セキュリティ雑感

普通のユーザは、自動更新で全部当ててしまえば細かいことを気にする必要はないのですが。未解決のセキュリティホールはどのような条件の場合に多いのか。将来発見される安全な選択はどういうものなのか。という観点からここでは見ています。

これまでの結論はWindows2000 は止めましょう。IEはさっさと7.0にしてしまいましょう。WindowsXP SP2 もWindows2000 に比べれば危険なセキュリティホールは少ないけど、Vista ならもっと少ないね。Office2000もできれば止めて2007を買うのがベスト。でも財布の都合もあってなかなか思うに任せないというなら「Office ファイルを開くときに確認するツール」をインストールしておきましょう、と言うものです。

ところがさっさとIE7に更新しても、これって逃れられないの？　というのがMS08-023　ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)　です。

MS08-023の「問題を緩和する要素」の最後のこの記述があります。

しかし、お客様がこの ActiveX コントロールを Internet Explorer の以前のバージョンで使用している場合、お客様が ActiveX のオプトイン機能を使用して明確に許可していなくても、この ActiveX コントロールは Internet Explorer 7 で機能するために有効となっています。

とありますが、これはどういう場合でしょうか。
例えば最初からIE7だったPCは関係ないけど、IE6 SP2 だった人が、IE7 に上げた場合には有効になっていてこのセキュリティホールが存在するとか。
まあ、現時点では自動更新で該当するもの全部をあててしまえば問題は無いのですが。

ところでこのMS08-023はActiveX にkill bitを立てる、IEから使えないようにするということで、これまではIEのパッチでした。ところが今回から分類としてはIEではなくなっています。MSの「日本のセキュリティチーム」BLOG によるとこういうことらしいです。

kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。

まあ、それは妥当かと。

全てOffice関連ですね。（3/15 追記）
相変わらず全て「緊急」レベルとなるのはOffice2000の場合で、Office2003 SP3 では1件、MS08-015だけです。

2000,XP,2003,2007 の4つのバージョンでそれぞれ最新のSPを当てていたとして、今回のWindows Update その実Office Update の件数がどうかるか見ると、まるで絵に描いたような結果に。

ところがおかしなことがひとつ。
会社ではほとんどWindowsXP SP2 Office2003 SP3 （ちょっとバージョンを書き間違えていました）ですから2件しか適用されないはずなんですが、何故か「Microsoft Office Excel 2003 セキュリティ更新プログラム: KB946395」なんてものが降ってきます。　

KB946395なんで、少なくとも今回の更新プログラムには関係ないはず。
名前を見るとMS08-014 ぽいのですが、そのMS08-014のどこにもKB946395の記載はありません。
おまけに、Office2003 SP3にはMS08-014のセキュリティホールは無いはず。
そのうちなんかアナウンスされるんでしょう。・・・と思ったら　お返事を頂いておりました。

GAN さん

ご指摘のKB946395は、MS08-014向けの更新になります。今後 Microsoft Update とセキュリティ情報で何らかの形で整合性はとります。

Office 2003 SP3 向けに更新が適用される件は、セキュリティ情報のFAQにみ記載していますが、ファイルバージョンが、SP3よりも新しいために配信されてしまいます。(ぜい弱性がないことには変りはありません)

「2008年3月のリリースに関する追加情報」も出ました。

全11件、内緊急レベル6件という年度末大決算、放出セールみたいな大盤振る舞いでした。

しかし詳細に見ていくと、緊急レベル6件の内、半分の3件はＯｆｆｉｃｅのものであり、緊急レベルであるのはOffice 2000SP3です。OfficeXP-SP3ではそれは重要に1ランク落ちます。Office2007は勿論、Office2003であっても最新のSP3であれば（自動更新ならそうなります）格下げどころか、今回のセキュリティホールはないということになります。

常にそうなるとは限りませんが、ここでも最大のセキュリティ対策は新しいバージョンを使って自動更新にしておくこと、ということになりますね。

とはいえ、同時に「常にそうなるとは限らない」ことを証明してしまったのはVistaです。

MS08-008　OLE オートメーションの脆弱性により、リモートでコードが実行される(947890)　ではWindows2000 SP4 も　WindowsXP SP2も「緊急」、Windows2003でも「警告」レベルながらも一応セキュリティホールはあったのに対して、Vistaだけはナシ。と、ちょっとは点を稼いだのですが、しかし次の2件についてはVistaであろうが、IE7であろうが「緊急」です。

• MS08-007　WebDAV Mini-Redirector の脆弱性により、リモートでコードが実行される
• MS08-010　Internet Explorer 用の累積的なセキュリティ更新プログラム(944533)

ＩＥについては、MS08-010をよく見ると、含まれている4つのセキュリティホールに対して、IE6SP2では全て「緊急」であるのに対し、IE7だとひとつだけ「重要」に下がっています。もっとも4対3ではたいした差ではないと言えますが。

ということもありますが、とりあえずはVistaでなくとも、WindowsXP であっても入手できるかぎりの最新のバージョンをつかっていれば、そうでないよりはずっと安全ということは今回も言えそうです。もちろんWindows Update が自動更新でメジャーなウイルス対策ソフトが入っていればですが。

2月のMS月例パッチ、IEやOfficeの脆弱性に対処　2008.02.13

そういえばＩＥ7は個人ユーザの場合には今日から降ってくるはずですね。もうＩＥ7にしちゃっているので私は確認のしようがありませんが。とある個人の、セキュリティでもＰＣでもないサイトのアクセスログを見ていたら、先月の平均でIEユーザの内20％がIE7になっているようです。来週以降、それがどう変わるかちょっと楽しみです。

こんな記事がITPro にありました。執筆者はIBM-ISSの研究者。

米マイクロソフトのセキュリティ情報「MS08-001」に対処する難しさ   2008/02/06

ファイアウォールが有効だと，ISSのホストベースの製品による攻撃感知が阻止される。そのため，ユーザーがマルチキャストをブロックするよう特別に設定しない限り，これら攻撃は遮断されない。

