ということで、今月もMicrosoftからパッチが予定通り出ています。

MS10-017のExcelのやつはクライアントがCriticalなので要注意。

Critical

InfoSec Handlers Diary Blog - March 2010 - Microsoft Patch Tuesday Diary

IEの新しい脆弱性に関するアドバイザリも出ています。

This patch Tuesday had been quiet, perhaps too quiet.
It turns out there is also a new advisory for Internet Explorer.

Patch Tuesday Continues.. Now With IE Vulnerability! – Naked Security

Mac版のOfficeのパッチが出ているので適用する必要があるとのこと。

Apple users take note: Microsoft Office 2004 and Office 2008 for the Mac’s are currently affected by the MS10-017. As such, Mac Microsoft Office users will need to download and install an update to protect themselves.

March Patch Tuesday …. pay attention Mac users – Naked Security

アドバイザリは以下です。

Internet Explorer 6 および Internet Explorer 7 に存在する新たな脆弱性が報告され、マイクロソフトはその報告を現在調査中です。マイクロソフトの調査で、最新バージョンのブラウザーである Internet Explorer 8 は影響を受けないことを確認しています。この脆弱性の主な影響はリモートでのコードの実行です。このアドバイザリでは、この問題に対する回避策および問題を緩和する要素とともに、影響を受ける Internet Explorer のバージョンに関する情報を提供しています。
現在までのマイクロソフトの調査で、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 8 および Internet Explorer 5.01 Service Pack 4 は影響を受けず、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、Internet Explorer 6 および Internet Explorer 7 は影響を受けることを確認しています。

http://www.microsoft.com/japan/technet/security/advisory/981374.mspx

IISの新しい認証方式に関するパッチが出たとのことでアドバイザリが更新されています。

マイクロソフトは新しい機能である 「認証に対する保護の強化」 が Windows プラットフォームで利用可能となったことをお知らせします。この機能は、Windows 統合認証 (IWA) を使用して、ネットワーク接続を認証する際の資格情報の保護および処理を強化します。
この更新プログラムは、資格情報の転送等の特定の攻撃から直接保護するわけではありません。しかし、「認証に対する保護の強化」をアプリケーションで明示的に利用する事ができます。このアドバイザリは、開発者およびシステム管理者に、この新たな機能と、資格情報を保護する方法について要点をお伝えするものです。

http://www.microsoft.com/japan/technet/security/advisory/973811.mspx

2010/03/10: このアドバイザリの「よく寄せられる質問 (FAQ)」を更新し、インターネット インフォメーション サービス (IIS) が認証に対する保護の強化を選択することを可能にする更新プログラムの公開をお知らせしました。詳細は、マイクロソフト サポート技術情報 973917 の既知の問題をご覧ください。

http://www.microsoft.com/japan/technet/security/advisory/973811.mspx

日本語記事にもなっていますね。

米Microsoftは3月9日（日本時間10日）、予告通りに2本のセキュリティ更新プログラムを公開し、WindowsとOfficeの脆弱性に対処した。いずれも最大深刻度は4段階で上から2番目の「重要」レベル。脆弱性は非公開で報告され、現時点で悪用コードなどは報告されていない。

MSの月例更新プログラムが公開、Excelとムービーメーカーの脆弱性に対処 - ITmedia エンタープライズ

アドバイザリも記事になっています。

アドバイザリー（981374）によると、脆弱性はIEで使われている無効なポインタリファレンスに起因する。この問題を突いて細工を施したWebページをユーザーが閲覧すると、リモートでコードを実行される恐れがある。既にIE 6を狙った標的型攻撃の発生が確認されているという。
Vista以降のOSでは、IEの「保護モード」でこの脆弱性の影響を大幅に抑えられるとMicrosoftは解説。また、インターネットゾーンのセキュリティ設定を「高」にすればActive Scriptingが無効になり、攻撃を阻止できるとしている。

IE 6と7に未修正の脆弱性見つかる、既に標的型攻撃の発生も - ITmedia エンタープライズ

今月もキタ━━━━(゜∀゜)━━━━ッ!!

はてなキーワードも作りました

• MS10-016
• MS10-017

Sophosによると、IEの未修正の脆弱性を悪用したメールが出ているそうです。危険！

MicrosoftのInternet Explorer（IE）6と7に未修正の深刻な脆弱性が見つかった問題に関連して、セキュリティ企業の英Sophosは3月10日のブログで、この脆弱性の悪用を狙ったスパムメールが見つかったと伝えた。
同社のブログによると、Sophosはこの脆弱性の悪用コードが仕込まれたURLをチェックしている過程で、週の初めに出回っていた複数のスパムのリンクに気付いたという。3月8日に見つかったスパムは、よくあるソーシャルエンジニアリングの手口でユーザーをだまして悪質サイトを閲覧させようとする内容だった。

IEの未修正の脆弱性を狙うスパムメールが流通 - ITmedia エンタープライズ

IEの脆弱性に関するExploitのデモをPandaが出しています。

Yesterday, Microsoft issued a security advisory for an unpatched and actively exploited invalid reference pointer vulnerability in the Internet Explorer 6 and 7 web browsers. In the attack we observed, the exploit code will load a trojan designed to steal personal and sensitive data. Panda customers are already protected against the threat, but you can take additional steps to avoid it by using an alternative browser such as, Firefox, Opera, or by upgrading to Internet Explorer 8.

