DEJA VU

ご承知の通り、日々ブログも更新できないほど
激務に追われています。。。

サラリーマンである以上、やむを得ない事とはいえ・・・orz

さて、そんなわけでネットとは無縁の状況で仕事をしていますゆえ、まったくネット上でどんな情報が流れているかも把握してないんですけど、早くも4月の月例パッチの時期がやってきてしまいましたわ。

今回はWindows関連が4件で最大深刻度は「緊急」、
Office関連も1件あって最大深刻度は「重要」となってます。

IEにおける「createTextRange()」メソッドの処理に関するパッチに関しては、Webアプリに不具合が出る可能性もあるとの事。

MSさんでは、累積パッチを無効化するパッチを用意するらしいのですが、月例パッチ公開当日にならないと、無効化パッチのダウンロード場所も発表しないみたいですねぇ。

まぁ、IE使ってないから関係ないんですけどね。

「4月公開のパッチは5件，IEのセキュリティ修正を含む」---MSが予告 - IT Pro

4月の月例パッチの適用時には，Webアプリケーションの動作検証を - IT Pro

4月の月例パッチは5件、IE脆弱性などに対処 - ITmedia News

　 ←お役に立てたならクリックしてね。

MSさんが3月度の月例セキュリティ･パッチ2件を公開しました。

Windows関連が1件（MS06-011）でレベルは重要、
Office関連も1件（MS06-012）で、こちらのレベルは緊急。

MS、3月のパッチを公開--「Office」および「Windows」の脆弱性を修復 - CNET Japan

MS月例アップデート2件を公開 - ITmedia エンタープライズ

WindowsとOfficeにセキュリティ・ホール，ファイルを開くだけで被害に - IT Pro

MS06-011は権限の昇格を許可し、システムが乗っ取られる可能性があります。

MS06-012は6種類あり、そのうち5種類がExcelのみ。
もう1種類はWord、Excel、Excel Viewer、Outlook、PowerPointが影響を受け、この脆弱性を突かれると、リモートからコードを実行され、PCが乗っ取られる恐れがあります。

MS06-012を適用すると、再起動が必要です！

また、悪意のあるソフトウェアの削除ツールも更新版がリリースされ、計43種類のAntinnyの変種を駆除できるようになっているそうです。

アップデートはこちらから。
Microsoft Update

　 ←お役に立てたならクリックしてね。

業務に追われ、ブログの更新は勿論のこと
ネットさえ見てない生活が続いていたわけで・・・

気がつけば、もうすぐMSさんの月例パッチ。
今月は米国時間の3月14日、日本時間では3月15日の予定です。

MS、3月の月例パッチを予告--OfficeおよびWindows向けのパッチをリリース予定 - CNET Japan
3月のMS月例パッチはOffice関連など2件 - ITmedia エンタープライズ

今月はWindows関連が1件でレベルは重要、
Office関連も1件で、こちらは緊急となってます。

詳細については触れられていないのですが、
深刻度を緊急としているのは
なんらか問題があるんでしょうねぇ。

マイクロソフト セキュリティ情報の事前通知

　 ←お役に立てたならクリックしてね。

MSさんの次期OS、Vistaは全部で6種類のエディションになるそうです。

「Windows Vista」は6種類に--マイクロソフトが正式決定 - CNET Japan
Windows Vistaの製品ラインアップはStarterからUltimateまで6種類 - ITmedia News

・Windows Vista Starter Edition
インドやタイなどの新興市場でのみ、新しいPCにバンドルされる形で販売される。32ビットマシンだけに対応し、同時に動かせるプログラムの数に制限がある。

・Windows Vista Home Basic Edition
「Windows XP Home Edition」の後継バージョン。新しいセキュリティ機能や検索機能が追加されるが、見映えのするインターフェースやハイエンドのメディア機能は提供されない。

・Windows Vista Home Premium Edition
一般ユーザー向けのハイエンド製品。Vistaの新しいインターフェースをサポートするほか、Media CenterやTablet PCの諸機能も提供。

・Windows Vista Business Edition
「Windows XP Professional」の後継バージョン。企業向けOSの主流製品となるほか、小さな企業向けのツール類も含まれる

・Windows Vista Enterprise Edition
ボリュームライセンス購入企業にのみ提供される。「Business Edition」のすべての機能を含むほか、暗号化やUNIXサービス、仮想マシンなどの諸機能も追加されている。

・Windows Vista Ultimate Edition
「Enterprise Edition」と「Home Premium Edition」の各機能が組み合わされた最上位製品。

これまでよりも選択肢が増えますが、OSを買ってインスコする人ってどれぐらいいるんでしょうねぇ？

マシンスペックとか考えると、現行マシンでもツライでしょうから。
ウチの場合は素直に買い替えですな orz

もちろん、しばらくは様子見ですけど (爆

　 ←お役に立てたならクリックしてね。

米SANS Instituteさんによると、Windows Media Playerの脆弱性（MS06-005）のエクスプロイトコードが公開されたそうです。

WMP脆弱性の実証コードが公開 - ITmedia エンタープライズ

Windows Media Playerの脆弱性実証コード、はやくも登場 - CNET Japan

Windows Media Playerの脆弱性「MS06-005」を突くexploitコード - Impress Watch

危険度は最も深刻な「Critical」となっています。
MSさんでもMS06-005の深刻度は緊急レベルに分類されてましたからね。

MS06-005は、Windows Media Playerに埋め込まれた不正な画像ファイルを通してバッファオーバーフローを引き起こし、最悪システムが乗っ取られてしまいます。