ISSのホストベースのIDPは個人ではほとんど使われていないし、私の勤務先でも使ってはいないので、そこを無視するとこうなります。

ファイアウォールが有効だと，・・・ユーザーがマルチキャストをブロックするよう特別に設定しない限り，これら攻撃は遮断されない。

私はルータで蹴っ飛ばしていますので、どのみち問題はないのですが、やはり外側でルータをファイアウォールに使う場合と、それなしにWindowsのデフォルト設定ファイアウォールの場合とは若干違うようです。つまり、危ないのは「具体的に言うと、ルータ、パーソナルファイアウォールを使っていないＰＣだけ」と思っていましたが大変な間違いであったようです。

もっとも、パッチが出ているのですから、Windows Update 自動更新ユーザは別に慌てることはないのですが。

今回の2件のパッチは、「緊急」と「重要」ということになっていますが、常識的な防衛策のとられているPCなら、それほど危険なセキュリティホールではありません。

MS08-001の「Windows TCP/IP の脆弱性により、リモートでコードが実行される (941644)」は、「緊急」レベルですが、外部からのマルチキャストのパケット処理に関するもの。

インターネットからそんなパケットを受け取るようなＰＣはそもそも論外で、やられるのは、WindowsXP SP2なら、「セキュリティセンター」が赤×表示になっているＰＣです。（そんなＰＣはWindows Update以前の問題！）　

具体的に言うと、ルータ、パーソナルファイアウォールを使っていないＰＣだけです。

（ここの部分は私の誤解であったようです。詳細はこちらに追記）

尚、このセキュリティホールは ISS（昨年IBMが吸収合併）の研究チームX Force が発見して、マイクロソフトに報告したらしく、IBM Internet Security Systems の Alex Wheeler 氏および Ryan Smith 氏に対し謝辞が掲載されています。

IBM ISS製品では昨年段階から防御しているらしいです。もっとも企業向けの製品で、この防御が有効（必要）なのは外からのアクセスを受付なければならないWEBサーバとかに、Windowsサーバを使っている場合ですけど。
個人の場合は、外から来るものは全部蹴っ飛ばせばよいだけなので、この手の防御はとっても楽です。

MS08-002の「LSASS の脆弱性により、ローカルで特権が昇格される」 (943485)は、「重要」レベル。
悪用されると「攻撃者により、昇格された特権でコードが実行される可能性が」という恐ろしいものですが、しかし悪用するにはそのＰＣに直にログインしなければなりません。ネット越しにではなくて。インターネットからの脅威という点では、悪用される可能性はとても低いといえるでしょう。

が、いずれにしても、「セキュリティセンター」で合格をもらっていれば、Windows Update も自動更新ですので、放っておけばよいだけです。あとは「今晩シャットダウンするときに、”更新してからシャットダウン”と出ます」ということだけですね。

関連ニュース

• マイクロソフト、12月の月例パッチをリリース--「緊急」は3件　CNET
• 12月のMS月例パッチ、IEやWindows Mediaの脆弱性に対処  ITmedia
• IEやWindowsに危険な脆弱性、修正パッチの適用を  ITpro
• 「パッチ適用でIEがクラッシュ　MSが回避策を公開」　 ITmedia 12/20

MS07-064：緊急

DirectShowの脆弱性により、リモートでコードが実行される（941568）

脆弱性は、識別番号で2件、SAMI ファイル（ CVE-2007-3901）と、WAV ファイル （CVE-2007-3895）の「パラメータの解析を十分に行わないことが原因」としている。バッファオーバーフローかと。

影響をうけるソフトウエアはMicrosoft DirectX の各バージョンだが、プラットフォームにより危険性に差が出るのはいつものこと。Windows 2000 ＳＰ4では識別番号で2件とも「緊急」であるが、Windows XP（SP2)以降は、SAMI ファイルに関わる脆弱性は無く、「緊急」は1件だけになる。　ただし、2003でも、 Vistaでもやはり「緊急」なのは、マルチメディア系の脆弱性の特徴だろうか。次のMS07-068もマルチメディア系だが、Vistaなら大丈夫ということはない。

MS07-068 緊急

Windows Media Format の脆弱性により、リモートでコードが実行される
(941569 および 944275)

Windows Media Format と言われても、どのＰＣが該当するのか、調べるのは困難。おまけにこのパッチ、どうも自動更新できちんと更新されない場合がある。まだどこにも情報が出てこないので、なんとも言えないが。

【追記】：この件、自動更新のＰＣで、翌日に再度自動更新が走り、それで完了した。昔、何度更新しても更新が完了しないことがあったと思うが、今回は2回目で完了。結果的にはたいした問題ではなかったが、でも何でだろう？

このセキュリティホールはIBM X-Force （元ISS X-Force)が発見したらしい。

ビジネスへの影響:
Microsoft Windows Media Player は、Windows XP、Vista、2000、および Server 2003 などのごく最近の Microsoft オペレーティング システムにインストールされているアプリケーションです。この脆弱性は、ユーザー操作を一部要求する場合がありますが、悪用が成功すると、リモートからコードを実行し、場合によってはシステムのセキュリティーを完全に侵害します。Windows Media Player 広く配布されていることと、この脆弱性の影響を鑑みると、この問題が非常に重要であると考える必要があります。（IBM Internet Security Systems プロテクション アドバイザリ ）

MS07-069 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (942615)

Windows XP SP2でも、VistaでもIEを使っているかぎり「緊急」レベルのセキュリティホールである。Windows 2003 Server上の IE6 SP1なら、2段階（つまり2桁も）下の危険性「警告」レベルとなる。これはWindows Server 2003 用のＩＥは、「セキュリティ強化の構成」を標準としているからであり、その中身は「ＩＥ高」と同じである。回避策もやはり「ＩＥ高（ActiveX コントロールおよびアクティブ スクリプト） 」

