください。

この件に関する情報を、サポート技術情報にも、記載しましたので、更新情報は、http://support.microsoft.com/kb/969947/en-us を見てください。

2009年11月11日のセキュリティ情報

JSECTEAM — Tue, 10 Nov 2009 21:12:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされたRPCデータを受け取ることで、コードが実行される可能性があります。~~実際には、コード実行に至らずサービス拒否となるケースが主となります。~~

MS09-065 (Kernel mode driver):
特別な細工がされたEOTが使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOTは、Emmbeded OpenTypeは、Webで使用するためのフォントのため、不正な細工がされたWebサイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003以前のOSに限定されます。

MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS通信をActive Direcory (AD), ADMS, AD LDSで受信した場合に、サービス拒否が発生する可能性があります

MS09-067 (Excel):
特別な細工のされたExcelファイルを参照することで、コードが実行される可能性があります。

MS09-068 (Word):
特別な細工のされたWordファイルを参照することで、コードが実行される可能性があります。

セキュリティ情報 (更新):
MS09-045 (JScript):
Windows 2000上のJScript 5.7用の更新プログラムを追加しました。Windows 2000ですでにMS09-051の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。

MS09-051 (Media Runtime):
Windows 2000上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。

(訂正)
2009/11/11 17:30 MS09-064のサービス拒否に関する記述は、MS09-063に関してとなりますので、訂正しました。

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法

JSECTEAM — Mon, 19 Oct 2009 11:29:00 GMT

小野寺です。

SQL Server 2005の更新プログラムを適用する際に、Microsoft Updateで 737d エラーが出てしまう事があるようです。
この 737d エラーは、以前に行ったSQL Server 2005に何らかの構成変更(更新やサービスパックの適用も含む)のセットアップが正しく完了していない場合に起こります。

このエラーの一般的な対処方法は以下の様な流れになります。

Remote Registry サービスを[開始]状態にします。
コマンドラインから、行う場合は、「SC start RemoteRegistry」で行えます。Windows Vista以降は、管理者権限で開いたコマンドプロンプトから行う必要があります。
「Services.msc」を使って、[Remote Registry]を選択して、右クリックメニューから、[開始]を選択することでも可能です。既に開始状態の場合は[開始]はグレー表示になります。
[コントロールパネル] -「プログラムの追加と削除」(XP) または、[コントロールパネル]-[プログラム]-[プログラムと機能] (Vista以降)を開きます。
「Microsoft SQL Server 2005」を探して選択します。　その後 [変更] または [アンインストールと変更] を選択します。
セットアップ画面が表示されるので画面の指示に従って、未完了状態のセットアップを完了させます。間違って、アンインストールしてしまわない様に注意が必要です。再起動が必要な場合は、再起動を行います。
その後、再度、Microsoft Update から更新プログラムのインストールを行います。

追記 (2009/11/21):　上記で解決しない場合は、http://blogs.technet.com/jpsecurity/archive/2009/11/21/3295421.aspx　をどうぞ

2009年10月14日のセキュリティ情報

JSECTEAM — Tue, 13 Oct 2009 21:39:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計13件 (緊急 8件, 重要 5件)を公開しました。
合わせて、セキュリティ情報を 2 件, セキュリティアドバイザリを 2　件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報の提供を開始します。(本日午後に公開予定)

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

MS09-050 (SMBv2):
セキュリティアドバイザリ 975497でお伝えしていた件に対処しました。
特別な細工がされたSMBv2パケットを受信することで、コードが実行される、またはサービス拒否状態となる可能性があります。

MS09-051 (Media Runtime):
特別な細工がされたストリーミングまたは音声データを再生することで、コードが実行される可能性があります。

MS09-052 (Media Player):
特別な細工がされたデータを開くことで、コードが実行される可能性があります。

MS09-053 (FTP Service):
セキュリティアドバイザリ 975191でお伝えしていた件に対処しました。
特定の細工を伴って、リストコマンド等を実行することで、サービス拒否または、コードが実行される可能性があります。

MS09-054 (IE):
特別な細工のされたWebサイト等を参照することで、コードが実行される可能性があります。

MS09-055 (Kill Bit):
MS09-035 (ATL)の影響を受けるいくつかのActiveXコンポーネントを、Kill Bit処理することで、Internet Explorerから呼び出せないようにしています。
攻撃の手法としては、MS09-035でお伝えしている通り、特別な細工のされたWebサイト等を参照することで、結果的にコードが実行される可能性があります。

