Windowsのヘルプとサポートセンターに脆弱性--報告したグーグル社員に非難の声も
Googleのエンジニアが米国時間6月10日、「Windows XP」の脆弱性を公表し、さらにそのエクスプロイトコードを公開した。Microsoftは5日間の修正期間しか与えらなかったことに対し、Microsoftや外部のセキュリティ研究者らは、Microsoftが推奨している責任ある開示の慣習に従っていないとして非難した。 Tavis Ormandy氏は5日、顧客にテクニカルサポートを提供するオンラインの「Windowsヘルプ」および「サポートセンター」機能に脆弱性が存在することを、Microsoftに報告した。その後同氏は10日に、「Full Disclosure」セキュリティメーリングリストへの投稿において、脆弱性の詳細を公表し、概念検証用のコードを公開した。 同氏は、「動作するエクスプロイトなしで(本件を)報告すれば、無視されていたであろうことを指摘したい」と記してから、同氏の行動
Microsoftの“スパイガイド”は一読の価値あり
このスパイガイドを読めば、Microsoftが各オンラインサービスでどんな個人情報を保存しているかが分かる。 監視サイトのCryptomeは米Microsoftの社内文書を公開した後、同社の削除要求に屈して、しばらくネットから姿を消していたようだ。しかし既に同サイトは復活しており(サイトの管理者とMicrosoftの法務担当者との間の電子メールのやりとりもすべて再掲載されている)、問題となった文書を見ることができる。この文書はメディア関係者の間で「スパイガイド」と呼ばれている。 「Microsoft Online Services Global Criminal Compliance Handbook」(Microsoftオンラインサービス国際犯罪コンプライアンスハンドブック)という仰々しいタイトルが付けられ、2008年3月の日付となっているこの文書には、Microsoftがオンラインサー
2月のMS月例パッチは13件 WindowsとOfficeの脆弱性を修正
Microsoftの2月の月例セキュリティ情報は日本時間の10日に公開する予定だ。13件のうち5件が「緊急」レベルとなる。 米Microsoftは2月9日(日本時間10日)に13件の月例セキュリティ情報を公開し、WindowsとOfficeに存在する計26件の脆弱性を修正する。内訳は、深刻度が最も高い「緊急」レベルが5件、2番目に高い「重要」が7件、下から2番目の「警告」が1件となる。4日に公開した事前告知で明らかにした。 13件のセキュリティ情報のうち、11件はWindowsが対象、残る2件はOfficeが対象となる。緊急レベルの5件はいずれもWindowsに存在するコード実行の脆弱性に対処するもので、Microsoftはこのうち4件について、最優先で適用すべきだと勧告する。 Office関連のセキュリティ情報は2件とも重要レベルで、影響を受けるのは古いバージョンのOfficeのみ。Of
IEに情報流出の脆弱性、Microsoftがアドバイザリー公開
ユーザーがWindows XPを使っているか、IEの保護モードを無効にしている場合、ファイルにアクセスされてしまう恐れがある。 米Microsoftは2月3日、Internet Explorer(IE)の脆弱性情報が公開されたことに対応して、新たなセキュリティアドバイザリー(980088)を公開した。 Microsoftのこれまでの調べによると、この脆弱性はユーザーがWindows XPを使っているか、IEの保護モードを無効にしている場合に影響を受ける。悪用された場合、攻撃者がファイルにアクセスできてしまう恐れがあり、情報流出につながる可能性が指摘されている。現時点でこの脆弱性を突いた攻撃の発生は確認していないという。 なお、Windows Vista以降のOSで、IE 7と8をデフォルトの状態で使っている場合は、保護モードが機能するためこの問題の影響は受けないとしている。 Windows
ウイルス、スパイウェア、マルウェア対策 | Microsoft Security Essentials
Microsoft Security Essentials について Microsoft Security Essentials を使用すると、ウイルス、スパイウェア、およびその他の悪意のあるソフトウェアから自宅の PC をリアルタイムで保護できます。 Microsoft Security Essentials は、無料で* Microsoft からダウンロードできます。簡単にインストールでき、使いやすく、常に最新に保つことができるため、お使いの PC を最新のテクノロジで保護できます。外観もシンプルで、たとえば青信号の場合は安全というように、PC が保護されているかどうかを簡単に識別できます。 Microsoft Security Essentials は、あまりメッセージを表示せず効率的にバックグラウンドで動作するため、Windows ベースの PC を通常どおり使用できます。中
Microsoftの6月定例アップデート予告,「緊急」6件を含む計10件
