ダウンロードの詳細 : Windows 悪意のあるソフトウェアの削除ツール
今月もこれが一番早かった(wファイル名 : Windows-KB890830-V1.24.exe バージョン : 1.24 サポート技術情報 (KB) の記事 : KB890830 公開された日付 : 2007/01/09 言語 : 日本語今回新しく追加されたもの ・Malicious Software Encyclopedia: Win32/Haxdoor ・Malicious Software Encyclopedia: WinNT/Haxdoor HaxDoor ウイルスによりエラー メッセージ "STOP 0x00000050" または "STOP 0x0000008e" が発生することがある という技術情報が2006年12月20日にリリースされていたので、その絡みもあるのかもしれませんね。 ウイルス対策ソフトウェアのベンダにより特定されている名称なども記載されているので、この技術情報も併せて読んでおきたい。
2007年1月の月間Update詳細
4個の新規リリース。更新された情報はなし。
長くなるので、ダイレクトなリンクも先に書くことにする。
■Microsoft Office 2003 のポルトガル語 (ブラジル) の文章校正プログラムの脆弱性により、リモートでコードが実行される (921585) (MS07-001)
■Microsoft Excel の脆弱性により、リモートでコードが実行される (927198) (MS07-002)
■Microsoft Outlook の脆弱性により、リモートでコードが実行される (925938) (MS07-003)
■Vector Markup Language の脆弱性により、リモートでコードが実行される (929969) (MS07-004)■2007 年 1 月のセキュリティ情報を見ると、幸せになれます。
- Microsoft Office 2003 のポルトガル語 (ブラジル) の文章校正プログラムの脆弱性により、リモートでコードが実行される (921585) (MS07-001)
- 脆弱性の影響 : リモートでコードが実行される
- 最大深刻度 : 重要
- 影響を受けるソフトウェア :
- Office 2003 SP2 - ポルトガル語 (ブラジル) 版(日本語版の Office 2003 環境には不要)
- Office 2003 Multilingual User Interface SP2
- Project 2003 Multilingual User Interface SP2
- Visio 2003 Multilingual User Interface SP2
- Office Proofing Tools 2003 SP2
- MBSAでの検出:MBSA 1.2.1、2.0 共に可
- Microsoft Excel の脆弱性により、リモートでコードが実行される (927198) (MS07-002)
- 脆弱性の影響 : リモートでコードが実行される
- 最大深刻度 : 緊急
- 影響を受けるソフトウェア :
- MBSAでの検出:MBSA 1.2.1、2.0 共に一部不可
- Microsoft Excel の脆弱性により、リモートでコードが実行される (924164) (MS06-059)と置き換わる
- Microsoft Outlook の脆弱性により、リモートでコードが実行される (925938) (MS07-003)
- 脆弱性の影響 : リモートでコードが実行される
- 最大深刻度 : 緊急
- 影響を受けるソフトウェア :
- MBSAでの検出:MBSA 1.2.1可、2.0 一部不可
- Microsoft Outlook および Microsoft Exchange の TNEF デコードの脆弱性により、リモートでコードが実行される (902412) (MS06-003)と、Outlook 2003のみ置き換わる
- Outlook で Office Saved and Search (.oss) ファイルの表示または保存ができなくなります
- Vector Markup Language の脆弱性により、リモートでコードが実行される (929969) (MS07-004)
- 脆弱性の影響 : リモートでコードが実行される
- 最大深刻度 : 緊急
- 影響を受けるソフトウェア :
- Windows 2000 SP4 上の Internet Explorer 5.01 SP4
- Windows 2000 SP4 上の Internet Explorer 6 SP1
- Windows XP SP2
- Windows XP Professional x64 Edition
- Windows Server 2003 および Windows Server 2003 SP1
- Windows Server 2003 for Itanium-based Systems および Windows Server 2003 with SP1 for Itanium-based Systems
- Windows Server 2003 x64 Edition
- MBSAでの検出:MBSA 1.2.1 不可、2.0 可、EST 一部不可
- Vector Markup Language の脆弱性により、リモートでコードが実行される (925486) (MS06-055)と置き換わる
- セキュリティ更新プログラム適用時にはIE7をインストールしているか否かによって適用するプログラムが異なるため注意
- セキュリティ アドバイザリ (925568): Vector Markup Language の脆弱性により、リモートでコードが実行されるの「vgx.dll のアクセス制御リスト (ACL) をさらに制限的であるように変更する」の回避策がコンピュータに適用されている場合更新プログラムが正しくインストールされない可能性があるので、VGX.DLLの再登録を行いましょう*1