MS09-056 (CryptoAPI):
特別な細工のされた不正な証明書が信頼できる証明書であると判断され、結果として、なりすましが行われる可能性があります。
実際の例としては、この脆弱性を悪用して生成された不正な証明書をもつWebサイトに接続した場合に、正常な証明書が使われたサイトである判断する場合があります。

MS09-057 (Index Service):
Index Serviceを不正なデータと共に呼び出すことで、コードが実行される可能性があります。
この脆弱性を、Webサイト等に埋め込むような攻撃が想定されますが、既定の状態ではIndex Serviceは動作していません。

MS09-058 (Kernel):
特別な細工がされたアプリケーケーションの実行または、存在により、サービス拒否または、特権の昇格が発生する可能性があります。
この脆弱性は、特別な細工がされたアプリケーションの実行または、フィルダに特別な細工がされたアプリケーションが存在し、そのフォルダが一覧された場合にも悪用される可能性があります。フォルダは、ローカルおよびリモートの共有フォルダの双方に可能性がありますが、リモートのフォルダの場合はサービス拒否が発生します。

MS09-059 (LSASS):
NTLMの認証プロセスの中で、特別な細工がされたパケットを送受信することで、サービス拒否が発生する可能性があります。

MS09-060 (Office):
MS09-035 (ATL)の影響を受けるOffice製品に含まれるActiveXの対処を行っています。

MS09-061 (.NET CLR):
.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。
通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。
Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。

MS09-062 (GDI+):
不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。
GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。

セキュリティ情報 (更新):
MS08-069 (XML):
Windows 7等の新しいプラットフォームに、XMLコンポーネントをインストールした場合にもMicrosoft Update等で検出が行われるように検出ルールを改定しました。

MS09-024 (Works):
Works9のクロアチア語、チェコ語、エストニア語等のいくつかの言語に新たに対応しました。日本語版、英語版に関する変更はありません。

2009年10月14日のセキュリティリリース予定 (定例)

JSECTEAM — Fri, 09 Oct 2009 01:33:00 GMT

小野寺です。

10月14日に予定している定例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、13件 (緊急 8件, 重要 5件)となります。また、毎月リリースと同日に公開している Webcastのワンポイントセキュリティも、当日に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

なお今月は、セキュリティアドバイザリ 975497 (SMB) や 975191 (FTP) にも対応する予定です。

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Bulletin 1	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 2	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 3	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 5	緊急リモートでコードが実行される	要再起動	Windows, Internet Explorer
Bulletin 6	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 11	緊急リモートでコードが実行される	再起動の可能性あり	Office
Bulletin 12	緊急リモートでコードが実行される	再起動の可能性あり	Windows, Silverlight
Bulletin 13	緊急リモートでコードが実行される	再起動の可能性あり	Windows, Office, SQL Server, 開発ツール, Forefront
Bulletin 4	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 7	重要なりすまし	要再起動	Windows
Bulletin 8	重要リモートでコードが実行される	要再起動	Windows
Bulletin 9	重要特権の昇格	要再起動	Windows
Bulletin 10	重要サービス拒否	要再起動	Windows

2009年9月9日のセキュリティ情報

JSECTEAM — Wed, 09 Sep 2009 00:06:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計5件 (緊急 5件)を公開しました。
また、セキュリティ情報を 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

MS09-045 (JScript):
特別な細工がされたJScriptコードを含むWebサイトにアクセスすることで、コードが実行される可能性があります。
また、インストールしているInternet Explorerのバージョンによって、JScriptのバージョンが違います。Microsoft Update、WSUSやSystem Center等の更新プログラム配布ソリューションを利用している場合は、この辺が自動判別されるのですが、手動で配信する場合は、適用する更新プログラムに注意が必要です。

MS09-046 (DHTML):
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
今回対策した脆弱性は、MS09-037(ATL)との関連性はなく別のものとなります。関連の有無に関わらず、早期の更新プログラムの適用をお勧めします。

MS09-047 (Windows Media Format):
特別な細工がされた特定のメディアファイルを参照することで、コードが実行される可能性があります。
出所の不確かなメディアファイルの利用や、Web等でのストリーミングの利用により攻撃を受ける可能性がありますので、早期の更新プログラムの適用をお勧めします。
また、CVE-2009-2499は、日本から報告されたものになります。

MS09-048 (TCP):
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されておらず、多くの場合コードの実行に至らず、サービス拒否となる可能性が高いと分析しています。
また、Windows 2000については、サービス拒否の脆弱性のみが存在しますが、セキュリティ更新プログラムを提供しておりません。この脆弱性に対処するためには、Windows 2000のTCPスタックやOSの深部のアーキテクチャをかなりの広範囲に渡って変更する必要があり、互換性の維持に重大な問題が発生する可能性が高く、脆弱性への対応は困難であると判断しています。なお、Windows 2000が影響を受ける２つ脆弱性について、脆弱性悪用可能性指標は、3 (機能する見込みのない悪用コード) となっています。

