• MS10-070 定例外のセキュリティ情報 FAQ

    Posted over 4 years ago
    by JSECTEAM}

    -----------------------------------------------------------
    2010/10/1 更新

    このセキュリティ更新プログラムを Microsoft Update / Windows Update からも提供開始しました。自動更新を有効にしているお客様は MS10-070 のセキュリティ更新プログラムが自動的に適用されます。

    -----------------------------------------------------------

     

    昨日定例外で公開した MS10-070 の セキュリティ情報について、いくつかあった疑問・質問をFAQとしてまとめました。

    Q. MS10-070 のセキュリティ情報には、「主に ASP.NET がインストールされた Web サーバーがこの脆弱性の影響を受ける」とあります。私は、Web サーバーを構成していませんが、影響を受けますか?

    A. ASP.NET を有効にしたWebサーバーを構成していない場合、この脆弱性の影響を直接受けることはありません。しかし、Webサーバーを構成していない場合でも、MS10-070 の影響を受けるソフトウェアに記載の製品をお使いのお客様は影響を受けるコンポーネントを含むため、今後Webサーバーを構成する可能性や新たな攻撃手法が確認される可能性を考慮して、MS10-070 のセキュリティ更新プログラムの自動更新が開始され次第、該当のセキュリティ更新プログラムが提供されます。

    Q. 私の環境では、ASP.NET ではなく、ASP をインストールしています。この場合、影響を受けますか?

    A.     いいえ、ASP ASP.NET は別のテクノロジーですので、直接影響を受けません。ただし、MS10-070 の影響を受けるソフトウェアに記載の製品をお使いのお客様は影響を受けるコンポーネントを含むため、MS10-070 のセキュリティ更新プログラムをインストールする必要があります。

    Q. なぜ今回の定例外のセキュリティ更新プログラムは先行してダウンロードセンターからのみ提供されたのですか?

    A. この脆弱性に対する攻撃を確認しており、データが損失した場合、影響が深刻になる可能性があるため、お客様 (特に大規模なエンタープライズ、ホスティング プロバイダーおよび ISV) がご使用のコンピューターの更新を開始できるように、このセキュリティ更新プログラムを先行してダウンロード センターから提供しています。

     

  • 2010年9月のワンポイントセキュリティ [特別編]

    Posted over 4 years ago
    by JSECTEAM}

    2010年9月29日に定例外で公開した MS10-070: ASP.NETのセキュリティ情報に関する特別編のワンポイントセキュリティ情報を公開しました。

    IT 管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。

    フルサイズ版、podcast 用は以下のサイトからご覧いただけます。
    http://technet.microsoft.com/ja-jp/dd251169.aspx

    下の画像をクリックして動画を再生してください。

    Format: wmv
    Duration:

  • 2010年9月29日 ASP.NET の脆弱性を修正 (定例外)

    Posted over 4 years ago
    by JSECTEAM}

    事前通知でお伝えした通り、セキュリティ情報計 1 (重要 1 ) を公開しました。

    MS10-070 のセキュリティ更新プログラムはマイクロソフトが2010 9 29 日に定例外で公開したセキュリティ更新プログラムです。このセキュリティ更新プログラムは、2010 9 18 日に公開したセキュリティ アドバイザリ (2416728) で説明した ASP.NET の脆弱性に対応します。セキュリティ更新プログラムを適用していない環境で、攻撃者が ASP.NET がインストールされた Web サーバーに不正なリクエストを送信し、Web サイトが返したエラー コードを検証することによって、十分な情報を入手した場合、暗号化データを読み取る、または改ざんする可能性があります。マイクロソフトは影響を受けるすべての環境に対して MS10-070 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。

    MS10-070     の定例外のセキュリティ更新プログラムは、2010 9 29 日にダウンロードセンターから先行して提供を開始しました。AU/MU/WU/WSUS 経由での提供については、配信準備ができ次第、数日以内に配信を行います。


    公開した月例セキュリティ情報をWeb キャストでお伝えする今月のワンポイント セキュリティ情報 (2010/9/29 午後公開予定) では、適用優先順情報や再起動の必要性、回避策等の情報を提供しています。Web キャスト公開後に、こちらのブログでもお知らせします。

    セキュリティ情報 (新規):
    各セキュリティ情報の概要、展開に関する情報、および脆弱性の悪用可能性指標 (Exploitability Index) は、以下のサイトにまとめています。
    http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx

    家庭でご利用の方は、絵でみるセキュリティ情報をご覧ください。
    http://www.microsoft.com/japan/security/bulletins/default.mspx

  • ASP.NET のセキュリティ更新の事前通知 (定例外)

    Posted over 4 years ago
    by JSECTEAM}

    先日公開した「セキュリティ アドバイザリ 2416728」で、ASP.NET の脆弱性に関する新たな報告を調査中であることをお伝えしていました。

    マイクロソフトは、この脆弱性を悪用する攻撃からお客様を保護するために、定例外の ASP.NET のセキュリティ更新プログラムを 2010 9 29 (日本時間) に公開する予定です。

    現在マイクロソフトは、本脆弱性を悪用した限定的な攻撃の報告を確認しております。

    セキュリティ更新プログラムの配信につきましては、2010 9 29 (日本時間) にダウンロード センターから先行して提供する予定です。WU/MU/WSUS 等からの自動配信については、準備が整い次第配信を開始する予定です。

    公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。
    http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep-ans.mspx

  • ASP.NET の脆弱性を調査中 - セキュリティ アドバイザリ 2416728 を公開

    Posted over 4 years ago
    by JSECTEAM}

    ASP.NET の情報漏えいの脆弱性が一般に公開されたことを受け、本日(2010/9/18)、セキュリティ アドバイザリ 2416728 を公開しました。報告された脆弱性の影響を受ける .NET Framework のバージョンはサポートされる OS 上のすべてのバージョンです。この問題の影響度としては、サーバー上の暗号化されたデーターや web.config などの情報が読み取られる可能性があります。サーバー上でコードが実行されたり、特権の昇格が発生することはありません。

     

    現在のところ、攻撃が発生しているという情報は確認しておりませんが、なるべく早めにセキュリティ アドバイザリの情報を確認し、必要な回避策の実装をご検討ください。技術的な詳細な情報を知りたい方は Security Research & Defense チーム(英語情報)のブログを確認してください。

     

    マイクロソフトは、引き続き調査を行っており、この件に関して進展があればアドバイザリの更新やこのブログでも追ってお知らせしたいと思います。