Microsoft TechNet バーチャル ラボ: セキュリティ バーチャル ラボ公開
12月に紹介していた際にはなかった、セキュリティ バーチャル ラボが公開されていました。■インフラ最適化塾 セキュリティ管理 Vol. 1 組織内のセキュリティ対策を標準化させることを目的とし、 SMS (Systems Management Server) 2003 を利用したセキュリティ更新プログラムの自動配信方法などを体験できます。 ■インフラ最適化塾 セキュリティ管理 Vol. 2 RMS (Rights Management Services) を利用したエンド ユーザーで実装する情報漏えい対策と ISA (Internet Security and Acceleration Server) 2006 を利用したエッジの部分で実装する情報漏えい対策の方法を体験できます。おぉ。
東京地裁を名乗り架空請求、メールで「支払命令」 : 社会 : YOMIURI ONLINE(読売新聞)
裁判所の名称をかたった電子メールによる架空請求等についてという案内が東京地方裁判所・東京家庭裁判所に掲載されています。「民事訴訟法が改定され、電子メールアドレスに支払い命令を発行できるようになった」などというウソの説明が記載されており、 裁判官や書記官の名前も架空だった。なんでもありだな... 振り込まないようにしましょうー。
1 月のセキュリティ リリース:日本のセキュリティチームのblog
日本のセキュリティチームから纏めの言葉が出ています。MS07-004 については、Windows Vista RC1 用のセキュリティ更新プログラムを Windows Update, Download Center で提供しています。 Vista RC1 については、通常のサポートを行っていないβ製品であるため、セキュリティ情報には掲載していません。というわけで、RC1を使用されている方は、・[http://www.microsoft.com/downloads/details.aspx?FamilyID=adbeef07-786b-4c22-a88a-1cbc23b10fac&DisplayLang=ja:title](KB929969)
・[http://www.microsoft.com/downloads/details.aspx?FamilyID=052484bf-2fd4-4922-b1a9-1f0da9bc727b&DisplayLang=ja:title]
・[http://www.microsoft.com/downloads/details.aspx?FamilyID=7a966490-153a-43cb-b1f2-fc89cc6e5159&DisplayLang=ja:title]
から、必要な物をダウンロードして適用するか、Microsoft Updateを行いましょう。 また、MS07-004の脆弱性はVista RTM (初期出荷版) は影響を受けないようですので、そこらへんは安心で。Windows Vista から、セキュリティ更新プログラムは、 *.exe ではなく *.msu という新しい形式 (Microsoft Update Standalone Package)で提供します。ぁぅ、いろいろコマンド類変るのね。[http://support.microsoft.com/kb/928636/:title]にしか、
Microsoft Update Standalone Package(MSU)の記述がないのかぁ... 8件から4件に変更になった理由も品質テスト過程の問題と明記されているので、こういう案内はうれしいなと思います。
Adobe Acrobat 7.0.9 リリース
以下のリリースが始まっています。 Adobe Reader8や、Adobe Acrobat 8へアップデートできない場合は、7.0.9にアップデートしましょう。 追記:Windows版の7.0.9はまだかぁ...は、紹介をしているページがまだないのかなぁ... ↓Windows版は[http://www.adobe.com/products/acrobat/readstep2_allversions.html:title]で、
・Select an operating system:Windows ・Select a version:2000 SP4 ・Select a language:Japanese を選択して下部の「Continue」ボタンをクリックすると、画面下に、Adobe Reader 7.0.9のダウンロードが表示されます。 その他・[http://www.adobe.com/support/downloads/detail.jsp?ftpID=3574:title]
・[http://www.adobe.com/support/downloads/detail.jsp?ftpID=3566:title]
・[http://www.adobe.com/support/downloads/detail.jsp?ftpID=3567:title]
・[http://www.adobe.com/support/downloads/detail.jsp?ftpID=3568:title]
参考:ITmedia エンタープライズ:Adobe Readerプラグインに複数の脆弱性 - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
Adobe Acrobat、Adobe Reader 7.0.8及び、それ以前のバージョンでXSSを防ぐサーバーサイドの回避方法:Adobe
外部にサーバを公開されている場合は、Adobe Acrobat、Adobe Reader 7.0.8及び、それ以前のバージョンのユーザのために、 サーバ側で可能な回避方法が公開されています。 ・IIS 6.0 ・Apache 2.2.3 での対応がかかれていますので一読