HotFix Report BBSには、この更新を行ったあと「IEが落ちる」との情報も寄せられているが、私の勤務先では、現場からその報告はなかった。

【12/20 追記】　「パッチ適用でIEがクラッシュ　MSが回避策を公開」　だそうです。

その他

尚、レベルが「重要」と、「緊急」よりは下がるのでとりあげなかったが、「MS07-067: Macrovision ドライバの脆弱性により、ローカルで特権が昇格される (944653)」は、セキュリティアドバイザリ 944653「Windows 上の Macrovision SECDRV.SYS ドライバの脆弱性により、特権の昇格が行われる」の脆弱性に対処したものとのこと。

MS07-061 – 緊急
Windows URI 処理の脆弱性により、リモートでコードが実行される (943460)

この件の対応がやっと出ました。問題が公表されてから1ヶ月、ゼロディアタックが開始されてから約半月です。このセキュリティホールは複数のソフトの組み合わせで問題となります。代表的なものはIE7 AdobeReader、 Acrobat 、ＦｉｅｒＦｏｘです。実際の攻撃はIE7 Adobe、Readerのルートを狙って行われました。

• 2007/10/11　IE7とWindows XPの組み合わせに危険な脆弱性、マイクロソフトが公表
• 2007/10/18　「Adobe Acrobatの脆弱性突くコンセプト実証コードが公開」　ITmedia
• 2007/10/23　「Adobe、Reader／Acrobatの脆弱性修正アップデートを公開」　
  臨時の更新版で　Adobe Reader／Acrobat 8.1.1です。
• 2007/10/24　「Adobe脆弱性悪用のPDF、パッチ公開翌日に出現」　ITmedia
• 2007/10/29  「PDF攻撃の脅威拡大、MSがアドバイザリー改定」ITmedia
• 2007/10/30　勤務先でセキュリティホールを狙うホットなウイルスが、メールサーバに届いてアンチウイルスに遮断されました。
• 2007/11/14　根本問題であるWindows URI 処理の脆弱性を修正するWindoes Updateがリリースされました。

一回間が空くとなんか久々って気になりますね。2ヶ月ぶりですからねぇ。
マイクロソフトの全情報は、以下をご覧ください。
2007 年 10 月のセキュリティ情報.

ニュース記事は

• MSセキュリティパッチ公開、IEやWordの深刻な脆弱性を修正　ITmedia
• マイクロソフト、10月の月例セキュリティ情報をリリース--「緊急」パッチは4件　CNET
• Microsoftの10月定例アップデート，「緊急」4件，「重要」2件 　ITPro

MS07-055 

Kodak Image Viewer の脆弱性により、リモートでコードが実行される (923810)

Windows Kodak Image Viewer が特別な細工がされた画像ファイルを不適切に解析するため、この脆弱性が起こります。この結果、メモリは攻撃者がログオンしているユーザーのコンテキストで任意のコードを実行する可能性のある方法で破損する可能性があります。
攻撃者は、Internet Explorer を介してこの脆弱性の悪用を目的として設計された、特別な細工がされている Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導する可能性があります。

攻撃はWEB系からですね。一応Vista以外はWindows XPも Windows Server 2003 みんな「緊急」マークなんですが、ちと裏があって、Windows XPにセキュリティホールがあると言う訳では無いんですね。Windows XPにアップグレードしても、下敷きが2000ならダメよ、と。

つまり、買ったときからWindows XPだったいまどきほとんどのPCならこのセキュリティホールはありません。また元は2000だったけど、ディスクを初期化してXPをインストールしたと言うPCでも大丈夫です。ちなみに私は、Officeとかならアップグレードインストールしますが（そういうライセンスで買うので）、Windows自体は絶対にディスクを初期化してましたね。何がおきるかわからないので。

「問題を緩和する要素」にはこうあります。

• Windows XP および Windows Server 2003 を実行しているコンピュータは Windows 2000 からアップグレードされた場合のみ影響を受けます。（注1）
• 表示しているファイルに [従来の Windows フォルダを使う] が有効になっている場合、ユーザーはシェル ベースの攻撃から保護されています。
• Office 2003 はファイルの関連付けを継承する Image Viewer アプリケーションをインストールするため、この脆弱性の影響を受けません。

MS07-056 

Outlook Express および Windows メール用の累積的なセキュリティ更新プログラム (941202)

OE等は使っていないからと思うとメールを通じての攻撃ではなく、WEBサイトから。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、この脆弱性の悪用を目的として設計された、特別な細工がされている Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導する可能性があります。これにはユーザーが提供したコンテンツまたは広告を受け入れる Web サイト、ユーザーが提供したコンテンツまたは広告をホストする Web サイトおよび侵害された Web サイトなどが含まれる可能性があります。

WindowsXPSP2で「緊急」、Vistaは「重要」。この訳は「問題を緩和する要素」にあります。

Microsoft Windows Vista 上の Internet Explorer 7 の保護モードは Web ページが Windows メール にアクセスしようとしていることを示す警告メッセージを表示します。この脆弱性が悪用されるには、ユーザーが [許可する] をクリックすることが攻撃者にとっての必要条件となります。

MS07-057 

MS07-057 Internet Explorer 用の累積的なセキュリティ更新プログラム (939653)

アドレス バーのなりすましの脆弱性 が CVE-2007-3892、CVE-2007-1091 および CVE-2007-3826の3件主にフィッシングに悪用されるようなセキュリティホールです。これで感染と言うことはありません。レベルも「警告」か「注意」

このうち2つは以前から知られていたものです。「よく寄せられる質問 」にこうあります。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていましたか?
はい。この脆弱性は一般に知られていました。これは Common Vulnerability and Exposure の CVE-2007-1091 にアサインされています。また、より大きなセキュリティ コミュニティにより、”MSIE7 ブラウザのわなの脆弱性”　とも呼ばれています。これは Common Vulnerability and Exposure の CVE-2007-3826 にアサインされています。また、より大きなセキュリティ コミュニティにより、”MSIE7 ブラウザのわなの再来 (+ FF tidbit)”とも呼ばれています。