米Microsoftは米国時間2009年6月9日(日本時間6月10日)に公開予定の月例セキュリティ・アップデート(修正パッチ)10件に関する情報を同月4日に発表した。内訳は,重要度「緊急(Critical)」の遠隔コード実行対策6件,「Important(重要)」の権限昇格対策3件,「Moderate(警告)」の情報流出対策1件。 影響を受けるソフトウエアは,Windows,Internet Explorer(IE),Office,Word,Excel。修正パッチ適用の有無は,Microsoft Baseline Security Analyzer(MBSA)などで検出できる。修正パッチは,公開後にMicrosoft Update(MU)やWindows Update(WU),Office Update(OU),ダウンロード・センターなどから入手可能。自動更新機能を有効にしていれば自動的に
マイクロソフトの緊急セキュリティ更新「MS08-078」を確認する
マイクロソフトは18日未明、毎月の月例セキュリティ更新プログラム(修正パッチ)とは別に、緊急の修正パッチを公開した。今回リリースされた「MS08-078」は、現在ゼロデイ攻撃に使われているInternet Explorer(IE)の脆弱性「ポインター参照のメモリ破損の脆弱性(CVE-2008-4844)」に対応するものだ。 この脆弱性は、Webサイトを訪れたPCにトロイの木馬などをインストールさせるための攻撃に利用されていることが各所で報告されている。マイクロソフトでも12月11日に、セキュリティアドバイザリを公開し、回避策などの情報を提供していた。 回避策は、修正パッチがリリースされるまでの間の暫定的な対処方法で、適用することで副作用も存在するものだったが、今回、根本的な対策であるパッチ配布が行われることになったわけだ。 今回の脆弱性を利用した攻撃は、ユーザーがWebページを閲覧すること
MS、Windowsの脆弱性突く新たな攻撃コードを確認
先週リリースされたパッチを当てたシステムはこのコードの影響を受けないため、Microsoftはパッチ適用を促している。 米Microsoftは10月27日、先週パッチをリリースしたWindowsの脆弱性を悪用する新たな攻撃コードが公開されたことを確認したと報告した。 このコードは、問題の脆弱性を悪用してリモートでコードを実行するもの。この脆弱性を悪用するコードは既にほかにもインターネットに出回っていたが、今回のコードとは異なり、リモートコード実行ではなくサービス拒否(DoS)攻撃を起こすものだった。 27日にMicrosoftが確認したコードはWindows Server 2003、Windows XP、Windows 2000に影響するが、先週のパッチを適用したシステムでは動作しない。 このコードは限定的なターゲット型攻撃であり、自己複製型ワームでもなく、広範な攻撃にはつながっていないと
Microsoft Learn: Build skills that open doors in your career
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
WindowsのWPAD機能に脆弱性、MSがアドバイザリー公開
プロキシ自動設定機能の脆弱性を悪用すると、中間者攻撃を仕掛けることが可能になり、情報流出の恐れがあるという。 米Microsoftは12月3日、WindowsのWeb Proxy Automatic Discovery(WPAD)機能に関する脆弱性情報が公開されたとして、セキュリティアドバイザリーを公開した。 アドバイザリー(945713)によると、完全修飾ドメイン名(FQDN)を含まないホスト名をWindowsが処理する方法に関し、脆弱性情報が公開された。 この脆弱性はWeb Proxy Auto-Discovery(WPAD)という技術に関するもので、例えば「contoso.co.us」といった3段階構成のドメインを使っているユーザーなどが危険にさらされるという。 この脆弱性を悪用すると中間者(MITM)攻撃を仕掛けることが可能になり、情報流出の恐れがあるが、現時点で実際に攻撃が起きた
なぜアニメカーソル脆弱性を見逃したのか――MSのSDLチームが新ブログ
Microsoftはなぜアニメカーソルの脆弱性を見逃したのか。こうした疑問に応える場として同社SDLチームが新ブログを開設した。 Microsoftはなぜアニメーションカーソルの脆弱性を見逃したのか。同社Security Development Lifecycle(SDL)チームが新ブログを立ち上げ、初回でこの問題を取り上げている。 Microsoftはアプリケーション開発の各工程でセキュリティ強化を図るため、SDLのプロセスを取り入れた。しかし同社セキュリティ対策センター(MSRC)のブログによると、今回のアニメーションカーソルの脆弱性をめぐっては「MicrosoftはSDLを活用していながら、どうしてWindows Vistaのこの脆弱性を見つけられなかったのか」との疑問が社外から寄せられているという。 SDLのブログは、こうした問題について情報を提供し、セキュリティ/プライバシープロ
MSのアニメーションカーソル脆弱性パッチにさらなる不具合が発覚
