各位
JPCERT-AT-2007-0005
JPCERT/CC
2007-02-14
<<< JPCERT/CC Alert 2007-02-14 >>>
2007年2月 Microsoft セキュリティ情報 (緊急6件含)
に関する注意喚起
February 2007 Microsoft Security Bulletin
(including six critical patches)
http://www.jpcert.or.jp/at/2007/at070005.txt
I. 概要
Microsoft から 2007年2月のセキュリティ情報が公開されました。本情報に
は、深刻度が「緊急」のセキュリティ更新プログラムが 6件、「重要」のセキュ
リティ更新プログラムが 6件含まれています。
これらの脆弱性を使用された場合、結果として遠隔から第三者によって任意
のコードを実行される可能性があります。
2007 年 2 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-feb.mspx
各脆弱性に関する情報の詳細は、以下の URL を参照してください。
[緊急の更新プログラム]
MS07-008
HTML ヘルプの ActiveX コントロールの脆弱性により、リモートでコードが実行される (928843)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-008.mspx
MS07-009
Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (927779)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-009.mspx
MS07-010
Microsoft Malware Protection Engine の脆弱性により、リモートでコードが実行される (932135)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-010.mspx
MS07-014
Microsoft Word の脆弱性により、リモートでコードが実行される (929434)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-014.mspx
MS07-015
Microsoft Office の脆弱性により、リモートでコードが実行される (932554)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-015.mspx
MS07-016
Internet Explorer 用の累積的なセキュリティ更新プログラム (928090)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-016.mspx
[重要の更新プログラム]
MS07-005
ステップ バイ ステップの対話型トレーニングの脆弱性により、リモートでコードが実行される (923723)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-005.mspx
MS07-006
Windows シェルの脆弱性により、特権が昇格される (928255)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-006.mspx
MS07-007
Windows Image Acquisition サービス の脆弱性により、特権が昇格される (927802)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-007.mspx
MS07-011
Microsoft OLE ダイアログの脆弱性により、リモートでコードが実行される (926436)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-011.mspx
MS07-012
Microsoft MFC の脆弱性により、リモートでコードが実行される (924667)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-012.mspx
MS07-013
Microsoft リッチ エディットの脆弱性により、リモートでコードが実行される (918118)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-013.mspx
今回の修正には、Microsoft より公開されていた下記セキュリティアドバイ
ザリの脆弱性に関するセキュリティ更新プログラムも含まれています。
セキュリティ アドバイザリ (932553)
Microsoft Office の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/932553.mspx
セキュリティ アドバイザリ (932114)
Microsoft Word 2000 の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/932114.mspx
セキュリティ アドバイザリ (929433)
Microsoft Word の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/929433.mspx
Microsoft によると「Microsoft PowerPoint の脆弱性によりリモートでコー
ドが実行される (924163) (MS06-058)」において提供されていたセキュリティ
更新プログラムは、MS06-058 に含まれる脆弱性 CVE-2006-3877 の対策として
効果的ではないとのことです。CVE-2006-3877 の対策として、MS07-015 で提
供されるセキュリティ更新プログラムを改めて適用してください。
II. 対策
Microsoft Update、Windows Update などを用い、セキュリティ更新プログ
ラムを早急に適用してください。
Microsoft Update
https://update.microsoft.com/microsoftupdate
Windows Update
https://windowsupdate.microsoft.com/
Office Update
http://office.microsoft.com/ja-jp/officeupdate/default.aspx
Microsoft Update では対応していない製品のバージョンもあるため、必要
に応じて Windows Update や Office Update を利用してください。
例えば、Office 2000 のセキュリティ更新プログラムを適用する場合には、
Office Update を利用してセキュリティ更新プログラムを適用する必要があり
ます。Microsoft Update の対象となるシステムの詳細については、下記 URL
の「システム要件」を参照してください。
Microsoft Update について
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx
III. 参考情報
JP Vendor Status Notes JVNTA07-044A
Microsoft 製品における複数の脆弱性
http://jvn.jp/cert/JVNTA07-044A/index.html
2007 年 2 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-feb.mspx
Microsoft Update およびその他のサービス : よく寄せられる質問
http://www.microsoft.com/japan/athome/security/protect/update.mspx
US-CERT Technical Cyber Security Alert TA07-044A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-044A.html
US-CERT Vulnerability Note VU#563756
Microsoft HTML Help ActiveX control fails to properly validate input
http://www.kb.cert.org/vuls/id/563756
US-CERT Vulnerability Note VU#753924
Microsoft Internet Explorer fails to properly instantiate COM objects
http://www.kb.cert.org/vuls/id/753924
US-CERT Vulnerability Note VU#613740
Microsoft Excel memory access vulnerability
http://www.kb.cert.org/vuls/id/613740
US-CERT Vulnerability Note VU#205948
Microsoft PowerPoint malformed record memory corruption
http://www.kb.cert.org/vuls/id/205948
US-CERT Vulnerability Note VU#412225
Microsoft Word 2000 stack buffer overflow
http://www.kb.cert.org/vuls/id/412225
US-CERT Vulnerability Note VU#996892
Microsoft Word malformed pointer vulnerability
http://www.kb.cert.org/vuls/id/996892
US-CERT Vulnerability Note VU#589272
ADODB.Connection ActiveX control memory corruption vulnerability
http://www.kb.cert.org/vuls/id/589272
US-CERT Vulnerability Note VU#166700
Microsoft Word malformed data structure vulnerability
http://www.kb.cert.org/vuls/id/166700
US-CERT Vulnerability Note VU#854856
WMI Object Broker ActiveX Control bypasses ActiveX security model
http://www.kb.cert.org/vuls/id/854856
@Police
マイクロソフト社のセキュリティ修正プログラムについて
(MS07-005,006,007,008,009,010,011,012,013,014,015,016)
http://www.cyberpolice.go.jp/important/2007/20070214_072429.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