2009 年 10 月のセキュリティ情報(情報元のブックマーク数)
今月もパッチが出ています。予定通り13件です。
多いし、SMB2とかFTPとか危険なものが多数出ています。要アップデート。。。。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx
セキュリティ情報 ID 番号 タイトル 概要 脆弱性の影響 最大深刻度 再起動情報 影響を受けるソフトウェア MS09-050 SMBv2 の脆弱性により、リモートでコードが実行される (975517) このセキュリティ更新プログラムは、Server Message Block Version 2 (SMBv2) に存在する 1 件の一般で報告された脆弱性および非公開で報告された 2 件の脆弱性を解決します。攻撃者が特別に細工した SMB パケットを Server サービスを実行しているコンピューターに送信した場合、最も深刻な脆弱性により、リモートでコードが実行される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部からの攻撃を防ぎ、ネットワークを保護することができます。インターネットに接続したシステムについては、最善策として最低限の数のポートしか開かないようにすることを推奨します。 緊急 リモートでコードが実行される 要再起動 Microsoft Windows MS09-051 Windows Media Runtime の脆弱性により、リモートでコードが実行される (975682) このセキュリティ更新プログラムは、非公開で報告された Windows Media Runtime に存在する 2 件の脆弱性を解決します。これらの脆弱性で、ユーザーが特別な細工がされたメディア ファイルを開くか、または Web サイトや Web コンテンツを配信するアプリケーションから特別な細工がされたストリーミング コンテンツを受け取った場合、リモートでコードが実行される可能性があります。これらの脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows MS09-052 Windows Media Player の脆弱性により、リモートでコードが実行される (974112) このセキュリティ更新プログラムは、非公開で報告された 1 件の Windows Media Player の脆弱性を解決します。 この脆弱性で、特別な細工がされた ASF ファイルが Windows Media Player 6.4 を使用して再生された場合、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows MS09-054 Internet Explorer 用の累積的なセキュリティ更新プログラム (974455) このセキュリティ更新プログラムは Internet Explorer に存在する非公開で報告された 3 件の脆弱性と一般に公開された 1 件の脆弱性を解決します。この脆弱性では、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 要再起動 Microsoft Windows、Internet Explorer MS09-055 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973525) この累積的なセキュリティ更新プログラムは、非公開で報告された現在悪用されている共通した複数の ActiveX コントロールの脆弱性を解決します。脆弱なバージョンの Microsoft Active Template Library (ATL) を使用してコンパイルされた影響を受ける ActiveX コントロールに存在する脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer で表示し、ActiveX コントロールをインスタンス化した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows MS09-060 Microsoft Office 用の Microsoft ATL (Active Template Library) の ActiveX コントロールの脆弱性により、リモートでコードが実行される (973965) このセキュリティ更新プログラムは Microsoft Office 用の Microsoft ATL (Active Template Library) の ActiveX コントロールに存在するいくつかの非公開で報告された脆弱性を解決します。これらの脆弱性により、ユーザーが悪意のある Web サイトでホストされている特別な細工がされたコンポーネントまたはコントロールを読み込んだ場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office MS09-061 Microsoft .NET 共通言語ランタイムの脆弱性により、リモートでコードが実行される (974378) このセキュリティ更新プログラムは、非公開で報告された Microsoft .NET Framework および Microsoft Silverlight に存在する 3 件の脆弱性を解決します。 この脆弱性により、ユーザーが特別に細工された Web ページを XAML ブラウザー アプリケーション (XBAP) または Silverlight アプリケーションを実行可能な Web ブラウザーで閲覧した場合、または攻撃者がユーザーを誘導して特別に細工した Microsoft .NET アプリケーションを実行させた場合に、クライアント システム上で、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 この脆弱性により、サーバーが ASP.NET ページの処理を許可し、攻撃者が特別に細工した ASP.NET ページをそのサーバーへのアップロードに成功して実行した場合に、IIS を実行しているサーバー システム上で、リモートでコードが実行される可能性があります (Web ホスティング シナリオの場合)。 この脆弱性のため、Microsoft .NET アプリケーション、Silverlight アプリケーション、XBAP および ASP.NET ページで悪意のないものは侵害される危険はありません。