セキュリティホールの存在は公開されていたが、幸いにして攻撃コードはナシ。

問題は「エラー処理のメモリの破損の脆弱性 - CVE-2007-3893」です。攻撃はWEBサイトから。WindowsXPSP2でもVistaでもIE6でもIE7でも「緊急」です。Windows2003SP1 だけ「緊急」でないどころか「警告」に止まっています。と言うとピンと来ますね。そうです。ActiveX です。Windows2003のIEはデフォルトではインターネットゾーンのセキュリティレベルが「高」であり、ActiveX コントロールが実行を許可していません。回避策にもこうあります。

インターネットのセキュリティ ゾーンの設定を変更し、ActiveX コントロールが実行される前にダイアログが表示されるようにすると、これらの脆弱性に対する保護の手助けとなります。ブラウザのセキュリティ設定を「高」に設定することによってこれを行うことができます。

MS07-060

MS07-060 Microsoft Word の脆弱性により、リモートでコードが実行される (942695)

例によって、Word 2000 だけが「緊急」です。Word 2002（XP)だと例の「開きますか？」が出てくるので「重要」に格下げ。Office 2003だと無くなってしまいます。もちろんOffice 2007にもありません。

そのほか

重要レベルのパッチはRPC（Remote Procedure Call）のサービス妨害の脆弱性（MS07-058）と、Windows SharePoint Services 3.0およびOffice SharePoint Server 2007の権限昇格の脆弱性（MS07-059）に対処した2件ですが、このうちMS07-059は、今年5月からエクスプロイトが公開されていたそうです。まあSharePoint はそんなに使っている人は多くは無いでしょうが。

「ウイルス対策掲示板」で本日早朝、Windows Update の自動更新アイコンが表示され中身はWindows XP 用 Internet Explorer 7だったとの一報が。

WSUS配下のPCでは自動更新に何も出てきませんが、手動でWindows Update をやってみると、確かに出てきます。
Internet Explorer 7 の自動更新による配布　のページは今もそのままで、最終更新日は2007年8月31日。
日本語、韓国語等は 「2008 年以降 (詳細な予定日は後日公開)」のままです。

何のアナウンスもなく予定変更はおかしいので、ひょっとしてミス？　
日本のセキュリティチームの Blog にも現時点ではアナウンスなし。

（これはやっぱりリリースミスだったようです。）

でも個人のPCの場合にはさっさと更新してしまいましょう。
それで、「ツール」「インターネットオプション」「セキュリティ」で各ゾーンをみんな「規定のレベル」にしましょう。
でないとIE7に上げるセキュリティ上の意味の大半が活かされないままになってしまいます。IE7の「規定のレベル」であれば、まあ「IE高」にまでしなくとも、実用のレベルでほどほどの安全性が確保されます。

企業等で気になる方向けの既知の情報

「Internet Explorer 7 の自動更新による配布」の要約ですが。

• ユーザがそのPCの管理者権限を持っていない場合は自動更新されません。
• 管理者権限を持っていても、IE7をインストールするかどうかの判断を求められるます。「しない」と回答すれば次回から出なくなります。
• 更に、IE7にしたあと問題が起こった（重要なWEBサイトが対応していなかった）と言う場合には「プログラムの追加と削除」から削除、つまりIE6に戻すことができます。

HOTFIX-BBS をウオッチしていればその後の情報がわかると思います。

MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099)

既に実証コードが出ていることなどから、いくつかのセキュリティ企業は「むしろこちらの方が緊急性が高い」と言っているそうです。例えばITmediaの記事では

この問題は、具体的な悪用方法が公開されていることから、SANS Internet Storm CenterやSymantecなどのセキュリティ企業は、むしろこちらの方が緊急性が高いと指摘している。なお、脆弱性を修正した最新版のWindows Live Messenger 8.1は既に公開済み。

ただし、MSN Messenger や Windows Live Messenger は自分でインストールした人以外には関係ありません。そのため、その更新はMicrosoft Update の自動更新には入らず、Messenger の仕組みを使って更新が配信されるそうです。使っておられる方はWindows Live Messenger 8.1 にアップグレードしてください。

日本のセキュリティチームの Blog　9月のセキュリティリリース

この更新は、他の製品とは違い Microsoft Update による配信ではなく、Messenger の仕組みを使って更新が配信されます。対象となるバージョンのMessenger クライアントで、サインインすると、その時にバージョンアップのお知らせが表示され、受諾するとバージョンアップが開始されます。

今月の12日の月例Windows Update は緊急はWindows2000で 1 件だけ、残りの 4 件は重要だそうです。

その4件も　
・Visual Studio
・Windows Services for UNIX（SFU）
　／Subsystem for UNIX-based Applications（SUA）
・MSN Messenger／Windows Live Messenger
・SharePoint
ですからほとんどの人にとっては該当ゼロ件かもしれません。
先月に在庫一掃をして、品薄になったんでしょうか？
こういう品薄は大歓迎ですね。

日本のセキュリティチームの Blog ・9 月のセキュリティリリース

マイクロソフト セキュリティ情報の事前通知 - 2007 年 9 月
公開日: 2007年9月7日

（追記）

5件のうち1件、Windows／SharePoint Server向けの更新プログラム（最大深刻度：重要）のリリースが延期されました。

9月のMS月例パッチ、品質問題で1件公開中止 ITmedia

数は大量、「緊急」レベルが沢山ありますが、新たに発見されたセキュリティホールの傾向、つまりはこれから出てくるセキュリティホールの傾向としてはそれほど目新しいものは無いように思います。
要するにバッファオーバーフロー、メモリの破損から任意のコードの実行と言うパターンしかもはや残ってはいないとも取れます。いや、傾向としては良いことです。

回避策の傾向もほとんど定式化された範囲ですね。

Office系（MS07-044）はOffice2000が危険、でもOffice 2000 用のOffice ファイルを開くときに確認するツールをインストールしてあれば、文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われ、これで危険性は1ランク下がります。

