SharePoint に関連する特権の昇格の脆弱性情報が一般に公開されたことを受け、2010/04/30 にセキュリティ アドバイザリ 983438 を公開しました。現在調査を行っていますが、Microsoft Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007 が影響し、クロスサイト スクリプティング (XSS) の脆弱性によりSharePoint サイト内で特権の昇格が起こる可能性があるというものです。

Microsoft Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007をご使用の場合、セキュリティ アドバイザリ 983438 に記載の回避策を実施することをお勧めします。これは、SharePoint Help.aspxへのアクセスを制限する、もしくは、Internet Explorer 8 の XSS フィルターをイントラネットで有効にする、などがあげられます。(インターネット ゾーンについては、Internet Explorer 8 の XSSフィルターは既定でこの攻撃の実行を防ぎます。イントラネット ゾーンについては、手動で有効にする必要があります。)

この脆弱性の調査完了後に、セキュリティ更新プログラムの提供を含めた対応を検討する予定です。この件についてのアップデートは、追ってこのプログでもお知らせしたいと思います。

Internet Explorer 8 に搭載のWebサイトを安全に参照するための機能について、説明しています。
特に、SmartScreenフィルターの性能については、外部の調査会社から高い評価をもらっています。 現在、Internet Explorer 6 や 7 を使っているユーザーには、ぜひ見ていただきたい内容になってい��す。

http://technet.microsoft.com/ja-jp/security/ff628547.aspx

IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。

以下の画像をクリックすると再生が始まります。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx

事前通知でお伝えした通り、セキュリティ情報 計11件 (緊急 5 件, 重要 5件, 警告 1件)を公開しました。
また、ワンポイント セキュリティ (2010/4/14　午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-apr.mspx

MS10-019 (WinTrust):
特別な細工をすることで、コード署名がごまかされファイルの改ざんが可能となる場合があり、結果としてリモートでコードが実行される可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、早期の適用を強くお勧めします。

MS10-020 (SMB):
特別な細工がされた通信が、行われることで、リモートでコードが実行される可能性があります。
セキュリティ アドバイザリ 977544 でお知らせしていた脆弱性にも対処しています。悪用は確認されていませんが、早期の適用をお勧めします。

MS10-021 (Kernel)
特別な細工がされたプログラムが実行されえることで、特権の昇格が発生する可能性があります。

MS10-022 (VBScript)
特別な細工がされたWebサイトを表示し、F1キーをユーザーが押した場合に、リモートでコードが実行される可能性があります。
セキュリティ アドバイザリ 981169 でお知らせしていた脆弱性にも対処しています。悪用は確認されていませんが、早期の適用をお勧めします。

MS10-023 (Publisher)
特別な細工がされたPublisherファイルを開くことで、リモートでコードが実行される可能性があります。

MS10-024 (SMTP/Exchange)
特別な細工がされた SMTP コマンドを受信する事で、サービス拒否が発生する可能性があります。
Exchange 2007, 2010には、本脆弱性はありませんが、更新プログラムを提供しています。これは、他の環境も含めて今回追加された多層防御策をExchange 2007にも反映させるためのもので、DNSに関するソースポート エントロピーを改善します。

MS10-025 (Media Service)
特別な細工がされたパケットを、Windows Media Service で受信する事で、リモートでコードが実行される可能性があります。

MS10-026 (MP3 Codec)
特別な細工がされた AVI ファイルを開くことで、リモートでコードが実行される可能性があります。 細工されたAVIが埋め込まれたWebサイトを表示することでも悪用の可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、早期の適用を強くお勧めします。

MS10-027 (Media Player)
特別な細工がされた メディアコンテンツを開くことで、リモートでコードが実行される可能性があります。細工されたメディアコンテンツが埋め込まれたWebサイトを表示することでも悪用の可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、早期の適用を強くお勧めします。

MS10-028 (Visio)
特別な細工がされたVisioファイルを開くことで、リモートでコードが実行される可能性があります。

MS10-029 (ISATAP)
特別な細工がされたIPv6ソースポートアドレスをもつ通信を行う事で、なりすましが発生する能性があります。

サポートライフサイクル:
Windows Vista RTM(初期出荷版): 今月のセキュリティ更新プログラムが最後の提供となります。 最新のサービスパックを適用することで、翌月以降もセキュリティ更新プログラムを入手可能な状態となります。

Windows 2000: 2010/07/14 の月例のセキュリティ更新プログラムが最後の提供となります。 製品としてのサポート終了となるため、最新のOS (Windows 7 または Windows Server 2008 R2) への移行を推奨します。

Windows XP SP2: 2010/07/14 の月例のセキュリティ更新プログラムが最後の提供となります。 最新のサービスパックを適用することで、8月もセキュリティ更新プログラムを入手可能な状態となりますが、セキュリティ担当者としては、最新のOS (Windows 7) への移行を推奨します。

マイクロソフトが、2002年から取り組んでいるTrustworthy Computing (信頼できるコンピューティング, TwC)について、来月に開催される「情報セキュリティExpo」において、担当副社長での Scott Charney が基調講演を行う事がきまりました。日本では、マイクロソフトが次世代のセキュリティとして取り組んでいる End to End Trustの全体像を紹介する初めての機会になると思います。講演では、今日のITについて問題意識や、解決に向けた取り組みなど、単なるセキュリティ対策ではなく、本質的な取り組みに向けたマイクロソフトの模索と提案について、ご紹介することができると思います。

Scottの来日を機会に、日本でもEnd to End  Trustについての情報を拡充していきますので、こちらも更新があり次第、お知らせしていきます。

講演についての詳しい情報は、情報セキュリティEXPOのサイトをご覧ください。
http://www.ist-expo.jp/jp/conference/