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows、Microsoft .NET Framework、Microsoft Silverlight MS09-062 GDI+ の脆弱性により、リモートでコードが実行される (957488) このセキュリティ更新プログラムは、非公開で報告された Microsoft Windows GDI+ に存在する数件の脆弱性を解決します。これらの脆弱性は、ユーザーが影響を受けるソフトウェアを使用して特別に細工された画像ファイルを開いた場合、または特別に細工されたコンテンツが含まれる Web サイトを参照した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows、Internet Explorer、Microsoft .NET Framework、Microsoft Office、Microsoft SQL Server、Microsoft 開発ツール、Microsoft Forefront MS09-053 インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (975254) このセキュリティ更新プログラムは、一般に公開された 2 件のマイクロソフト インターネット インフォメーション サービス (IIS) 5.0、マイクロソフト インターネット インフォメーション サービス (IIS) 5.1、マイクロソフト インターネット インフォメーション サービス (IIS) 6.0 およびマイクロソフト インターネット インフォメーション サービス (IIS) 7.0の FTP サービスの脆弱性を解決します。 IIS 7.0 では、FTP サービス 6.0 だけが影響を受けます。この脆弱性により、IIS 5.0 で FTP サービスを実行しているシステムで、リモートでコードが実行される (RCE)、または IIS 5.0、IIS 5.1、IIS 6.0 または IIS 7.0 で FTP サービスを実行しているシステムでサービス拒否が起こる可能性があります。 重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows MS09-056 Windows CryptoAPI の脆弱性により、なりすましが行われる (974571) このセキュリティ更新プログラムは Microsoft Windows に存在する 2 つの公開された脆弱性を解決します。この脆弱性により、攻撃者がエンド ユーザーが認証に使用した証明書のアクセス許可を取得する可能性があります。 重要 なりすまし 要再起動 Microsoft Windows MS09-057 インデックス サービスの脆弱性により、リモートでコードが実行される (969059) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性で、攻撃者がその ActiveX コンポーネントへの呼び出しを介しインデックス サービスを呼び出す悪意のある Web ページをセット アップした場合、リモートでコードが実行される可能性があります。この呼び出しには悪意のある URL が含まれ、この脆弱性が悪用された場合、Web ページを閲覧しているユーザーの特権でクライアント コンピューターへのアクセスが攻撃者により取得される可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 重要 リモートでコードが実行される 要再起動 Microsoft Windows MS09-058 Windows カーネルの脆弱性により、特権が昇格される (971486) このセキュリティ更新プログラムは、非公開で報告された数件の Windows カーネルの脆弱性を解決します。最も深刻な脆弱性では、攻撃者がシステムにログオンし、特別に細工したアプリケーションを実行した場合、特権の昇格を起こす可能性があります。この脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件となります。リモートで、または匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。 重要 特権の昇格 要再起動 Microsoft Windows MS09-059 Local Security Authority Subsystem Service (LSASS) の脆弱性により、サービス拒否が起こる (975467) このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性により、攻撃者が NTLM 認証のプロセス中に、不正に細工したパケットを送信した場合、サービス拒否が起こる可能性があります。 重要 サービス拒否 要再起動 Microsoft Windows
この辺は要チェック。FixITの人ってもちろんパッチあてたらOKなんだろうねぇ。
米Microsoftは10月13日(日本時間14日)、13件の月例セキュリティ情報を公開し、ゼロデイ攻撃が出回っているSMBの脆弱性など計34件の脆弱性に対処した。月例パッチの本数として13件は過去最多。内訳は深刻度が最も高い「緊急」が8件、2番目に高い「重要」が5件となっている。
過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処 - ITmedia エンタープライズ
今回の月例パッチでは、Microsoftが9月のアドバイザリーで注意を呼び掛けていた2件の問題を解決した。具体的には「MS09-050」(緊急)でSMBv2の脆弱性に、「MS09-053」(重要)ではInternet Information Services(IIS)の脆弱性にそれぞれ対処。いずれもコンセプト実証コードや攻撃コードの出現が確認されている。
これだけ多いと・・・優先順位表をMSが出す時代になったか、、、、ゆとり。
なお、Microsoftは、悪用コードが公開される可能性の高さを示す「悪用可能性指標」と、影響が及ぶ製品の範囲などを勘案した「優先順位表」を同時に公開。管理者がパッチ導入の優先順位を決める参考にしてもらいたいとしている。
過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処 - ITmedia エンタープライズ
SANSの評価では、PATCH NOWはなさそうですねぇ。SMBv2はPATCH NOWだと思うが・・・
Overview of the October 2009 Microsoft patches and their status.
