2009 年 10 月のセキュリティ情報(情報元のブックマーク数)

IT セキュリティ

今月もパッチが出ています。予定通り13件です。

多いし、SMB2とかFTPとか危険なものが多数出ています。要アップデート。。。。
セキュリティ情報 ID 番号 タイトル 概要 脆弱性の影響 最大深刻度 再起動情報 影響を受けるソフトウェア
MS09-050 SMBv2 の脆弱性により、リモートでコードが実行される (975517) このセキュリティ更新プログラムは、Server Message Block Version 2 (SMBv2) に存在する 1 件の一般で報告された脆弱性および非公開で報告された 2 件の脆弱性を解決します。攻撃者が特別に細工した SMB パケットを Server サービスを実行しているコンピューターに送信した場合、最も深刻な脆弱性により、リモートでコードが実行される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部からの攻撃を防ぎ、ネットワークを保護することができます。インターネットに接続したシステムについては、最善策として最低限の数のポートしか開かないようにすることを推奨します。 緊急 リモートでコードが実行される 要再起動 Microsoft Windows
MS09-051 Windows Media Runtime の脆弱性により、リモートでコードが実行される (975682) このセキュリティ更新プログラムは、非公開で報告された Windows Media Runtime に存在する 2 件の脆弱性を解決します。これらの脆弱性で、ユーザーが特別な細工がされたメディア ファイルを開くか、または Web サイトや Web コンテンツを配信するアプリケーションから特別な細工がされたストリーミング コンテンツを受け取った場合、リモートでコードが実行される可能性があります。これらの脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows
MS09-052 Windows Media Player脆弱性により、リモートでコードが実行される (974112) このセキュリティ更新プログラムは、非公開で報告された 1 件の Windows Media Player脆弱性を解決します。 この脆弱性で、特別な細工がされた ASF ファイルが Windows Media Player 6.4 を使用して再生された場合、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows
MS09-054 Internet Explorer 用の累積的なセキュリティ更新プログラム (974455) このセキュリティ更新プログラムは Internet Explorer に存在する非公開で報告された 3 件の脆弱性と一般に公開された 1 件の脆弱性を解決します。この脆弱性では、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 要再起動 Microsoft WindowsInternet Explorer
MS09-055 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973525) この累積的なセキュリティ更新プログラムは、非公開で報告された現在悪用されている共通した複数の ActiveX コントロール脆弱性を解決します。脆弱なバージョンの Microsoft Active Template Library (ATL) を使用してコンパイルされた影響を受ける ActiveX コントロールに存在する脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer で表示し、ActiveX コントロールインスタンス化した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows
MS09-060 Microsoft Office 用の Microsoft ATL (Active Template Library) の ActiveX コントロール脆弱性により、リモートでコードが実行される (973965) このセキュリティ更新プログラムは Microsoft Office 用の Microsoft ATL (Active Template Library) の ActiveX コントロールに存在するいくつかの非公開で報告された脆弱性を解決します。これらの脆弱性により、ユーザーが悪意のある Web サイトでホストされている特別な細工がされたコンポーネントまたはコントロールを読み込んだ場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office
MS09-061 Microsoft .NET 共通言語ランタイムの脆弱性により、リモートでコードが実行される (974378) このセキュリティ更新プログラムは、非公開で報告された Microsoft .NET Framework および Microsoft Silverlight に存在する 3 件の脆弱性を解決します。 この脆弱性により、ユーザーが特別に細工された Web ページを XAML ブラウザー アプリケーション (XBAP) または Silverlight アプリケーションを実行可能な Web ブラウザーで閲覧した場合、または攻撃者がユーザーを誘導して特別に細工した Microsoft .NET アプリケーションを実行させた場合に、クライアント システム上で、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 この脆弱性により、サーバーが ASP.NET ページの処理を許可し、攻撃者が特別に細工した ASP.NET ページをそのサーバーへのアップロードに成功して実行した場合に、IIS を実行しているサーバー システム上で、リモートでコードが実行される可能性があります (Web ホスティング シナリオの場合)。 この脆弱性のため、Microsoft .NET アプリケーション、Silverlight アプリケーション、XBAP および ASP.NET ページで悪意のないものは侵害される危険はありません。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft WindowsMicrosoft .NET Framework、Microsoft Silverlight
MS09-062 GDI+ の脆弱性により、リモートでコードが実行される (957488) このセキュリティ更新プログラムは、非公開で報告された Microsoft Windows GDI+ に存在する数件の脆弱性を解決します。これらの脆弱性は、ユーザーが影響を受けるソフトウェアを使用して特別に細工された画像ファイルを開いた場合、または特別に細工されたコンテンツが含まれる Web サイトを参照した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft WindowsInternet ExplorerMicrosoft .NET Framework、Microsoft OfficeMicrosoft SQL ServerMicrosoft 開発ツール、Microsoft Forefront
MS09-053 インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (975254) このセキュリティ更新プログラムは、一般に公開された 2 件のマイクロソフト インターネット インフォメーション サービス (IIS) 5.0、マイクロソフト インターネット インフォメーション サービス (IIS) 5.1、マイクロソフト インターネット インフォメーション サービス (IIS) 6.0 およびマイクロソフト インターネット インフォメーション サービス (IIS) 7.0の FTP サービスの脆弱性を解決します。 IIS 7.0 では、FTP サービス 6.0 だけが影響を受けます。この脆弱性により、IIS 5.0 で FTP サービスを実行しているシステムで、リモートでコードが実行される (RCE)、または IIS 5.0、IIS 5.1、IIS 6.0 または IIS 7.0 で FTP サービスを実行しているシステムでサービス拒否が起こる可能性があります。 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows
MS09-056 Windows CryptoAPI の脆弱性により、なりすましが行われる (974571) このセキュリティ更新プログラムは Microsoft Windows に存在する 2 つの公開された脆弱性を解決します。この脆弱性により、攻撃者がエンド ユーザーが認証に使用した証明書のアクセス許可を取得する可能性があります。 重要 なりすまし 要再起動 Microsoft Windows
MS09-057 インデックス サービスの脆弱性により、リモートでコードが実行される (969059) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性で、攻撃者がその ActiveX コンポーネントへの呼び出しを介しインデックス サービスを呼び出す悪意のある Web ページをセット アップした場合、リモートでコードが実行される可能性があります。この呼び出しには悪意のある URL が含まれ、この脆弱性が悪用された場合、Web ページを閲覧しているユーザーの特権でクライアント コンピューターへのアクセスが攻撃者により取得される可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 重要 リモートでコードが実行される 要再起動 Microsoft Windows
MS09-058 Windows カーネル脆弱性により、特権が昇格される (971486) このセキュリティ更新プログラムは、非公開で報告された数件の Windows カーネル脆弱性を解決します。最も深刻な脆弱性では、攻撃者がシステムにログオンし、特別に細工したアプリケーションを実行した場合、特権の昇格を起こす可能性があります。この脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件となります。リモートで、または匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。 重要 特権の昇格 要再起動 Microsoft Windows
MS09-059 Local Security Authority Subsystem Service (LSASS) の脆弱性により、サービス拒否が起こる (975467) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、攻撃者が NTLM 認証のプロセス中に、不正に細工したパケットを送信した場合、サービス拒否が起こる可能性があります。 重要 サービス拒否 要再起動 Microsoft Windows
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

