MS、IEやWindowsなどの月例パッチ8件公開、XPやOffice 2003向けはもうなし

日本マイクロソフト株式会社は14日、5月の月例セキュリティ更新プログラム(修正パッチ)8件の提供を開始した。同社ソフトウェア製品の脆弱性を修正するもので、WindowsやInternet Explorer(IE)、Officeなどが対象となるが、すでに4月9日でサポートが終了したWindows XPおよびOffice 2003に対してはもう用意はされていない。

  • MS14-022:Microsoft SharePoint Serverの脆弱性により、リモートでコードが実行される(2952166)
  • MS14-023:Microsoft Officeの脆弱性により、リモートでコードが実行される(2961037)
  • MS14-024:Microsoftコモンコントロールの脆弱性により、セキュリティ機能のバイパスが起こる(2961033)
  • MS14-025:グループポリシー基本設定の脆弱性により、特権が昇格される(2962486)
  • MS14-026:.NET Frameworkの脆弱性により、特権が昇格される(2958732)
  • MS14-027:Windowsシェルハンドラーの脆弱性により、特権が昇格される(2962488)
  • MS14-028:iSCSIの脆弱性により、サービス拒否が起こる(2962485)
  • MS14-029:Internet Explorer用のセキュリティ更新プログラム(2962482)


 8件のうち、最大深刻度のレーティングが4段階で最も高い"緊急"となっているのは「MS14-029」と「MS14-022」の2件で、残りの6件は2番目に高い"重要"。

 「MS14-029」は、特別に細工されたウェブページをIEで閲覧することで、リモートでコードが実行される可能性があるというもの。悪用された場合、攻撃者によってユーザーと同じ権限が取得される可能性がある。具体的には、2件のメモリ破壊の脆弱性(CVE-2014-0310、CVE-2014-1815)が含まれ、このうちの1件(CVE-2014-1815)はすでに悪用が確認されているという。Windows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2上のIE 6/7/8/9/10/11が影響を受け、Windowsのクライアント版OS上でこれらを使用している場合に深刻度が最高の"緊急"となる。一方、サーバー版OSでは危険性を低減させる機能により、深刻度は上から3番目の"警告"とのレーティングだ。

 なお、「MS14-029」は、5月2日に定例外で公開されたIEの臨時パッチ「MS14-021」を置き換えるパッチとなっており、「MS14-021」で修正されたIEのメモリ破壊の脆弱性(CVE-2014-1776)の修正も含まれている。すなわち、「MS14-029」には計3件の脆弱性修正が含まれるており、「MS14-021」をまだ適用していなかったPCでも「MS14-029」だけを適用すればよい。だたし、過去のパッチをまとめた累積的なパッチというわけではないため、それよりも前に公開されたパッチは別途、適用する必要がある。

 また、前述の通り、Windows XPはサポート期間終了のため、「MS14-029」はもう用意されてはいない。臨時パッチの「MS14-021」が未適用の場合は、「MS14-021」でCVE-2014-1776のみを修正するかたちとなる。

 もう1件"緊急"となっている「MS14-022」は、SharePoint SharePoint Server 2007/2010/2013、Office Web Apps 2010/2013、SharePoint Server 2013 Client Components SDK、SharePoint Designer 2007/2010/2013が影響を受けるものだ。SharePointページコンテンツの脆弱性(CVE-2014-0251)、SharePoint XSSの脆弱性(CVE-2014-1754)、Web Applicationsページコンテンツの脆弱性(CVE-2014-1813)という3件の脆弱性の修正が含まれる。これらの中で最も深刻な脆弱性では、認証された攻撃者が細工されたページコンテンツを標的となるSharePoint Serverに送信した場合に、リモートでコードを実行される可能性があるとしている。

 "重要"の6件がそれぞれ影響するソフトウェアは、「MS14-023」「MS14-024」がOffice 2007/2010/2013/2013 RT、「MS14-025」がWindows Vista/7/8/8.1およびWindows Server 2008/2008 R2/2012/2012 R2、「MS14-026」が.Net Framework 1.1/2.0/3.5/3.5.1/4.0/4.5/4.5.1、「MS14-027」がWindows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2、「MS14-028」がWindows Server 2008/2008 R2/2012/2012 R2。

 なお、「MS14-025」については、Windows UpdateおよびMicrosoft Updateからの配信は行わない。これは、このパッチがグループポリシーの設定の機能の一部を削除するために、事前検証や追加設定が必要になるためだ。企業向けということもあり、自動更新による配布は不要と判断した。MicrosoftダウンロードセンターまたはMicrosoft Updateカタログからパッチを入手してインストールするかたちとなる。なお、クライアントシステムでは、リモートサーバー管理ツールをインストールしている場合にのみ脆弱性を受けるとしている。