InfoSec Handlers Diary Blog - Microsoft October 2009 Black Tuesday Overview
はてなキーワード書いた
この辺はいつもながら悩ましいと思うんだが・・・
MS09-061 (.NET CLR):
.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。
通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。
Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。2009年10月14日のセキュリティ情報 – 日本のセキュリティチームMS09-062 (GDI+):
不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。
GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。
ということで、今月からワンポイントセキュリティ情報が更新されているそうです。
なお、タイトルのとおり毎月ご好評いただいております Web キャスト、「今月のワンポイント セキュリティ情報」は、今月からリニューアルしています!
[セキュリティ] リニューアルしました! 今月のワンポイント セキュリティ Web キャスト – IT プロフェッショナルのみなさまへ
IT プロフェッショナルの皆様に活用いただける情報を今月から新規に 3 つ追加。ますますパワーアップいたしました★★★
1. その月に公開した各セキュリティ更新プログラムの概要を分かりやすく集約
l 公開したセキュリティ情報、影響を受ける製品、回避策の有無、再起動情報、脆弱性の影響が一目でわかるようスライド1枚にまとめています。
2. セキュリティ更新プログラムの適用優先度参照表を追加
l IT プロフェッショナルのみなさまがセキュリティ更新プログラムのテスト時・適用時に参照できるよう、脆弱性に関する様々な情報を考慮の上優先度を算出しています。
3. 悪意のあるソフトウェアの削除ツールで対応するマルウェアの説明を追加
l これまでは口頭だけで伝えていたマルウェアの特徴ですが、スライドに追加するようになりました。
F-secureべた褒め。
限られたリソースで、どのパッチを最初にテストすべきか決定する必要がある人々にとって非常に便利だ。ありがとう、Microsoft。
エフセキュアブログ : 配備のプライオリティ
MS09-057のPoCが出ている模様
This code demonstrates a memory corruption vulnerability affecting the Indexing Service ActiveX component on Microsoft Windows.
Webmail | OVH- OVH
MS09-062はExploitが出ている模様。
This code execution exploit takes advantage of a memory corruption vulnerability in Microsoft Office when parsing Office Art Property Tables within a document.
Webmail | OVH- OVH
関連URL
- マイクロソフト セキュリティ情報 MS09-050 - 緊急 : SMBv2 の脆弱性により、リモートでコードが実行される (975517)
- マイクロソフト セキュリティ情報 MS09-051 - 緊急 : Windows Media Runtime の脆弱性により、リモートでコードが実行される (975682)
- マイクロソフト セキュリティ情報 MS09-052 - 緊急 : Windows Media Player の脆弱性により、リモートでコードが実行される (974112)
- マイクロソフト セキュリティ情報 MS09-053 - 重要 : インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (975254)
- マイクロソフト セキュリティ情報 MS09-054 - 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (974455)
- マイクロソフト セキュリティ情報 MS09-055 - 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973525)
- マイクロソフト セキュリティ情報 MS09-056 - 重要 : Windows CryptoAPI の脆弱性により、なりすましが行われる (974571)
- マイクロソフト セキュリティ情報 MS09-057 - 重要 : インデックス サービスの脆弱性により、リモートでコードが実行される (969059)
- マイクロソフト セキュリティ情報 MS09-058 - 重要 : Windows カーネルの脆弱性により、特権が昇格される (971486)
- マイクロソフト セキュリティ情報 MS09-059 - 重要 : Local Security Authority Subsystem Service (LSASS) の脆弱性により、サービス拒否が起こる (975467)
- マイクロソフト セキュリティ情報 MS09-060 - 緊急 : Microsoft Office 用の Microsoft ATL (Active Template Library) の ActiveX コントロールの脆弱性により、リモートでコードが実行される (973965)
- マイクロソフト セキュリティ情報 MS09-061 - 緊急 : Microsoft .NET 共通言語ランタイムの脆弱性により、リモートでコードが実行される (974378)
- マイクロソフト セキュリティ情報 MS09-062 - 緊急 : GDI+ の脆弱性により、リモートでコードが実行される (957488)
- US-CERT Technical Cyber Security Alert TA09-286A -- Microsoft Updates for Multiple Vulnerabilities
- US-CERT Current Activity
- Microsoft GDI+ Malformed Office Object Memory Corruption Remote Code Execution Vulnerability
- Microsoft Windows SMB2 Command Value Remote Code Execution Vulnerability