あとは「ＩＥ高」でほとんどの場合は回避できます。
とは言え、この「ＩＥ高」。かなり禁欲的であることは確か。IE6のデフォルト設定は（SP2で少し改善したとは言え）私は甘すぎと思いますが、IE7.0のデフォルト設定はずいぶんと改善したと思います。ActiveX関連は許しがたいですが、そこをグッと我慢すれば、一般ユーザはデフォルトのままでも安全性は高まるでしょう。なかなか浸透しませんが。

しかし例外も1件、MS07-046の GDI の脆弱性により、リモートでコードが実行される (938829)　には回避策はありません。

Windows Media Player の脆弱性により、リモートでコードが実行される (936782)

セキュリティホールとしてはあまり重視はしませんが、日本のセキュリティチームの Blog 8月のセキュリティリリース に以下の注意が書かれています。

今回の Windows Media Player (WMP) の更新を適用した後に、.swf (Flash) をWMPから開くと、Flash Payerを最新のバージョンにするように促すメッセージが表示される可能性があります。

言われた通りにFlash Playerを最新のバージョンにすれば良いだけですが、しかし企業などでクライアントに管理者権限を認めていない場合、かつ、Flash Player旧バージョンがインストールされている場合にはやっかいですね。

「緊急」レベルはWindows 2000 Server にActive Directoryを入れて、インターネットとの間のファイアウォールでTCP ポート 389を通している場合で、通常考えられるのはDoS攻撃の範囲のようです。
ただし「リモート コード実行の可能性もあるので」緊急と言うことでしょうか。

Windows Server 2003 の場合は「有効な認証資格情報が攻撃者にとっての必要条件」となるので1ランク下がり「重要」と言うことなんでしょう。

私の処はActive Directoryは2003にあり、かつインターネットからのTCP ポート 389なんか受付ないので、一気に「注意」にまで格下げにしました。

MS07-036　Microsoft Excel の脆弱性により、リモートでコードが実行される (936542)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-036.mspx
ですが。

> 素のOffice（Excel）2000だと、何も聞かれずにやられてしまうかもしれませんが、Office 2000 の場合でも 「Office ファイルを開くときに確認するツール」
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8B5762D2-077F-4031-9EE6-C9538E9F2A2F&displaylang=ja
> をインストールしてあれば文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われ、事実上「重要」レベルに格下げ出来るはずです。
> ほんとうにそうかは11日のお楽しみですが。

の件、本当にそうでした。
もうひとつ。「
2007 ファイル形式用 Microsoft Office 互換機能パック」はセキュリティの為にも良いかもしれません。個人の場合。

> 未知の、または信頼されないソースからのファイルを開く時、Microsoft Office Isolated Conversion Environment (MOICE) を使用する
> Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックに追加されている場合の Microsoft Office Isolated Conversion Environment (MOICE) 機能は Word、Excel および PowerPoint のバイナリ形式のファイルをさらにセキュアに開くために使用されます。MOICE に関する詳細情報は、サポート技術情報 935865 をご覧ください。

サポート技術情報 935865 はこちら
http://support.microsoft.com/kb/935865
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について
最終更新日 : 2007年5月25日

企業の場合は
> Microsoft Office のファイルのブロックのポリシーを使用して Office 2003 およびそれ以前の文書が未知または信頼されないソースおよび場所からの文書を開くことを阻止する。
> 次のレジストリ スクリプトはファイルのブロックのポリシーを設定するために使用されます。

これは今後のOffice系セキュリティホールの根本的回避策になるかもしれません。
いや、検証した訳ではありませんが、期待できます。

7月のWindows Update は「緊急レベル3件」ですが、例によってWindowsもOffice（Excel）も2000の場合です。XP以降で「ドットNET」など使っていない通常ユーザには「緊急」レベルはなく、Office（Excel）「重要」レベルだけで、 WEB参照中に突然「開きますか？」と聞かれて訳も判らず「はい」と言ってしまった場合に被害を受けると言う例のパターンだと思います。

素のOffice（Excel）2000だと、何も聞かれずにやられてしまうかもしれませんが、Office 2000 の場合でも 「Office ファイルを開くときに確認するツール」をインストールしてあれば文書を開く前に、[開く]、[保存] または [キャンセル] の確認が行われ、事実上「重要」レベルに格下げ出来るはずです。ほんとうにそうかは11日のお楽しみですが。

あとは「ドットNET」ですが。
会社のＰＣで調べてみたら、全部ではないけど、半分をはるかに超える台数に入っていました。私のＰＣにまで。使っている記憶は無いんですがねぇ。
ファイアウォールの内側でどれぐらいの危険性があるのか、これは11日になってみないと判りませんね。

記事　7月のMS月例パッチ、緊急レベルは3件 　7/06

ＭＳ事前予告：2007 年 7 月のセキュリティ情報　7/06

• Office／Excelの脆弱性　
  ：Excel 2000 SP3「緊急」、Excel 2003SP2、Excel 2007は「重要」
• Windows関連の脆弱性　
  ：Windows 2000 SP4が「緊急」　2003は「重要」、XP、Vistaには影響なし
• 他の緊急は.NET Framework関連

MS Blog  2007年７月のセキュリティ情報 リリース予定 7/06

HotFix Report BBS 島田さん投稿で知ったのですが。

あの「Lhaca」がアブない、日本標的のゼロデイウイルス発見 (日経 IT Pro, 2007.06.26)

今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。

ゼロディ攻撃ですね。

ファイル圧縮ソフト「+Lhaca」に脆弱性、XPでバックドアを開く可能性も  CNET 6/26

Symantec Security Responseチームに所属する末長政樹氏が行った初期分析により、少なくともファイル圧縮ソフト「+Lhaca デラックス版バージョン1.20」が脆弱性を持つことが明らかになった。日本語版Windows XP上で前述のLZHファイルが実行された場合、WindowsのSystemsフォルダにバックドアが開く可能性がある。また、別のLZHアーカイブも放出される。

アンチウイルスベンダーの対応:

Trojan.Lhdropper (Symantec) 　日本語版ページは無し
でもレベル1でそれほど危険でもとの評価

Exploit-Lhaca.a (McAfee) 　日本語版ページは無し
Risk Assessment  Low

TROJ_LHDROPPER.A  (TREND MICRO)
危険度:  低  感染報告:  低  ダメージ度:  高  感染力:  低

「でそれほど危険でも」と言う評価はエリアが限定的（日本）だからと言うこと、実例の報告件数が少なく（1件だけ？）、大量に出回っている兆候がまだないと言うこともあるかもしれません。
もうひとつ考えられる要素は、そのウイルスの破壊力。しかし「トロイ」や「バックドア」は「それ自体の破壊力は低い」「それ自体に感染力は無い」と言うことから常にリスク評価は下の方です。

しかし「それ自体の破壊力は低い」のは、「危害を加える本体を呼び込む」のが機能だからで「それにより引き起こされるリスクの大きさ」で評価するとまったく別の結果になります。軽視してよい訳ではありません。

後からドリッパさんに日本語版ページを教えて頂いたのですが、TREND MICRO　の評価を知りましたが、「感染報告：低／ ダメージ度：高／ 感染力：低」の総合で「危険度：低 」これは納得できますね。

修正暫定版

修正版Lhaca121.exeが出ています。ただし、修正暫定版のようです。

行ったこと：LHA展開処理内に存在したstrcpyをstrncpyに変更し、バッファーのオーバーフローをなくしました。
しばらくは本バージョンを正式版とはせずに、ここにおいておきます。詳細な動作確認が終われば正式版にします。

前述の記事によると「少なくてもLhaca（デラックス版）1.20に」で、あってそれ以前のバージョンならＯＫと言う訳ではありません。また作者の修上記のアナウンスを見ても、以前はstrncpy関数を使っていたの新版でstrcpy関数にしたとは考えにくいですね。

以前のバージョンから文字列コピーはstrcpy関数だったと推測されます。つまりLhacaはほとんど全部対象と。

7/2追記

ウイルス対策掲示板で脳脂肪さんに教えてもらったのですが、
「修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース」　ITmedia 7/01

昨夜確認して「まだ正式版になってないのか」と思っていたんですが、1.21のあと1.22　そして今回は1.23とバージョンの方が上がっていたとは気が付きませんでした。
今度はstrcpy関数でなくてstrcat関数のようですが。
と言うことで修正版1.21は正式版になることなく消え去り、修正版1.23はまだ動作確認中で正式版になっていません。

Windows Update Agent 3.0（WUA 3.0）は、自動更新による配布が既に行われているようです。

HotFix Report BBS で島田さんが「ログを見る限り、6月の月例パッチと同じタイミング、すなわち6/13から配布が始まっている様子」と。

ところがどうも普通の更新プログラムと違って表に出てきません。Windows Updateにとっては「お客さん」ではなくて自分自身だからと言うことなんでしょうか。
私の周りは初期の段階で解決済みですし、一般にも事実上リリース日: 2007年5月23日の「Windows Server Update Services 2.0 SP1 クライアント更新プログラム (KB936301) 」で解決していると思われるので事実上問題は終わっていましたが、これで本当に完了みたいです。

しかしそれならそうと、マイクロソフトも5月23日の段階か、6月13日の段階でなんらかのアナウンスをしてくれれば良いのにと思います。この確認が出来なくて6月のWindows Update の分析が書けなかったんですから。

マイクロソフト側が出した情報をまとめてみます。

これまで明らかになっており、入手も可能だった更新プログラムの内、今回自動更新にリリースされたのはKB927891の1件だけです。

WSUSから見た情報
-----------------------------------------------------------------------
タイトル: Windows XP 用の更新プログラム (KB927891)

説明: この更新プログラムは、信頼性に関するものです。 この更新プログラムを使用すると、ソフトウェアの更新中にパフォーマンスに影響が生じる場合があるという Windows インストーラ (MSI) の問題が修正されます。インストール後には、コンピュータの再起動が必要になる場合があります。

クラス: 重要な更新
製品: Windows XP リリース日: 2007年5月23日

詳細情報:文書番号 927891 （このドキュメントは昔のまま）
最終更新日 : 2007年4月27日
リビジョン : 4.0

これについてのアドバイザリも公表されました。
-----------------------------------------------------------------------
マイクロソフト セキュリティ アドバイザリ (927891)
Windows インストーラ (MSI) の修正 ：公開日: 2007年5月23日

Windows Update または Microsoft Update から更新プログラムをインストールしようとすると、次の現象が起こります。
• Windows Update または Microsoft Update が Windows インストーラを使用する更新プログラムをスキャンしている時に、コンピュータが応答しなくなるように見える場合があります。
• svchost.exe でアクセス違反エラーが表示されます。このアクセス違反により、サーバー サービスおよびワークステーション サービスが停止します。
• Windows Update または Microsoft Update が Windows インストーラを使用する更新プログラムをスキャンしている時に、メモリ リークが起こります。
• Windows Update または Microsoft Update のスキャンは非常に長時間を要し、完了するまで数時間かかることもあります。

以上が対象とする現象です。今回やっとWindows Updateの自動更新にも載るようになりましたが、ただしこれは前半部分で6月にもうひとつ出すと。

この更新プログラムは、この問題に対する包括的な解決策である 2 つの部分から構成される修正の最初の部分であることに留意してください。 （この問題については、サポート技術情報 937383 で説明されています）

2 つの部分と言うのはこの件を解決するために必要な2つの更新です。
サポート技術情報 937383　
Microsoft Update または Windows Update が終了しない
最終更新日 : 2007年5月22日

そこで必要だったのは今回のKB937383 ともうひとつ、
Windows Update Agent 3.0 をインストールすることだったのですがその後者は6月になると言うことです。

6 月には、Windows Update クライアントに関連する更新プログラムが含まれる予定です。 また、Windows Update クライアント用の更新プログラムは、自動的に自動更新からも提供される予定です。

ただ，Windows 2000 用のKB927891はいままで出ていなかったと思いましたが、今回それも出ました。
Windows 2000 用の更新プログラム (KB927891)