MS09-049 (Winreless LAN):
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。また、こちらもTCPの脆弱性同様に安定した攻撃は艱難である可能性が高いと思われます。

セキュリティ情報 (更新):
MS09-037 (ATL):
Windows Media Center等で利用している HtmlInput Object ActiveXコントロールに関する更新プログラムを新たに公開しました。

2009年9月9日のセキュリティリリース予定 (定例)

JSECTEAM — Fri, 04 Sep 2009 03:23:00 GMT

小野寺です。

9月9日に予定している定例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、5件 (緊急 5件)となります。また、毎月リリースと同日に公開している Webcastのワンポイントセキュリティも、当日に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Bulletin 1	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 2	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 3	緊急リモートでコードが実行される	再起動の可能性あり	Windows
Bulletin 4	緊急リモートでコードが実行される	要再起動	Windows
Bulletin 5	緊急リモートでコードが実行される	再起動の可能性あり	Windows

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

2009年3月のセキュリティ情報

JSECTEAM — Tue, 10 Mar 2009 23:03:00 GMT

小野寺です

2009年3月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 3 件 (緊急 1 件、重要 2 件)となります。
また、MS08-052の更新プログラムを一部環境向けに再提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

MS09-006 (Windows Kernel):
特別な細工が施された画像ファイルの表示によるリモートでコードが実行される可能性または、プログラムの実行により特権の昇格が可能となる可能性があります。
現時点では、脆弱性の詳細は公開されておらず、悪用コードが作成されたとしても安定したコードの提供は難しいと可能性があります。結果、特権の昇格やコードの実行が起こる前に、異常終了等によるサービス拒否状態になる事がおおかもしれません。また、安定したコードが発見された場合の脆弱性としての危険度は高いものとなりますので、不安定なコードで済んでいるうちに、早々に更新を適用するべきです。

MS09-007 (Windows SChannel):
この脆弱性により、クライアント認証を持っていない攻撃者が、クライアント認証の所有者になりすます可能性があります。
サーバー等で、証明書認証を使用している場合に認証を誤魔化される様な場合が最も想定しやいのですが、実際に悪用しようとすると必要条件(悪用のための前提)が多く、実際の悪用は容易ではないと思われます。
しかしながら、必要条件が満たされれば悪用できますので、早めに更新を適用する事をお勧めします。

MS09-008 (DNS/WINS):
大胆に簡略化すると、DNS/WINSサーバーの登録情報を改竄できる、または応答をごまかせる、名前解決時のなりすましの可能性があります。
これにより、本来のURLや、マシン名で接続しているはずにもかかわらず、攻撃者の要したサイトやマシンに誘導される可能性があります。
MS08-037で対策済みのDNSのなりすまし問題と被害結果は同様ですが、今回の対策した脆弱性については攻撃の成功確率はそれほど高くは有りません。必要条件がそれなりにあり、また、悪用のためのコード（プログラム）の安定化させる事は難しいと思われます。
しかし、万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性ですので、早めに更新を適用する事をお勧めします。

セキュリティ情報 (更新):
MS08-052 (GDI+):
MS08-052 は、GDI+ に関する脆弱性に対応していますが、幾つかの環境向けに更新プログラムを再提供しています。
最初に提供した更新プログラを適用後に、サービスパックを適用するこおで、脆弱性に未対応の状態に戻ってしまう場合がある事が分かり、その問題に対処したものを再提供しています。サービスパック適用後に、既存の更新プログラムを適用している様な場合は、再適用の必要はありません。
また、今回対象になったのは、以下のOS向けの更新プログラムです。

Windows XP Service Pack 3 (Service Pack 2の時に更新を適用し、その後 Service Pack 3を適用した場合)
Windows Server 2003 Service Pack 2 (Service Pack 1の時に更新を適用し、その後 Service Pack 2を適用した場合)

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Koobface に対応しています。

2009年2月のワンポイントセキュリティ

JSECTEAM — Wed, 11 Feb 2009 09:18:00 GMT

小野寺です。

2009年2月のワンポイントセキュリティを公開しました。

2009年2月のワンポイントセキュリティ情報は、過去のワンポイントセキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイントセキュリティ情報は、今月のワンポイントセキュリティ情報からご視聴いただけます。

Conficker(Downadup)ワームに関するまとめ

JSECTEAM — Sat, 24 Jan 2009 08:32:00 GMT

小野寺です。

日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker ワームに関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフトセキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