 日本マイクロソフトでは、個人ユーザーに対しては、Microsoft Updateの自動更新により該当するパッチが自動的に適用されると説明。自動更新機能を無効にしているユーザーには、有効にするよう呼び掛けている。一方、企業ユーザーでパッチのインストールに優先付けが必要な場合は、「MS14-024」「MS14-025」「MS14-029」を優先的にインストールするよう案内している。

 今月の月例パッチは、Windows XPおよびOffice 2003のサポート期間が終了後、初めての定例パッチとなる。各パッチで修正する脆弱性の影響を受けるソフトウェアとしてはサポート中の製品しか明示されないため、そこにリストアップされていないからといってWindows XPやOffice 2003が脆弱性の影響を受けないというわけではもちろんない。例えば今回、Windowsのより新しいバージョンに見つかった脆弱性が、Windows XPでも同様に影響を受ける可能性は十分に考えられるわけだ。日本マイクロソフトでは「Windows XPはサポート外のため、影響がにあるともないともコメントできない」というスタンスだが、「過去数年の傾向から、Windows XPが攻撃を受ける可能性は高い」とし、「より安全性の高い最新のシステムに移行してほしい」と呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140514_648342.html

米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始

 米Microsoftは1日、Internet Explorer 6以上の全バージョンに影響する深刻な脆弱性に関して、定例外セキュリティー更新プログラム提供を開始した。

 ユーザーが設定を自動更新にしていれば、Windows Update、Microsoft Updateを介して自動的に該当更新プログラムが適用されるため、特別な作業はユーザーに求められていない。

 この脆弱性に関しては4月26日に脆弱性が発見されて以来、米国、英国政府などがInternet Explorerの一時使用停止を呼びかけていた。

 注目されるのは、4月9日(日本時間)にサポートが終了したWindows XPユーザーに対しても、更新プログラムが提供されたことだ。これまでMicrosoftは「製品サポート終了に伴い、対象製品へのセキュリティ更新プロ グラムの提供も終了する」と何度も言明してきた。今回Microsoftは「例外」を設けたことになる。

 この決定理由について、米Microsoftトラストワーシーコンピューティング担当ゼネラルマネージャーAdrienne Hall氏は「我々はWindows XPのサポート終了後まもないことを考慮し、この例外を設けた」と説明した。また、この脆弱性発見のタイミングがWindows XPサポート終了時期と重なり、メディアによって大きく報じられたことも関係していることを示唆した。

 今回は例外的な措置であることを説明し、Windows XPユーザーに対しては、Windowsのより新しいバージョンに移行するよう重ねて要望している。新しいOSはより安全に設計されており、その上で動作 する新しいInternet Explorerの安全性やパフォーマンスも向上しているからだ。

 今回の脆弱性を悪用した攻撃について、Microsoftでは「Windows XPを含め、本脆弱性を悪用する攻撃が広まっている状況ではありません」と説明。セキュリティ企業Kasperskyでも、「セキュリティチームたちは、 これが広まっている様子を見ておらず、我々のいかなる顧客システムに対しても使用されたことを発見できていない」とおおむねMicrosoftの見解に同 意している。

 同時にKasperskyでは、「ひとたび更新プログラムおよびソースコードが解析されれば、待ち構えている大規模サイバー犯罪ネッ トワークへ供給が始まるだろう」と指摘。修正プログラム配布は犯罪者たちとの新たな戦いの始まりでもあることを強調した。脆弱性を発見した米 Fireeye Research Labsでも、犯罪者たちのターゲットはこれまでの防衛、金融産業から政府、エネルギー関連産業に拡大してきていると指摘している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140502_646872.html

「Google Chrome」セキュリティアップデート、9件の脆弱性を修正

Googleは24日、ウェブブラウザー「Google Chrome」の最新版を公開した。バージョン番号は、Windows版およびMac版が34.0.1847.131、Linux版が34.0.1847.132。既存ユーザーには自動的にアップデートが適用される。

 最新版では、計9件の脆弱性を修正。また、内蔵のFlash Playerについても、脆弱性を修正した最新版(バージョン13.0.0.26)へのアップデートが行われている。
 
【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140430_646602.html

Flash Playerがセキュリティアップデート、ゼロデイ脆弱性を修正

米Adobe Systemsは28日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。脆弱性は既に悪用が確認されているため、Adobeではユーザーに対してアップデートを推奨している。