--------------------------------------------------------------
関係するのは一部の企業ユーザだけで、一般ユーザには関係しないと思いますが、
「Windows Server Update Services 2.0 SP1 クライアント更新プログラム (KB936301) 」（後述）は今回リリースされています。

-------------------------------------------------------------------
タイトル: Windows Server Update Services 2.0 SP1 クライアント更新プログラム (KB936301)

説明: この更新プログラムをインストールすると、Windows Server Update Services 2.0 Service Pack 1 で管理されているクライアント コンピュータに関する問題が修正されます。また、この更新プログラムには、Windows Server 2003 x64 Edition Service Pack 2 に対するポルトガル語 (ブラジル) およびロシア語のサポートも含まれています。 インストール後には、コンピュータの再起動が必要になる場合があります。インストールすると、削除することはできません。

クラス: 重要な更新
製品: Windows 2000、Windows Server 2003, Datacenter Edition、Windows Server 2003
リリース日: 2007年5月23日
サポート技術情報: 文書番号936301　（このドキュメントは新しいものです）
最終更新日 : 2007年5月23日

このアップデートには、最新バージョンの Windows Update クライアント プログラムが含まれます。 更新されたクライアント プログラムには、 WSUS 3.0 Windows Update クライアント プログラムに含まれた更新プログラムと機能があります。・・・・

次のサポート技術情報（Microsoft Knowledge Base）の資料に記載される問題がこの更新で解決します。

サポート技術情報　文書番号 : 932494
最終更新日 : 2007年5月22日

自動更新を使用して、更新プログラムをスキャンする、または Windows インストーラを使用するアプリケーションに更新プログラムを適用すると、Svchost.exe プロセスによる問題が発生する

サポート技術情報　文書番号 : 932494
最終更新日 : 2007年5月22日

自動更新を使用して、更新プログラムをスキャンする、または Windows インストーラを使用するアプリケーションに更新プログラムを適用すると、Svchost.exe プロセスによる問題が発生する

WSUS配下はこれがその「後半」のような気がします。モジュールの確認まではしていませんが。

WindowsXPとOfficeが入っているPCで、なんか最近異様に遅いと感じる人は下の2つをインストールしてみてください。全てが直るとは限りませんが、関連しているかもしれません。関連していればみっけもん。

• Windows Update Agent 3.0
  Windows XP、Windows Server 2003 および Windows 2000 用
• 更新プログラム 927891
  Windows XP 用の更新プログラム (927891) パッケージ

実はこの記事、ＬＡNにつながっていないPCの為のまことに私事な記事なんですが。ってどっちが「私事」なんだか。（笑）

事の詳細はこちらを、

• Re[2]: MS サポート技術情報 : MS Update/WU が終了しない
• 自動更新などでOfficeパッチが配布されるとsvchosts.exeがおかしくなる不具合、修正プログラムあり？（KB927891）

一般ユーザにとって問題となるのはやはりＩＥのこれです。

MS07-027

Internet Explorer 用の累積的なセキュリティ更新プログラム (931768)
IE6 とIE7 に同数のセキュリティホールが。

深刻度および脆弱性識別番号 :

IE6（SP2)はXPSP2では４つとも「緊急」、しかし2003だとその4つもと「警告」に２ランクも下がります。
これは2003の「セキュリティ強化の構成」つまりデフォルトできつめの設定になっているからです。従ってIEのインターネットゾーンを高にしていれば、ほぼ2003並と考えて良いでしょう。ほとんど問題はActiveX コントロールがからんでいます。

であればIE7ではActiveX のオプトインの機能で安全に？　
と思うと、そう書いてあるものもありますが（CVE-2007-0942）（CVE-2007-2221）。
でもその結果には（CVE-2007-0942）は「重要」、（CVE-2007-2221）は「緊急」のままと差があります。
ActiveX のオプトインの機能は回避策としてトータルでは安全になるが、しかし脆弱性のレベルに差があると言うことなのでしょう。
私流に翻訳すれはIE7でActiveX のオプトインの機能を有効にしていれば、総合リスクは「緊急」ではなく「重要」レベルに一桁下がると考えて良いと思います。
もっともそう考えてもIE7にはもうひとつの「緊急：プロパティのメモリ破損の脆弱性 - CVE-2007-0945」がありますから、早急にパッチをあてなければならないことに変わりはありません。

その「プロパティのメモリ破損の脆弱性 - CVE-2007-0945」のポイントは以下の2点です。

• Internet Explorer がプロパティ メソッドを呼び出す際に、攻撃者が任意のコードを実行可能なメモリ破損が発生し、この脆弱性が起こります。
• 問題はActiveX コントロール。しかしＩＥ7ならActiveX のオプトインの機能で問題を緩和との記載は無く、レベルも緊急。

Office系MS07-023からMS07-025

Office系は緊急レベルはOffice2000だけで、あとは重要、または無しです。
話題のゼロディアタック（後述）もOffice2003SP2やOffice2007であれば関係無しです。
Officeのバージョンアップは懐具合に影響して即座にバージョンアップとは行きませんが、仮にOffice2000のまま使うしかなくとも、ちゃんと出来る範囲のOffice Update をやって、Office 2000 用の「Office ファイルを開くときに確認するツール」をインストールしてさえいれば出会いがしらにドカンと言うことはなく、「緊急」レベルから「重要」レベルにリスクを低減できます。

パッチを当てることも勿論重要ですが、それ以前の対策さえ済んでいるのなら慌てることは無いはずです。むしろそちらが重要かと。

その中でゼロディアタックで以前から知られていたセキュリティホールはMS07-024で対応されています。そこでこのMS07-024をちょっと見てみましょう。

Microsoft Word の脆弱性により、リモートでコードが実行される (934232)

修正プログラムは3つのセキュリティホールに対応していますが、既に悪用されていたのは２つ目の「Word ドキュメントのストリームの脆弱性 - CVE-2007-0870」です。Secunia Advisory:  SA24122   は今年の２月15日に出ています。ターゲットにされたのはWord 2000ですね。もっとも、「開くかい？」と聞かれてなんの警戒心も無く開いてしまえばOffceXPのWordだって同じですが。