パッチはすでにリリースされてますので、まだ適用してない方はお早めにどうぞ。
Microsoft Update

　 ←お役に立てたならクリックしてね。

次期OSであるWindows Vistaのリリースが予定よりも遅れ、現在のリリース予定は2006年末。

そのためWindows XP Home Editionも、サポート期間が延長されることになりそうです。

Vistaの大幅遅延がWindows XP Homeのサポート期間を延命 - ITmedia エンタープライズ

ありがたいことですがな。

XP Homeのメインストリームサポートが2006年12月31日で終了するはずだったのが、一気にVistaリリース後2年間にまで延長ですからねぇ。

それにしてもXPは息の長いOSですね。

　 ←お役に立てたならクリックしてね。

本日、MSさんより２月度の月例セキュリティパッチが公開。

以前にもお伝えしたように、今月は７件あります。
（過去記事参照：MS、２月の月例パッチは７件）

Internet Explorer 用の累積的なセキュリティ更新プログラム (910620) (MS06-004)

Windows Media Player の脆弱性により、リモートでコードが実行される (911565) (MS06-005)

上記２件は「緊急」レベルです。
その他５件も「重要」レベルとなってます。

WindowsやIEに合計7件のセキュリティ・ホール，今すぐアップデートを - IT Pro

MS月例パッチ、Windows Media Playerの脆弱性など修正 - ITmedia エンタープライズ

マイクロソフト、2月の月例パッチをリリース--WMFの脆弱性を含む7件の問題に対応

さくっとアップデートしてやって下さい。
Microsoft Update

IEは更なる脆弱性も発覚してますが、対処はまだ先の話。
（IE、ドラッグ＆ドロップの脆弱性）
IEを使ってる人は、とりあえずアクティブ スクリプトを無効にしておきましょう。

【追記】
MS06-007のみダウンロードに失敗する現象がおきているようです。
その場合は以下から直接ダウンロードして下さい。

TCP/IP の脆弱性により、サービス拒否が起こる (913446) (MS06-007)

　 ←お役に立てたならクリックしてね。

仏FrSIRTさんによると、IEにドラッグ＆ドロップに関する脆弱性があることが判明。

この脆弱性は、IEからフォルダウィンドウにドラッグ＆ドロップを行なった際に発生するもので、特定のタイミングで操作を行なった場合のみに発生。

とはいえ、リモートからコードを実行され、システムが乗っ取られる恐れがあります。

IEにドラッグ＆ドロップの脆弱性、次期Service Packで対処の予定 - Impress Watch

過去にあったMS05-014とは別物。

最新版のIE 6.0 SP2も影響があり、
危険度は4段階中3番目に高い「Moderate Risk」。

MSさんでは、次期Service Packで対応予定だそうですよ。

自分はIE使ってないから、別に構わないんですけどね・・・

　 ←お役に立てたならクリックしてね。

恒例のMS月例パッチ。
２月は７件だそうです。

2月のMS月例パッチは「緊急」含む7件 - ITmedia エンタープライズ
マイクロソフト、2月の月例パッチを予告--Windows Media Playerの脆弱性にも対処 - CNET Japan

パッチの内容ですが、

• Windows Media Player関連１件。
• Windows関連４件。
• Windows及びOffice関連１件。
• Office関連１件。

WMFとWindows関連の計５件は「緊急」レベル。
その他３件も「重要」レベルです。

また、併せて悪意のあるソフトウェアの削除ツールもリリースされます。

リリースは米国時間２月14日、日本では15日ですね。

マイクロソフト セキュリティ情報の事前通知

どうやらMSさんからのバレンタインはチョコレートではなくて、セキュリティパッチとなりそうです （爆

　 ←お役に立てたならクリックしてね。

MSさんが、Windowsに関連するセキュリティ脆弱性について警告しました。

第一に・・・
Windows Metafile（WMF）に関連した脆弱性。
MS06-001とは別物です。

マイクロソフト セキュリティ アドバイザリ (913333)
Internet Explorer の脆弱性によりリモートでコードが実行される可能性がある

細工を施したWMF画像をWebサイト上に設置したり、メールの添付ファイルとして送るなど、画像をユーザーに閲覧させるだけで、システムが乗っ取られる恐れがあります。

対象となるのは、Windows 2000上の IE 5.01 SP4 と
Windows ME上の IE 5.5 SP2。

対策は IE6 SP1 へのアップデートです。

えーと、それでは２点目・・・
ローカル・ユーザーに、権限の昇格を許す可能性があるそうです。

マイクロソフト セキュリティ アドバイザリ (914457)
Windows ACL に関する脆弱性の可能性について

こちらはWindowsにインストールされているサービス（UPnP、NetBT、SCardSvr、SSDP）に，アクセス・コントロール・リストが設定されていないために、低い権限のユーザーが，任意のコマンドやプログラムを高いユーザー権限で実行できてしまうそうです。

対象となるのはSP2を除いたWindows XPと、
SP1を除いた Server 2003。

こちらの対処法はService Packをインストールするか、
サービスを手動で変更すること。

管理者さんは大変ですねぇ・・・

マイクロソフト、Windowsのセキュリティ脆弱性2件を警告 - CNET Japan
旧版IEに影響するWMFの脆弱性、MSが報告 - ITmedia  エンタープライズ
Windowsに権限昇格を許すセキュリティ・ホール，MSはアドバイザリを公開 - IT pro

アップデートして、しっかりガードして下さいな。

　 ←お役に立てたならクリックしてね。