2008年 6 月のセキュリティ情報(Microsoft)
2008年06月度はDoSを受けるような脆弱性がたくさん出ていますね。要注意です。
- マイクロソフトセキュリティ情報 MS08-030 - 緊急 : Bluetooth スタックの脆弱性により、リモートでコードが実行される(951376)
- マイクロソフトセキュリティ情報 MS08-031 - 緊急 : Internetf Explorer 用の累積的なセキュリティ更新プログラム(950759)
- マイクロソフトセキュリティ情報 MS08-032 - 警告 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム(950760)
- マイクロソフトセキュリティ情報 MS08-033 - 緊急 : DirectX の脆弱性により、リモートでコードが実行される (951698)
- マイクロソフトセキュリティ情報 MS08-034 - 重要 : WINS の脆弱性により、特権が昇格される (948745)
- マイクロソフトセキュリティ情報 MS08-035 - 重要 : Active Directory の脆弱性により、サービス拒否が起こる (953235)
- マイクロソフトセキュリティ情報 MS08-036 - 重要 : Pragmatic General Multicast (PGM)の脆弱性により、サービス拒否が起こる (950762)
SANSの情報が出ていますね。MS08-031のInternetExplorerがPatchNOWであって、それ以外はCriticalどまりか・・・
個人的には、ActiveDirectoryとBluetoothのもかなり危険だとおもうんですが・・・・
小野寺さんのBlogがアップされていますが、やっぱり危険度は高いものが多いみたいですね。
やはり危険ですよねぇ
ReqSD (service description request) を大量に送られることで、結果としてコードが実行される可能性があります。 Bluetoothが有効になっている環境では、可能な限り早めに当てておきたいですね。 とはいえ、10m 〜 100m 以内に攻撃者 (または攻撃用マルウェアに感染した PC) が存在する必要がありますので、屋外で攻撃を受けるケースよりも、社内やPC持ち込み可能な喫茶店等のある程度の人口密集度がある場所が危ないのかもしれませんね。
WINSの脆弱性も
不正なパケットをWINSが受信することを攻撃が成立する可能性があります。
とはいえ、社内に侵入した攻撃者やマルウェアがより高い権限を得るために、悪用を試みる可能性もあるので早いに越したことはありません。なにより、WINSが動いているサーバは、AD/DC であることが多いと考えると油断はしたくないですね。
後で見る
6月のワンポイントセキュリティを公開しました。
関連URL
- http://www.us-cert.gov/current/index.html#microsoft_releases_june_security_bulletin
- マイクロソフト、2008年6月の月例パッチを公開--緊急レベルのパッチは3件 - ZDNet Japan
- マイクロソフト、2008年6月の月例パッチを公開--緊急レベルのパッチは3件 - CNET Japan
- MS月例パッチが公開、IEやBluetoothの脆弱性に対処 - ITmedia エンタープライズ
- QuickTimeのアップデート公開、深刻な脆弱性に対処 - ITmedia エンタープライズ
- Vulnerabilities – Alerts & Solutions - Threat Encyclopedia - Trend Micro USA
- Alerts | US-CERT
- http://blogs.technet.com/swi/archive/2008/06/10/ms08-033-so-what-breaks-when-you-acl-quartz-dll.aspx
- http://blogs.technet.com/swi/archive/2008/06/10/ms08-036-pgm-what-is-pgm.aspx
- MSFN - Where people go to know
- MS月例パッチが公開、IEやBluetoothの脆弱性に対処 - ITmedia エンタープライズ
- マイクロソフト、6月の月例パッチ7件を公開
- http://www.cyberpolice.go.jp/important/2008/20080611_105447.html
- News from the Lab Archive : January 2004 to September 2015
- Windows、IE、DirectXに深刻度「緊急」の脆弱性 − @IT
- MSFN - Where people go to know
- マイクロソフト、6月の月例パッチ7件を公開