小野寺です

先日7月のセキュリティ情報を、計 6 件公開したわけですが、幾つかの変更や、報告が上がっていますので、まとめてみたいと思います。

MS07-036: Microsoft Excel の脆弱性により、リモートでコードが実行される (936542)
?Microsoft Office 2004 for Mac と、2007 Office Systems のファイルを旧バージョンの製品で取り扱うための互換性パック の更新プログラムの情報を追加しました。
?互換性パックについては、Microsoft Update を行なっていれば再度適用の必要はありません。

?今回の更新プログラムは、Office System のExcel以外の製品のみがインストールされている環境でもセキュリティ更新プログラムが Microsoft Updateから提供される事があります。
これは、他の製品とモジュールを共有している場合があるためですが、Excel以外の製品から脆弱なコード部分を悪用する方法が無いため、Excelのみを影響のあるソフトウェアに掲載しています。

MS07-039: Windows Active Directory の脆弱性により、リモートでコードが実行される (926122)
?Active Directory (LDAP) に関する更新ですので、 Windows 2000 Server 等の Server OS のみが影響をうけます。 しかしながら、Windows 2000 Professional にも、更新プログラムが Microsoft Update で配信されることについて、セキュリティ情報の記載間違いでは無いかという指摘を頂きましたので、セキュリティ情報を改訂し、配信の背景について明確にしています。
?今回の Windows 2000 向けの更新では、ntdsa.dll というファイルを更新しているのですが、このファイルは、Windows 2000 Server だけではなく、Windows 2000 Professional にも存在します。 ファイルが、存在はしますが、脆弱なコード部分を悪用する手段 (入り口) が Windows 2000 Professional には存在しないため、「影響を受けない」と評価しています。 Microsoft Update では、脆弱なコードを持つモジュールをベースに配信を行っており、そのため、Windows 2000 Professional にも更新プログラムが配信されているという訳です。
?企業などの管理された環境において、Windows 2000 Professional に配信する必要があるかについては、WSUSやITMU (SMS) を使っている場合は、Microsoft Update 同様に配信が行われます。しかし、手動や独自の手段において展開している場合は、そのまま展開しない事も選択可能です。

MS07-040: .NET Framework の脆弱性により、リモートでコードが実行される (931212)
?.NET Framework の更新プログラムのインストールに失敗するという話が、掲示板等で報告されています。 現在分かっている範囲では、更新の適用元となる .NET Framework のインストール情報の破損などが原因としてあるようです。? この場合、最も手順の少ない方法としては、.NET Framework を再インストールすることで、正常に更新プログラムをインストールできる事が確認できています。再インストールの手順は、以下の サポート技術情報 (KB) が参考になると思います。
?
? Windows XP SP2 に .Net Framework を再インストールする方法 (940297)
? http://support.microsoft.com/kb/940297/ja

?

小野寺です

今日のリリースは、事前通知からの変更は無く、緊急 3 件, 重要 2 件、警告 1 件の計 6 件です。

まずは、セキュリティ上の脅威についてですが、以下のセキュリティ情報 (脆弱性) に関する情報が公開されていますが、悪用が確認されているものはありません。

? MS07-036 (CVE-2007-3029): 「ワークシートのメモリ破損の脆弱性」

しかし、過去からの傾向として、セキュリティ情報の公開と同時または数日以内には、何らかの検証コードや技術情報が公開される傾向がありますので、自身の環境で使っているバージョンでの影響度を確認して、”緊急”から順に回避策の実施・検証・展開する事をお勧めします。
この様に急に書くと、MS07-036 に関して非常に高いリスクが既に存在するように感じるかもしれませんが、あくまでもセキュリティ対応への一般論としてです。

さて、次は、MS07-038 ですが、Windows Vista のファイアウォールに関する脆弱性に対応しています。
ファイアウォールの脆弱性というと、ファイアウォールをすり抜けて侵入されると思われがちですが、今回の脆弱性は少々違います。実際には、Teredo と呼ばれる、IPv4 NAT 越しに IPv6 を使用できるようにする為の IPv6 への移行を補助するためのトンネリング プロトコルの問題です。
この Teredo を外部からネットワークを通じて悪用することはできないのですが、メールやその他の方法で、内部側で Teredo が使われるような IPv6 の通信が発生すると、攻撃者と対象 PC の間に IPv6 トンネルが確立されてしまう事があります。その結果、管理者や利用者の予期しない、NAT を通過可能なトンネルが形成される可能性に対処しています。

そもそも、企業などでPCからのトンネリングを許可したくない管理者はいると思います。その場合は、境界ファイアウォールで、3544/UDP の Outbound をブロックする事で、Teredo トンネルの確立を禁止する事が可能です。もちろん、その場合 IPv6 を使った外部との通信に別の仕組みを提供しなければなりません。

MS07-041 についても、触れておきます。こちらは IIS (Internet Information Services) の更新プログラムなのですが IIS 5.1 のみが対象となっています。IIS の他のバージョンには影響が無いという些か珍しいケースです。この IIS 5.1 は、Windows XP 上でインストールする事が可能ですが、既定ではインストールされていません。 そのため、開発や Local Web Server として使っている方のみが影響を受けます。組織内では、管理者が認知していない IIS がある可能性もあるので、油断は禁物です。(ポリシーで禁止できますけどね)

ちなみに、今月もセキュリティ情報のストリーミング配信を行います。 午後辺りに公開の予定です。

小野寺です

事前通知も、新しくなって2ヶ月目ですが、読み方には慣れて頂けたでしょうか？
すでに、「マイクロソフト セキュリティ情報 n」という事前通知段階のセキュリティ情報番号についてご意見を頂いていていたりしますので、折を見て少しずつでも改善していきたいと思っています。

さて、今月のセキュリティ情報は、計6件の公開を予定しています。
緊急度別に分けると、以下の様になります。
緊急 (3件):
 セキュリティ情報1, Office, Excel
 セキュリティ情報4, Windows
 セキュリティ情報5, .Net Framework
重要 (2件):
 セキュリティ情報2, Office, Publisher
 セキュリティ情報6, Office, XP Professional
警告 (1件):
 セキュリティ情報3, Office, Windows Vista

その他、各影響を受ける製品のバージョン等は、事前通知のサイトを見てください。
この新しい事前通知が、「役に立っている」や「もっと改善して欲しい」等の意見を、ページの最後にある「このページの内容は役に立ちましたか？」から寄せください。このフィーバックは、毎月全て目を通し実際に改善したものは、IT Pro の皆様の声で活動報告 (2007 年 5 月度の VOC 活動報告) を行っています。ちなみに、VOCは、Voice of Customer の略です。