- Microsoft Windows Media Player ASF File Processing Remote Code Execution Vulnerability
- Microsoft Internet Explorer 'writing-mode' Uninitialized Memory Remote Code Execution Vulnerability
- Microsoft Internet Explorer 'writing-mode' Uninitialized Memory Remote Code Execution Vulnerability
- Microsoft GDI+ TIFF File Processing Memory Corruption Remote Code Execution Vulnerability
- Microsoft Internet Explorer 'Event' Object Copy Constructor Remote Code Execution Vulnerability
- SecurityFocus
- SecurityFocus
- Microsoft GDI+ TIFF File Processing 'BitsPerSample' Tag Remote Code Execution Vulnerability
- Public Advisory: 10.13.09 // iDefense Labs
- SecurityFocus
- Microsoft patches 34 vulnerabilities
- Viruslist.com - Analyst's Diary
- エフセキュアブログ : パッチ…13日の火曜日 パート2
- エフセキュアブログ : パッチ…13日の火曜日 パート2
- Microsoft、10月の月例更新で過去最大規模の脆弱性に対応 - japan.internet.com Webテクノロジー
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS09-050,051,052,053,054,055,056,057,058,059,060,061,062)(10/14)
- MS、10月の月例パッチで「Windows 7」の脆弱性を修復:ニュース - CNET Japan
- 過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処 - ITmedia エンタープライズ
- Microsoft Releases 13 Security Updates for October Patch Tuesday | Malware Blog | Trend Micro
- MSが10月の月例パッチ13件を公開、“緊急”8件、“重要”5件 - Enterprise Watch
- Microsoft Internet Explorer HTML Component Handling Remote Code Execution Vulnerability
- SecurityFocus
- Microsoft GDI+ PNG File Processing Remote Code Execution Vulnerability
- Microsoft Windows Media Runtime File Compression Remote Memory Corruption Vulnerability
- Microsoft Windows Kernel NULL Pointer Dereference Local Privilege Escalation Vulnerability
- Microsoft Windows Kernel Integer Underflow Local Privilege Escalation Vulnerability
- Microsoft & Adobe’s - October 2009 Security Update(s) | SophosLabs blog
- Full Disclosure: ZDI-09-072: Microsoft Windows GDI+ TIFF Parsing Code Execution Vulnerability
- Microsoft Releases 13 Security Updates for October Patch Tuesday | Malware Blog | Trend Micro
- MSが「緊急」パッチを多数公開、すべてのWindowsユーザーが対象 - ニュース:ITpro
- 10月のマイクロソフトセキュリティ更新を確認する -INTERNET Watch
- MSが「緊急」パッチを多数公開、すべてのWindowsユーザーが対象:ニュース
- .:[ packet storm ]:. - http://packetstormsecurity.org/
- .:[ packet storm ]:. - http://packetstormsecurity.org/
- .:[ packet storm ]:. - http://packetstormsecurity.org/
- .:[ packet storm ]:. - http://packetstormsecurity.org/
- VUPEN Security Exploits - Windows Kernel "MiCreatePagingFileMap" Integer Underflow PoC (MS09-058)
- VUPEN Security Exploits - Microsoft Windows Media Player ASF Marker Object Overflow PoC (MS09-052)
- VUPEN Security Exploits - Microsoft Windows Media Player ASF Index Object Overflow PoC (MS09-052)
- VUPEN Security Exploits - Microsoft Windows Media Runtime Speech Buffer Overflow Exploit (MS09-051)
- VUPEN Security Exploits - Microsoft Windows Media Runtime Remote Buffer Overflow Exploit (MS09-051)
- VUPEN Security Exploits - Microsoft Internet Explorer Nodes Remote Memory Corruption PoC (MS09-052)