MS07-028

CAPICOM の脆弱性により、リモートでコードが実行される (931906)

緊急ですが、勤務先では該当はありませんでした。 これもＩＥ高やＩＥ7のActiveX オプトイン機能で問題は緩和、または回避できるようです。

会社のセキュリティを担当している人にとって

MS07-026

会社のセキュリティを担当している人にとって一番重要なものはMS07-026 でしょう。Exchangeサーバ緊急です。
Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832)

特に「MIME デコードの脆弱性 - CVE-2007-0213」

特別な細工がされた base64 エンコードされたコンテンツを不正確に処理するために起こり

とのこと。

このセキュリティ更新プログラムは再起動を必要としません。

と言うのは朗報ですが、「しかし」と注意書きが。
即座に当てる勇気はなく2～3日様子見ですが、あまり先延ばしはできませんね。
通常は「マイクロソフトのサーバなんか外部に公開するか！」って感じなんですが、Exchangeサーバだけはメールが外部から届きます。

MS07-029

緊急から警告に格下げ

Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される (935966)

個人ユーザ、及びクライアントＰＣには関係ありません。サーバを運用している人たちだけです。また、そのサーバをインターネットに曝している場合に問題となります。この件のパッチです。

相次ぐゼロデイ脆弱性、今度はWindows DNS Serverに  2007年04月13日

脆弱性が存在するのは、Windows 2000 ServerやWindows Server 2003で動作するWindows DNS ServerサービスのRPCインタフェースだ。細工が施されたRPCパケットを受け取る形で攻撃されると、スタックベースのバッファオーバーフローが発生し、DNS Serverサービスの権限でコードを実行されるおそれがある。Microsoftによると、この脆弱性を狙う「限定的な攻撃」が報告されているという。

訂正更新　2007.05.10

家に帰ってから綺麗に整形してまとめなおします。とりあえず「速報」

まず、今回修正版も出されたMS07-017（臨時緊急）のその後について、綺麗にまとめた記事が出ています。
ITmedia 「10日足らずで2000を超える攻撃サイトが出現、改めて確認するアニメカーソルの脆弱性」2007年04月10日

（4/15追記）

ふ～、やっと家に帰ってきました。（嘘つけ！）　(,_'☆＼ ベキバキ
でもねぇYukkyさん、今週会社に行ったのは9日と11日だけなんですよぉ～、家で臥せっていたんですよぉ～。と言うことでとりあえず整形だけしときましょう。(;^_^A

ITmediaの高橋睦美さんの記事はウイルス対策掲示板で眠さんが絶賛。

早速拝読しました。すばらしい。綺麗なだけでなく、一種学際的な視野があって、それ故に事の本質を衝いている。執筆者のご尊名を拝見して、さもありなんと納得。
DELODER と MS03-007 のときを鮮烈に想い出しました。

高橋さんはとても解りやすくポイントを突いていらっしゃいますね。

で、今回の定例Windoew Update ですが、やっと詳細情報を読み終わりました。
サーバ系を除けば比較的穏やか、小物と言う感じです。
まあMS07-017（臨時緊急）にギャッ！と言った後ですから余計にそう思うのかもしれませんが。

MS07-019　緊急

XPのみに関係する「緊急」ですが、セキュリティホールとしては「緊急」レベルでも、防御はファイアウォールだけで済みです。
XPでファイアウォールがオンでないならそれはMS07-019以前の問題でしょう。

MS07-020 　緊急

Microsoft エージェントの脆弱性により、リモートでコードが実行される (932168)

問題はこれですが、引き金はActiveX のようです。
古典的（と言ってもやっている人は少数派でしょうが）なＩＥ高で防御出来ていました。
またIE7 の ActiveX のオプトインの機能でも防御出来ます。
お仕事関係でそう簡単にはIE7に出来ないと言う人意外はさっさとIE7にしてしまった方が良いかと。IE7ならデフォルトのセキュリティ設定でもまあまあ安全になります。

> Internet Explorer 7 には ActiveX のオプトインの機能が含まれており、ほぼすべてのプリインストールされた ActiveX コントロールが既定で無効にされています。ユーザーが、インターネット上でまだ使用されていないプリインストールの ActiveX コントロールにアクセスする際は、情報バーでメッセージが表示されます。これにより、ユーザーはコントロール ベースで ActiveX コントロールへのアクセス許可または拒否を決めることができます。

MS07-021 緊急

「緊急」ですが実質「格下げ」と考えても

と言うのは「問題を緩和する要素」にありますが、

この脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件
web ベースの攻撃のシナリオで・・・、ユーザーがリンクをクリックした後、ユーザーにいくつかの動作を実行するよう誘導するメッセージが表示される可能性があります。ユーザーがこれらの操作を行った場合にのみ、攻撃が実行される可能性があります。

つまり悪用する側からすればあんまり価値ある、効果の高いセキュリティホールではないと思います。

VISTAも緊急になっていますが、

Windows Vista で Internet Explorer 7 を使用しているお客様は、Internet Explorer の保護モードにより、現在既知の Web ベースの攻撃から保護されます。

ですからトータルでは危険性は緩和されています。事実上「重要」レベルと考えても良いかもしれません。
ただこのセキュリティホールはパッチリリース以前から知られておりCVE-2006-6696にアサインされています。
http://www.securityfocus.com/archive/1/archive/1/455061/100/0/threaded
http://secunia.com/advisories/23448

もちろんWindows Update は自動更新が基本です。
当日中に確実に更新されるならマニュアルでももちろんかまいませんが。

（4/6追記）

ことの発端は3月30日に マイクロソフト セキュリティ アドバイザリ (935423) が出されたとほぼ同時にセキュリティ各社がアドバイザリーを発表したことからです。なおマイクロソフト セキュリティ アドバイザリ の内容は現在はＭＳ07-017に引き継がれています。そのMS07-017：GDI の脆弱性により、リモートでコードが実行される (925902)　に沿って内容を纏めておきます。

MS07-017は7つのセキュリティホールに対応しています。

深刻度