 最新バージョンは、Windows/Mac版が「13.0.0.206」、Linux版が「11.2.202.356」。Flash Playerを内蔵しているGoogle ChromeおよびWindows 8.1/8向けのInternet Explorer 11/10も、それぞれアップデートの提供を開始した。

 今回のアップデートでは、バッファオーバーフローにより任意のコードを実行させられる危険のある脆弱性「CVE-2014-0515」を修正する。

 この脆弱性を報告したKaspersky Labによると、悪用コードのサンプルを最初に受け取ったのは4月14日で、4月16日にも同じサンプルを受け取った。ヒューリスティック検知の状況を確認したところ、4月9日に最初の悪用が記録されており、多数の悪用が確認されたという。

 Kasperskyが確認した攻撃は、Windowsユーザーを標的としており、OSがWindows 8である場合には攻撃を変化させる仕組みも備わっていた。サイトには「movie.swf」「include.swf」という2種類のFlash動画ファイルとして設置されていた。

 「movie.swf」は、さらに別の悪用コードをダウンロードする目的のものだが、既にリンク切れとなっていたため、どのようなコードであったかは調査できていないという。もう1つの「include.swf」は、Flash PlayerのActiveXとCiscoのウェブ会議システム「MeetingPlace Express」用のアドオンがインストールされている環境でのみ動作するもので、こちらについても完全な悪用コードは入手できていないという。

 Kasperskyによると、これら2つのファイルはシリア司法省のサイトに設置されていたことが確認されており、市民が違法行為などに抗議するためのオンラインフォームに攻撃が仕掛けられていたことから、攻撃はシリア反体制派を標的としたものだと分析している。Kaspersky製品によるこの攻撃に関する検知件数は30件で、うち7件がシリア国内のものだった。また、攻撃を受けたすべてのユーザーは、Firefoxを利用していたという。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140430_646579.html

Oracleが定例セキュリティアップデートを公開、Javaの脆弱性などを修正

米Oracleは15日、データベース製品やJavaなどOracle製品に関する定例のセキュリティアップデート(Oracle Critical Patch Update)を公開した。

 Oracleでは、四半期ごとに定例のセキュリティアップデートを提供している。今回のアップデートでは、Oracle Database、Fusion Middleware、Access Manager、Java、Solaris、VirtualBox、MySQLなど、各種製品に関する計104件の脆弱性を修正した。

 Java SE関連では、37件の脆弱性を修正。うち4件は、共通脆弱性評価システム(CVSS v2)の基本値が最も高い「10.0」とされる危険度の高い脆弱性となっている。Javaの実行環境(JRE)についても、脆弱性を修正した「Java 7 Update 55」および「Java 8 Update 5」を公開した。

 Oracleの次回の定例アップデートは米国時間7月15日公開予定。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140416_644555.html

「Flash Player 13」公開、4件の脆弱性を修正

米Adobe Systemsは8日、Flash Playerの脆弱性を修正するセキュリティアップデートを公開した。4件の脆弱性を修正しており、Adobeではユーザーに対してアップデートを推奨している。

 最新バージョンは、Windows版とMac版が「13.0.0.182」、Linux版が「11.2.202.350」。Windows版とMac版についてはメジャーバージョンアップ(バージョン12から13)となっている。

 今回のアップデートでは、メモリ解放後使用の脆弱性や、バッファーオーバーフローの脆弱性、セキュリティ機能のバイパスが起こる脆弱性、クロスサイトスクリプティングの脆弱性を修正している。脆弱性が悪用された場合、任意のコードを実行させられる危険性や、情報漏えいにつながる危険性がある。

 Adobeでは、Windows版とMac版については、アップデートの適用優先度を3段階で最も高い"1"としており、ユーザーに対して早急なアップデートを推奨している。

 Flash Playerを内蔵しているGoogle ChromeやInternet Explorer 11/10でも、Flash Playerを最新版にするアップデートを提供している。

 また、アプリケーション実行環境の「Adobe AIR」についても、同様の脆弱性を修正したバージョン13.0.0.83を公開。これまで、Adobe AIRの最新バージョンは「4」だったが、Flash Playerに揃える形でバージョン番号は「13」となった。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140409_643656.html

Windows XPとOffice 2003の"最終パッチ"も、4月のMS月例パッチは計4件

日本マイクロソフト株式会社は、日本時間の4月9日に計4件の月例セキュリティ更新プログラム(修正パッチ)を公開することを予告した。対象となるソフトウェアはWindows、Internet Explorer、Office。修正される脆弱性の最大深刻度は、4段階中で最も高い"緊急"が2件、2番目に高い"重要"が2件。いずれもリモートでコードが実行される恐れのあるものだという。