この辺は要チェック。FixITの人ってもちろんパッチあてたらOKなんだろうねぇ。

Microsoftは10月13日(日本時間14日)、13件の月例セキュリティ情報を公開し、ゼロデイ攻撃が出回っているSMBの脆弱性など計34件の脆弱性に対処した。月例パッチの本数として13件は過去最多。内訳は深刻度が最も高い「緊急」が8件、2番目に高い「重要」が5件となっている。
今回の月例パッチでは、Microsoftが9月のアドバイザリーで注意を呼び掛けていた2件の問題を解決した。具体的には「MS09-050」(緊急)でSMBv2の脆弱性に、「MS09-053」(重要)ではInternet Information Services(IIS)の脆弱性にそれぞれ対処。いずれもコンセプト実証コードや攻撃コードの出現が確認されている。

過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処 - ITmedia エンタープライズ

これだけ多いと・・・優先順位表をMSが出す時代になったか、、、、ゆとり。

なお、Microsoftは、悪用コードが公開される可能性の高さを示す「悪用可能性指標」と、影響が及ぶ製品の範囲などを勘案した「優先順位表」を同時に公開。管理者がパッチ導入の優先順位を決める参考にしてもらいたいとしている。

過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処 - ITmedia エンタープライズ

SANSの評価では、PATCH NOWはなさそうですねぇ。SMBv2はPATCH NOWだと思うが・・・

Overview of the October 2009 Microsoft patches and their status.

InfoSec Handlers Diary Blog - Microsoft October 2009 Black Tuesday Overview

はてなキーワード書いた

この辺はいつもながら悩ましいと思うんだが・・・

MS09-061 (.NET CLR):

.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。
通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。
Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。

MS09-062 (GDI+):

不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。
GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。

2009年10月14日のセキュリティ情報 – 日本のセキュリティチーム

ということで、今月からワンポイントセキュリティ情報が更新されているそうです。

なお、タイトルのとおり毎月ご好評いただいております Web キャスト、「今月のワンポイント セキュリティ情報」は、今月からリニューアルしています!
IT プロフェッショナルの皆様に活用いただける情報を今月から新規に 3 つ追加。ますますパワーアップいたしました★★★
1. その月に公開した各セキュリティ更新プログラムの概要を分かりやすく集約
l 公開したセキュリティ情報、影響を受ける製品、回避策の有無、再起動情報、脆弱性の影響が一目でわかるようスライド1枚にまとめています。
2. セキュリティ更新プログラムの適用優先度参照表を追加
l IT プロフェッショナルのみなさまがセキュリティ更新プログラムのテスト時・適用時に参照できるよう、脆弱性に関する様々な情報を考慮の上優先度を算出しています。
3. 悪意のあるソフトウェアの削除ツールで対応するマルウェアの説明を追加
l これまでは口頭だけで伝えていたマルウェアの特徴ですが、スライドに追加するようになりました。

[セキュリティ] リニューアルしました! 今月のワンポイント セキュリティ Web キャスト – IT プロフェッショナルのみなさまへ

F-secureべた褒め。

限られたリソースで、どのパッチを最初にテストすべきか決定する必要がある人々にとって非常に便利だ。ありがとう、Microsoft

エフセキュアブログ : 配備のプライオリティ

MS09-057のPoCが出ている模様

This code demonstrates a memory corruption vulnerability affecting the Indexing Service ActiveX component on Microsoft Windows.

Webmail | OVH- OVH

MS09-062はExploitが出ている模様。

This code execution exploit takes advantage of a memory corruption vulnerability in Microsoft Office when parsing Office Art Property Tables within a document.

Webmail | OVH- OVH

関連URL

screenshot