2010年6月9日にMicrosoft 6月定例アップデートが実行されました。

Microsoft Windows

2010 年 6 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-jun.mspx セキュリティ情報 計10件 (緊急 3 件)を公開しました セキュリティ情報 ID 緊急(Critical) MS10-033: メディア解凍の脆弱性により、リモートでコードが実行される (979902) MS10-034: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (980195) MS10-035: Internet Explorer 用の累積的なセキュリティ更新プログラム (982381) 重要(Important) MS10-032: Windows カーネル モード ドライバーの脆弱性により、特権が昇格される (979559) MS10-036: Microsoft Office の COM の検証の脆弱性により、リモートでコードが実行される (983235) MS10-037: OpenType Compact Font Format (CFF) ドライバーの脆弱性により、特権が昇格される (980218) MS10-038: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (2027452) MS10-039: Microsoft SharePoint の脆弱性により、特権が昇格される (2028554) MS10-040: インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (982666) MS10-041: Microsoft .NET Framework の脆弱性により、改ざんが起こる (981343) Microsoft Office を含みますので MacOS に Officeをインストールしている方や、Windows Updateを使用している方は、アップデート漏れの無い様にご注意ください。 また、サーバソリューションでのアップデートを段階的に行う際には、以下のアドバイサリを元に、適用パッチのプライオリティを考慮してください。 June 2010 Microsoft Black Tuesday Summary – SANS ISC http://isc.sans.edu/diary.html?storyid=8929 ————————————————————————- : writ :

2010年5月12日にMicrosoft 5月定例アップデートが実行されました。

Microsoft Windows

2010 年5月12日のセキュリティ情報 (月例) http://blogs.technet.com/jpsecurity/archive/2010/05/12/3331950.aspx セキュリティ情報 計2件 (緊急 2 件)を公開しました Outlook Express および Windows メールの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/977544.mspx Microsoft Visual Basic for Applications (VBA) の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/bulletin/ms10-031.mspx Microsoft Officeを含んでいますので、WindowsUpdateではなく、MicrosoftUpdateによる適用を必ず実行してください。 ————————————————————————- : writ :

2010年4月14日　に、複数のアップデートが予告されています。

Microsoft Windows

2010 年4月14日のセキュリティリリース予定 (月例) http://blogs.technet.com/jpsecurity/default.aspx 公開を予定しているセキュリティ情報は、11件 (緊急5, 重要 5, 警告 1)となります。 既に公開され、潜在的にゼロデイとなっていた以下の２つの脆弱性のFIXを含んでいます。 SMB の脆弱性により、サービス拒否が起こる http://www.microsoft.com/japan/technet/security/advisory/977544.mspx VBScript の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/981169.mspx

Adobe Reader

Adobe 社の PDF リーダ Adobe Reader 9.3.1 にも致命的な脆弱性があり、修正が予告されています。 Security Advisory for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-09.html また、PDFが仕様的に外部アプリケーションにラウンチできてしまう問題の回避策が提示されています。 JavaScript の無効化とあわせてご確認ください。 PDF “/Launch” Social Engineering Attack http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html PDFファイルを開くと任意のコードが実行される危険性 http://blog.hitachi-system.co.jp/01/1248.html 尚、今回の Adobe Reader のアップデータより、ユーザが自動でアップデートを選択できるようになります。

Oracle社製の複数のプロダクツ

Oracleの今四半期の大規模アップデートが予定されています。 Oracle Critical Patch Update Pre-Release Announcement – April 2010 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html 特に統合が完了した Sun Microsystems製、Solaris への脆弱性指標は、最大の10.0 (CVSS 2.0 Score) となっております。 各ベンダーの情報を元に、アップデートを行うか、軽減策の適用を行ってください。 ————————————————————————- : writ :

Internet Explorer Zero-Day patch

Microsoft Internet Explorer の致命的なゼロデイ攻撃を塞ぐための緊急パッチが予定されています。 Internet Explorerのセキュリティ更新の事前告知 (定例外) http://blogs.technet.com/jpsecurity/archive/2010/03/30/3321898.aspx パッチ適用日 2010/3/31 AM2:00 頃 (Mar 30, 2010 AM10:00 PDT) このパッチは、既に攻撃が開始されている IE6/7 に対するものですが、同時に発見された非公開の脆弱性のパッチも併せて行うために、 IE6/7/8 すべてに影響があります。 マイクロソフト セキュリティ情報の事前通知 – 2010 年 3 月 (定例外) http://www.microsoft.com/japan/technet/security/bulletin/ms10-mar-ans.mspx 尚、4/1 が近いため、エイプリルフールと勘違いなさらないようにご注意をお願い致します。 また、 IE6/7 は今後も似たような脆弱性が発見、攻撃発生の可能性が高いため、出来うる限り IE8 やそれ以外のブラウザへの乗り換えを強く推奨いたします。 :writ:

MacOS X 10.6.3

MacOS X 10.5 以降の大規模なセキュリティアップデートが実施されています。 ・Mac OS X Server 10.5 ・Mac OS X 10.5 ・Mac OS X 10.6 ・Mac OS X Server 10.6 最新プロダクツは MacOS X 10.6.3 となります。 Mac OS X v10.6.3 アップデートについて http://support.apple.com/kb/HT4014?viewlocale=ja_JP セキュリティ関連のアップデートに関する技術情報：英語 About the security content of Security Update 2010-002 / Mac OS X v10.6.3 http://support.apple.com/kb/HT4077 アップデート方法に関して Mac OS X：ソフトウェアをアップデートする http://support.apple.com/kb/HT1338?viewlocale=ja_JP 尚、MacOS X 10.4 (Tiger) に関しては、2009年8月のパッチ以降、セキュリティを含めてOSへのパッチは充てられておりませんので、今回のセキュリティ・アップデートが適用されない可能性があります。 セキュリティアップデート 2009-004 について (8月13日, 2009) http://support.apple.com/kb/HT3776?viewlocale=ja_JP :writ:

Firefox 3.6.2

Mozilla Firefox がセキュリティ・アップデートを公開しました。 最新バージョンは 3.6.2 になります。 ご使用中の方はアップデートを行いましょう。 特に Firefox 3.0.x は 2010年3月でライフサイクルが切れる予定です。 Firefox ホームページ http://mozilla.jp/ Firefox 3.6 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html :writ:

Microsoft Internet Explorer 6 and 7

Microsoft社 Internet Explorer 6 及び 7 に置きまして、ゼロデイ状態の脆弱性が確認されており、既に攻撃が確認されています。 この攻撃は、対策を施していないPC では、Webサイトを訪問しただけ、あるいは mail に記載されているURL をクリックしただけでウィルス・マルウェアへの感染の危険性があります。 攻撃を緩和する要件： Internet Explorer 8 Internet Explorer 8は、この攻撃の影響を受けません。 Internet Explorer 7 / Windows Vista Internet Explorer 7 / Windows XP Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution DEP(Data Execution Prevention)を有効にしてください。 iepeers.dllのpeer factoryを無効化してください。 ※Internet Explorer 7 を使い続けることにあまり意味はないと思われますので、早急に IE8 への移行を検討してください。 Internet Explorer 6 / Windows XP Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution DEP(Data Execution Prevention)を有効にしてください。 iepeers.dllのpeer factoryを無効化してください。 Internet Explorer 6 / Windows 2000 Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution iepeers.dllのpeer factoryを無効化してください。 ※ Windows 2000 は DEP がありません。 ※ Windows 2000 は 2010年 6月末でライフサイクルが切れ、サポートが終了します。

Peer Factory 無効化[50386]	Peer Factory 元に戻す[50387]
DEPの強制有効化[50386]	DEPを元に戻す[50387]

Apple Safari 4.0.5

Apple社製 Browser Safariが多数の脆弱性修正を行いました。 Safari 4.0.5 脆弱性情報などのリリースノートは以下を参照してください。 About the security content of Safari 4.0.5

Adobe Reader 9.3.1

Adobe Reader 9.3.1 によって塞がれた脆弱性のうち、CVE-2010-0188を対象とした攻撃が確認されています。 Adobe Readerを使用中の方は、現在のバージョンが 9.3.1 であることを確認してください。
「ヘルプ」 → 「Adobe Reader 9 について」 また、一般的には PDF 埋め込みの JavaScript が必要なケースは極めて稀で、危険予防のために Acrobat JavaScript を OFF にされることを強くお奨めします。
「編集」 → 「環境設定」
Acrobat JavaScript を使用 (J) のチェックボックスをはずす :writ:

本日、マイクロソフトの３月定例パッチが施工されました。
http://blogs.technet.com/jpsecurity/archive/2010/03/10/3317967.aspx

尚、MS10-017(Excel)は、Macintosh版のOfficeも影響を受けますのでご注意くだ
さい。
http://www.microsoft.com/japan/technet/security/bulletin/MS10-017.mspx?rss_fdn=Technet%20Security
Microsoft Office for Macの項目を参照してください。

--
また、本日マイクロソフト社より別の脆弱性情報が出されました。

Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981374.mspx

この脆弱性は、IE6及びIE7の非保護モード環境下に影響があり、既に攻撃コード
が悪用されていることを確認されています。

ご注意下さいますようお願い申し上げます。

:writ:

2010年3月10日に Microsoft 月例パッチが予定されています。 今回は、緊急(Critical)はありませんが、重要(Important)が2個、修正される脆弱性は8個となっております。 パッチ適用の準備をお忘れなきよう、お願い申し上げます。 : writ :