 |
  |
Windows HotFix Briefings ALERT セキュリティ情報 ― 2007年12月版
DA Lab Windowsセキュリティ |
|
■Office 2007ファミリ向けService Pack 1の提供開始
マイクロソフトは、Office 2007ファミリ向けService Pack 1の提供を開始した。Office 2007スイートやその単体版のほか、OneNote、Visio向けに個別のインストール・パッケージで提供されている。Service Pack 1には、公開済みのセキュリティ修正プログラムや不具合修正が含まれている。
- 1 の 2007 に Microsoft Office スイート Service Pack の説明(サポート技術情報 936982)(機械翻訳)
- 2007 Microsoft Office suites Service Pack 1に修正される問題(サポート技術情報 942379)(機械翻訳)
Office 2007ファミリの各製品向けService Pack 1のダウンロード・ページは以下のとおり。
一方、以下のサポート技術情報によれば、Windows VistaにOffice 2007 SP1をインストールすると不具合が発生することなどが明らかになっている。
最低12カ月間はSP1を適用していない環境もサポートされるので、上記のようなSP1の不具合がある程度解消されてから、SP1のインストールを開始してもよいだろう。
■AccessにおけるMDB処理のバッファ・オーバーフローの脆弱性
US-CERTは、マイクロソフトのデータベース・ソフトウェア「Access」のMDB(Microsoft Access Database)処理に脆弱性が存在し、その脆弱性を悪用する実証コードが広まっていると警告した。
細工したMDBファイルを開くと、バッファ・オーバーフローが起こり、ユーザーの操作なしに任意のコードが実行されてしまうということだ。執筆時点でマイクロソフトから正式な発表や修正プログラムの提供はないので、怪しいファイルは開かないなど運用で回避する必要がある。
マイクロソフトは、Windows OSにおけるWPAD(Web Proxy Auto-Discovery Protocol:Webプロキシ自動発見)サーバの発見処理に脆弱性が存在し、情報漏えいが起きる危険性があることを明らかにした。
WPAD機能は、Webクライアントがユーザーの介入なしに、自動でプロキシ・サーバを検出し、設定する機能である。Windows OSは、自動プロキシ設定ファイルが配置されたWPADサーバを探していくうちに、組織内だけではなくインターネット上にあるサーバまで探索してしまう。その結果、意図しないプロキシ・サーバを見つけてしまい、中間者攻撃が仕掛けられる危険性がある。
前出のセキュリティ・アドバイザリによれば、この脆弱性を回避するには、コントロール・パネルの[インターネット オプション]−[接続]タブ−[LANの設定]において、「設定を自動的に検出する」を無効にすればよいとのこと。
■複数の脆弱性を解消したQuickTime 7.3.1の提供開始
Appleは、マルチメディア・プレーヤ「QuickTime」に3種類の脆弱性が存在することを公表し、それらを解消した「QuickTime 7.3.1」の提供を開始した。
見つかった脆弱性はいずれも任意のコードが実行できる危険なものだ。特にRTSP(Real Time Streaming Protocol)の脆弱性については、すでに複数の実証コードが公開されており、攻撃事例も報告されている。QuickTimeを利用しているなら、至急Ver. 7.3.1に更新した方がよい。執筆時点でApple Software Updateによる配布は始まっていないが、以下のページからVer. 7.3.1のインストーラを手動ダウンロードできる。
なおQuickTime 7.3.1はWindows XP/Windows Vista向けとなっており、Windows 2000にはインストールできない。
Mozilla Foundationは、2007年11月下旬にWebブラウザ「Firefox 2.0」を2回更新した。執筆時点の最新版はVer. 2.0.0.11で、その前のVer. 2.0.0.10は複数の脆弱性を解消している。
- Firefox 2.0.0.10 リリースノート(Mozilla Japan)
- Mozilla Foundation セキュリティ・アドバイザリ(Mozilla Japan)
- Firefox 2.0.0.11 リリースノート(Mozilla Japan)
- Firefox - ダウンロード(Mozilla Japan)
Firefox 2.0を利用していると、デフォルトで、Firefoxを起動していると自動的に[ソフトウェア更新]ダイアログが表示され、更新が促される。指示に従って操作すれば、インターネット経由で更新版パッケージがダウンロードされ、最新版に更新される。
■2件の脆弱性を解消したThunderbird 2.0.0.9の提供開始
Mozilla Foundationは、2件の脆弱性を解消したメール・ソフトウェア「Thunderbird 2.0.0.9」の提供を開始した。
- Thunderbird 2.0.0.9 リリースノート(Mozilla Japan)
- Mozilla Foundation セキュリティ・アドバイザリ(Mozilla Japan)
- Thunderbird - ダウンロード(Mozilla Japan)
解消された脆弱性には、任意のコードが実行できる危険なものが含まれている。Thunderbirdを利用しているなら、なるべく早くThunderbird 2.0.0.9に更新した方がよい。
■バッファ・オーバーフローの脆弱性を解消したLhaplus 1.56の提供開始
JPCERT/CCは、圧縮・解凍ツール「Lhaplus」のVer. 1.55以前に脆弱性が存在することを明らかにした。Lhaplusが細工済みファイルを展開するとバッファ・オーバーフローが起こり、任意のコードが実行される危険性がある。
これに対して、すでに開発者のSchezo氏は、脆弱性を解消したLhaplus 1.56の提供を開始している。
Lhaplusは定番の圧縮・解凍ツールの1つなので利用者も多い。もし企業内で利用者がいたら、至急Ver. 1.56への更新を検討した方がよい。
■Windows Vista Service Pack 1の製品候補版(RC)の一般提供開始
マイクロソフトはWindows Vista Service Pack 1の製品候補版(RC)の一般提供を開始した。以下のダウンロード・センターの各ページから入手できる。
- Windows Vista SP1 RC(ダウンロード・センター)
- Windows Vista x64 Edition SP1 RC(ダウンロード・センター)
- Windows Vista Service Pack 1 リリース候補 のリリース ノート(サポート技術情報)
Windows Vista SP1の正式版は、2008年第1四半期の出荷が予定されている。その前にテストするなら、この製品候補版を試してみるとよいだろう。
 |
| INDEX | ||
| [Windows HotFix Briefings ALERT] | ||
| 1.緊急レベル3件を含む7件のセキュリティ修正が公開(1) | ||
| 2.緊急レベル3件を含む7件のセキュリティ修正が公開(2) | ||
 |
3.そのほかのセキュリティ、修正プログラム関連情報 | |
 |
||
 |
Windows HotFix Briefings |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