 以前からアナウンスされているように、Windows XPとOffice 2003のサポート期間が4月9日で終了する。今回の月例パッチでは、Windows XP向け、Office 2003向けで最後となるパッチも予定されている。

 また、Word 2010を狙った限定的な標的型攻撃での悪用が3月に確認されていた脆弱性についても、今回、修正が行われる予定。今回のパッチでは、影響を受けるWordの全バージョンを対象に修正パッチを提供するという。この件については、マイクロソフトが3月25日にセキュリティアドバイザリ(2953095)で公表。パッチが提供されるまでの回避策として、設定を自動変更するツール「Fix it」を提供していた。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140404_642853.html

【IPA】Microsoft Word の脆弱性対策について

■概要
Microsoft 社の Word にリモートからコード(命令)が実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。

既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、回避策を適用して下さい。
 
■対象
以下の Microsoft 製品が対象です。
•Microsoft Word 2003 Service Pack 3
•Microsoft Word 2007 Service Pack 3
•Microsoft Word 2010 Service Pack 1
•Microsoft Word 2010 Service Pack 2
•Microsoft Word 2013
•Microsoft Word 2013 RT
•Microsoft Word Viewer
•Microsoft Office Compatibility Pack Service Pack 3
•Microsoft Office for Mac 2011
•Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
•Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
•Word Automation Services on Microsoft SharePoint Server 2013
•Microsoft Office Web Apps 2010 Service Pack 1
•Microsoft Office Web Apps 2010 Service Pack 2
•Microsoft Office Web Apps Server 2013
 
■対策
1.回避策
•Fix it を適用する
Microsoft 社から、本脆弱性を悪用した攻撃コードが実行されないようにする回避策が提供されています。 次のページ内に記載されている「Fix it で解決する」の「この解決策を有効にする」ボタンをクリックし、画面の指示に従い、Fix it 51010 をインストールしてください。
Fix it 51010 を解除する場合は、同ページ内の、Fix it 51011 をインストールしてください。

Microsoft security advisory: Vulnerability in Microsoft Word could allow remote code execution
https://support.microsoft.com/kb/2953095

•Enhanced Mitigation Experience Toolkit (EMET) を使用する
EMET は、ソフトウェアの脆弱性が悪用されるのを防止するためのツールです。
導入する際には、次のページを参考にしてください。

Enhanced Mitigation Experience Toolkit
http://support.microsoft.com/kb/2458544/ja

【ニュースソース】IPA
http://www.ipa.go.jp/security/ciadr/vul/20140325-ms.html

「Firefox 28」正式版公開、Windows 8タッチ版は不採用

Mozillaは18日、ウェブブラウザー「Firefox」の最新版となるバージョン28の正式版を公開した。Windows版、Mac版、Linux版がMozillaのサイトからダウンロードできる。

 Firefox 28では、VP9でエンコードされた動画の再生や、WebM形式の動画でOpus音声コーデックに対応。HTML5のvideo要素やaudio要素では音量を調節できるようになった。通信高速化プロトコルのSPDYについてはSPDY 3のみのサポートとなり、SPDY 2はサポート終了となった。Mac版では、通知センターがWeb Notifications APIに対応した。

 また、Firefox 28のベータ版にはWindows 8のタッチ操作に対応したユーザーインターフェイスが搭載されていたが、ユーザーが少ないことなどから正式リリースは中止となった。

 セキュリティ面では、計18件の脆弱性を修正した。脆弱性の重要度は、4段階で最も高い"最高"が5件、2番目に高い"高"が3件、3番目に高い"中"が7件、最も低い"低"が3件。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140319_640352.html

「Google Chrome」最新版、ハッキングコンテストで指摘された脆弱性を修正

Googleは14日、ウェブブラウザー「Google Chrome」の最新安定版を公開した。バージョン番号はWindows版が33.0.1750.154、Mac版およびLinux版が33.0.1750.152。Googleのサイトからダウンロードでき、利用中のユーザーには自動的にアップデートが適用される。

 今回のアップデートは、カナダで開催されたセキュリティカンファレンス「CanSecWest 2014」内のハッキングコンテスト「Pwn2Own」で指摘された4件の脆弱性を修正するもの。脆弱性の危険度はいずれも4段階で上から2番目の"High"。

 セキュリティ企業VUPEN Securityのチームが発見した2件の脆弱性については10万ドル、匿名の参加者が発見した2件の脆弱性については6万ドルの賞金がそれぞれ贈られている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140317_639949.html