Microsoftは、2007年4月に配布した「緊急」レベルの「Windows」のパッチについて、さらに不具合が生じることを説明している。 パッチ適用によって不具合が生じる可能性のあるアプリケーションが3つ追加され、アップデートとコンフリクトを起こすプログラムのリストは8件になった。この「MS07-017」パッチは、アニメーションカーソルのファイルを扱う際の問題を修復するもの。サイバー犯罪者は早速この脆弱性を利用して、不正なウェブサイトを通じて脆弱なPCに悪意あるソフトウェアをインストールしようとしている。 パッチ適用に伴う新しい問題点も浮上した。Microsoftによると、一部ユーザーが「SQL Reporting Services」から「Printer Command Language(PCL)」プリンタで印刷する際にトラブルに遭遇したという。同社は、この問題への「ホットフィックス」を
DNS Serverの脆弱性修正パッチは米国時間の5月8日メド
ゼロデイ攻撃も発生しているWindows DNS Serverの脆弱性をめぐり、Microsoftは遅くとも5月8日までにパッチをリリースしたい意向だと表明した。 Windows DNS Serverの脆弱性修正パッチは、遅くとも5月8日の月例セキュリティアップデートまでに提供したい意向だと、米Microsoftがブログで表明した。 同社は現在、24時間態勢でパッチの開発とテストに当たっているとMSRCブログでは強調。完了のめどについて確かなことは言えないが、遅くとも次回の月例セキュリティアップデートを公開する5月8日(米国時間)までにはパッチを公開したい意向だと説明した。 この問題ではWindows Serverの現在サポートされている全バージョンと全言語について、133件のパッチ開発とテストに取り組んでいるという。DNSはネットワークインフラの重要部分。パッチ適用によってさらに大きなリ
Expired
この記事は,ダウ・ジョーンズ・ジャパンとの契約の掲載期限(90日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にEnterprise トップページに自動的に切り替わります。
MS月例パッチ公開、Vistaのゼロデイ脆弱性などに対処
Microsoftは先日の緊急パッチに続き、4月の月例セキュリティ更新プログラム5本を公開。Windows Vistaに影響するゼロデイの脆弱性などに対処した。 Microsoftは4月10日(日本時間11日)、月例セキュリティ更新プログラム5本を公開した。うち4本が最大深刻度「緊急」、残る1本は「重要」となっている。 最も深刻度が高いと見られるCSRSS(Windows Client/Server Run-time Subsystem)の脆弱性(MS07-021)は、Microsoftが12月22日に報告していたもの。コンセプト実証コードも公開され、セキュリティ関係者の間では「Vista Memory Corruption Zero-Day」とも呼ばれているという。 CSRSSのエラーメッセージ処理方法などに3件の脆弱性が存在し、細工を施したアプリケーションを使ってリモートでコードを実行
緊急公開されたマイクロソフトのセキュリティ更新を確認する
● セキュリティ更新が前倒しでリリースされた 4月4日未明(日本時間)、マイクロソフトから、Windows用のセキュリティ更新プログラム(パッチ)が通常のスケジュールより前倒しでリリースされた。 セキュリティ更新プログラムは、事前に同社が3月末にセキュリティアドバイザリ(935423)として報告していた、Windowsのaniファイルに関する極めて危険なものを含め、7つの脆弱性を修正するものだ。 このaniファイルの脆弱性は、セキュリティアドバイザリで報告されている通り、既にゼロデイ攻撃(セキュリティパッチが提供されるより前にその脆弱性が突くような攻撃に使うこと)として使われている点、また、今まであまり行なわれなかった攻撃方法に使われる可能性がある点などから極めて危険と考えられる脆弱性だ。 可能な限り速やかにこのパッチの内容、考えられる攻撃方法を把握した上で、システムに当てるようにしたい。
誰もが「セキュリティの当事者である」という意識を
ISPやセキュリティベンダー、各種企業・団体などからなる情報セキュリティ対策推進コミュニティが、企業や団体が共同で情報セキュリティの重要性についての啓発を行なう「みんなで『情報セキュリティ』強化宣言!2007」の活動を行なっている。 この活動は、参加する企業や団体などがそれぞれセキュリティに対する取り組みをWebなどで行なうとともに、活動の公式サイトへのバナーを掲示し、セキュリティに対する横断的な取り組みとして実施されている。従来ありがちだった「セキュリティに気をつけましょう」といったキャンペーンとは異なり、参加する企業や団体自身がセキュリティに対してどのようなことを取り組んでいるかを表明してく中で、社会全体にセキュリティの重要性を呼びかけていく点が特徴だという。 この活動の運営事務局として参加しているマイクロソフトのセキュリティ担当者である、チーフセキュリティアドバイダーの高橋正和氏とサ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MSがIE修正パッチを22日に公開、“Google攻撃”の脆弱性に対応 
Mozilla、Firefox上のMicrosoft製一部アドオンを一時強制ブロック 
「ワードパッド」に脆弱性、修正パッチは未提供