Panda Security Mediacenter - All the info about your cybersecurity.

記事も出ています。

ロシアのセキュリティ企業Kaspersky Labはブログと傘下のニュースサービスで、Internet Explorer（IE）の未修正の脆弱性について米大手のMcAfeeが公表した情報をもとに、イスラエルの研究者がこの脆弱性を突いたコンセプト実証（PoC）コードを作成したと伝えた。

セキュリティ企業の情報から研究者が脆弱性悪用コードを作成 - ITmedia エンタープライズ

確かになぁ・・・日本だけかなぁ、、、こんなにちゃんと対応してるのって・・・

しかし、この事例ではマイクロソフトにどの時点で知らせが行ってるのか、まったく知らせ無しに出しちゃったのかどうかはわからないけど、脆弱性ってのが犯罪に使われる例がこれだけ多くなってくると、パッチ前の情報公開はリスキーでしかないような気がするけどな。そのリスクに目をつぶって？ブログとかでいきなり出しているのだとしたら、それはアクセス稼ぎ目当てと言われても仕方がないような気がするけど（苦笑）。

ゼロデイ公開のせめぎ合い - 極楽せきゅあ日記

関連URL

• Viruslist.com - Analyst's Diary
• US-CERT Technical Cyber Security Alert TA10-068A -- Microsoft Updates for Multiple Vulnerabilities
• March 2010 - Microsoft Patch Tuesday Diary
• Microsoft announced two important bulletins (fixing multiple vulns. affecting Windows and Office) for tomorrow: http://www.microsoft.com/technet/security/Bulletin/MS10-mar.mspx
• Vulnerability: (981374) Vulnerability in Internet Explorer Could Allow Remote Code Execution
• Patch Tuesday Continues.. Now With IE Vulnerability! | SophosLabs blog
• マイクロソフト セキュリティ アドバイザリ
• US-CERT Current Activity
• Sunbelt Blog: Microsoft Patch Tuesday
• Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability
• Microsoft warns of zero-day IE hole on Patch Tuesday | InSecurity Complex - CNET News
• IE 6と7に未修正の脆弱性見つかる、既に標的型攻撃の発生も - ITmedia エンタープライズ
• MSの月例更新プログラムが公開、Excelとムービーメーカーの脆弱性に対処 - ITmedia エンタープライズ
• 3月のMS月例パッチ、ムービーメーカーとExcelの脆弱性を修正 -INTERNET Watch
• Microsoft Security Advisory 981374 - Remote Code Execution Vulnerability for IE6 and IE7
• IE 7/6に新たな脆弱性、既に標的型攻撃も -INTERNET Watch
• Microsoft の月例更新、3月はセキュリティ情報2件 - japan.internet.com Webテクノロジー
• MS、3月の月例パッチを公開--IE脆弱性へのゼロデイ攻撃を警告:ニュース - CNET Japan
• Computer Security Research - McAfee Labs Blog
• 【レポート】マイクロソフト、月例のセキュリティ更新プログラムを公開 | パソコン | マイコミジャーナル
• マイクロソフトがExcelのセキュリティホールにパッチ - Zero Day - ZDNet Japan
• IEの新たなゼロデイ脆弱性に対する攻撃が進行中 - Zero Day - ZDNet Japan
• Public Advisory: 03.09.10 // iDefense Labs
• IEにパッチ未公開の危険な脆弱性、悪用した攻撃が既に出現 - ニュース：ITpro
• Internet Explorer 0-day targeted in spam runs | SophosLabs blog
• http://www.exploit-db.com/exploits/11683
• 3月のマイクロソフトセキュリティ更新を確認する -INTERNET Watch
• Exploit for IE 0-day flaw published, patch still unavailable
• Researcher publishes exploit for new IE hole | InSecurity Complex - CNET News
• IEのゼロデイ脆弱性を攻撃するコードが公開される : セキュリティ・マネジメント - Computerworld.jp
• ゼロデイ公開のせめぎ合い - 極楽せきゅあ日記
• 「IE 6」「IE 7」に存在する脆弱性--セキュリティ研究者が概念実証コードを公開:ニュース - CNET Japan
• 「IE 6」「IE 7」に存在する脆弱性--セキュリティ研究者が概念実証コードを公開 - 毎日ｊｐ(毎日新聞)