ここで、このワームの蔓延方法を分析に話を戻します。現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザーアカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザーアカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
USB ドライブやその他のポータブルストレージなどのリムーバルメディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブルメディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。下のスクリーンショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。ユーザーが最初のオプションを選択した場合、ワームが実行されます。

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
また、さまざまなサービスを終了させ、再起動させようとします。詳細情報はこちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
さらに、ウイルス対策およびセキュリティベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
お客様の環境の、すべてのユーザーアカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップバイステップの手順で駆除してください。

役立つリンク:

セキュリティ更新プログラム:
- セキュリティ情報 MS08-067
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
- WSUS を構成する
  http://technet.microsoft.com/ja-jp/wsus/default.aspx
- マイクロソフトの修正プログラムの管理に関する 10 の原則
  http://technet.microsoft.com/en-us/library/cc512589.aspx (英語情報)
- MS08-067 に関する SVRD のブログ:
  http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx (英語情報)
パスワード:
- 堅牢なパスワードポリシーを作成する
  http://technet.microsoft.com/en-us/library/cc736605.aspx (英語情報)
- Windows Server 2003 セキュリティガイド
  http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#E4D
- パスワード強度の簡易チェック
  https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
- 強力なパスワード : その作り方と使い方
  https://www.microsoft.com/japan/protect/yourself/password/create.mspx
リムーバブルメディア:
- Windows Vista セキュリティガイド | 第 3 章 : 機密性の高いデータの保護 | デバイス管理:
  http://technet.microsoft.com/ja-jp/library/bb629455.aspx#4
- Windows で強制"無効"に自動実行レジストリキーを修正する方法
  http://support.microsoft.com/kb/953252
ウイルス対策:
- Encyclopedia: Win32/Conficker.B (英語情報)
  http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker.B
- Encyclopedia: Win32/Conficker.B (抄訳)
  http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
- Win32/Conficker.B ワームに関するウイルス対策情報
  http://support.microsoft.com/kb/962007
MSRT:

悪意のあるソフトウェアの削除ツール:
http://support.microsoft.com/?kbid=890830
企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開:
http://support.microsoft.com/kb/891716

2008年12月のセキュリティリリース予定

JSECTEAM — Fri, 05 Dec 2008 03:54:00 GMT

小野寺です。
今月は、計8件 (緊急 6 件, 重要 2 件) の公開を予定しています。
リリース日は、週明け水曜日 (12/10) です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-Dec.mspx
今月から、このblogで使用していた表形式の一覧が概ね好評だったこともあり、事前通知も同様に形式に変更しました。

セキュリティ情報識別名	最大深刻度および脆弱性の影響	再起動に関する情報	影響を受けるソフトウェア
Windows 1	緊急リモートでコードが実行される	要再起動	Microsoft Windows
Windows 2	緊急リモートでコードが実行される	要再起動	Microsoft Windows
Internet Explorer	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Internet Explorer
Visual Basic	緊急リモートでコードが実行される	要再起動	Microsoft 開発者用ツールおよびソフトウェア, Microsoft Office
Word	緊急リモートでコードが実行される	再起動不要	Microsoft Office
Excel	緊急リモートでコードが実行される	再起動不要	Microsoft Office
SharePoint	重要特権の昇格	再起動不要	Microsoft Office, Microsoft サーバーソフトウェア
Windows Media コンポーネント	重要リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows

2008年10月24日のセキュリティリリース (定例外)

JSECTEAM — Thu, 23 Oct 2008 22:55:00 GMT

小野寺です

本日は通常のセキュリティ情報をリリース日ではありませんが、昨日お伝えした通り、セキュリティ情報 (緊急 1件)を公開しました。

MS08-067: Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx

今回対応した脆弱性は、ファイル共有などをになっている Server サービスに存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。
Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。

すでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。

日本のセキュリティチーム (Japan Security Team) : 展開

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法 その２

Microsoft Updateの後にWindows XPが起動しない？？

2009年11月11日のセキュリティ情報

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法

2009年10月14日のセキュリティ情報

2009年10月14日のセキュリティリリース予定 (定例)

2009年9月9日のセキュリティ情報

2009年9月9日のセキュリティリリース予定 (定例)

2009年7月のセキュリティ情報

2009年6月のセキュリティ情報

2009年3月のセキュリティ情報

2009年2月のワンポイントセキュリティ

Conficker(Downadup)ワームに関するまとめ

2008年12月のセキュリティリリース予定

2008年10月24日のセキュリティリリース (定例外)

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法その２