-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2007-0012 JPCERT/CC 2007-05-09(初版) 2007-05-14(更新) <<< JPCERT/CC Alert 2007-05-09 >>> 2007年5月 Microsoft セキュリティ情報 (緊急 7件) に関する注意喚起 May 2007 Microsoft Security Bulletin (seven critical patches) http://www.jpcert.or.jp/at/2007/at070012.txt I. 概要 Microsoft から 2007年5月のセキュリティ情報が公開されました。本情報に は、深刻度が「緊急」のセキュリティ更新プログラムが 7件含まれています。 これらの脆弱性を使用された場合、結果として遠隔から第三者によって任意 のコードを実行される可能性があります。 2007年 5月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms07-may.mspx 各脆弱性に関する情報の詳細は、以下の URL を参照してください。 [緊急の更新プログラム] MS07-023 Microsoft Excel の脆弱性により、リモートでコードが実行される (934233) http://www.microsoft.com/japan/technet/security/bulletin/ms07-023.mspx MS07-024 Microsoft Word の脆弱性により、リモートでコードが実行される (934232) http://www.microsoft.com/japan/technet/security/bulletin/ms07-024.mspx MS07-025 Microsoft Office の脆弱性により、リモートでコードが実行される (934873) http://www.microsoft.com/japan/technet/security/bulletin/ms07-025.mspx MS07-026 Microsoft Exchange の脆弱性により、リモートでコードが実行される (931832) http://www.microsoft.com/japan/technet/security/bulletin/ms07-026.mspx MS07-027 Internet Explorer 用の累積的なセキュリティ更新プログラム (931768) http://www.microsoft.com/japan/technet/security/bulletin/ms07-027.mspx MS07-028 CAPICOM の脆弱性により、リモートでコードが実行される (931906) http://www.microsoft.com/japan/technet/security/bulletin/ms07-028.mspx MS07-029 Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される (935966) http://www.microsoft.com/japan/technet/security/bulletin/ms07-029.mspx 今回の修正には、Microsoft より公開されていた下記セキュリティアドバイ ザリの脆弱性に関するセキュリティ更新プログラムも含まれています。 マイクロソフト セキュリティ アドバイザリ (935964) Windows DNS サーバー の RPC の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/935964.mspx マイクロソフト セキュリティ アドバイザリ (933052) Microsoft Word の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/933052.mspx II. 対策 Microsoft Update、Windows Update などを用いて、セキュリティ更新プロ グラムを早急に適用してください。 Microsoft Update https://update.microsoft.com/microsoftupdate Windows Update https://windowsupdate.microsoft.com/ Office Update http://office.microsoft.com/ja-jp/officeupdate/default.aspx Microsoft Update では対応していない製品のバージョンもあるため、必要 に応じて Windows Update や Office Update を利用してください。 例えば、Office 2000 のセキュリティ更新プログラムを適用する場合には、 Office Update を利用してセキュリティ更新プログラムを適用する必要があり ます。Microsoft Update の対象となるシステムの詳細については、下記 URL の「システム要件」を参照してください。 Microsoft Update について http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx *** 更新: 2007年5月14日追記 ****************************************** Microsoft の情報によると、Windows XP、Windows Server 2003、Windows 2000 において Microsoft Update または Windows Update が長時間終了しな い、あるいは失敗する可能性があります。 詳細及び対策方法については下記 Microsoft からの情報をご参照下さい。 Microsoft Update または Windows Update が終了しない http://support.microsoft.com/kb/937383/ja ********************************************************************** III. 参考情報 2007 年 5月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms07-may.mspx Microsoft Update およびその他のサービス : よく寄せられる質問 http://www.microsoft.com/japan/athome/security/protect/update.mspx US-CERT Technical Cyber Security Alert TA07-128A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-128A.html US-CERT Vulnerability Note VU#253825 Microsoft Excel fails to properly process files with crafted filter records http://www.kb.cert.org/vuls/id/253825 US-CERT Vulnerability Note VU#260777 Microsoft Word fails to properly process crafted array data http://www.kb.cert.org/vuls/id/260777 US-CERT Vulnerability Note VU#332404 Microsoft Word fails to properly handle malformed strings http://www.kb.cert.org/vuls/id/332404 US-CERT Vulnerability Note VU#853184 Microsoft Office drawing object vulnerability http://www.kb.cert.org/vuls/id/853184 US-CERT Vulnerability Note VU#343145 Microsoft Exchange Server fails to properly decode MIME email messages http://www.kb.cert.org/vuls/id/343145 US-CERT Vulnerability Note VU#124113 Microsoft Exchange Outlook Web Access UTF character set label script injection vulnerability http://www.kb.cert.org/vuls/id/124113 US-CERT Vulnerability Note VU#869641 Research In Motion TeamOn Import Object ActiveX control buffer overflow http://www.kb.cert.org/vuls/id/869641 US-CERT Vulnerability Note VU#866305 Microsoft Cryptographic API Component Object Model Certificates ActiveX control contains a remote code execution vulnerability http://www.kb.cert.org/vuls/id/866305 US-CERT Vulnerability Note VU#555920 Microsoft Windows DNS RPC buffer overflow http://www.kb.cert.org/vuls/id/555920 @police マイクロソフト社のセキュリティ修正プログラムについて (MS07-023,024,025,026,027,028,029)(5/9) http://www.cyberpolice.go.jp/important/2007/20070509_050131.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2007-05-09 初版 2007-05-14 CPU 使用率が上昇する問題について追記 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRkfgB4x1ay4slNTtAQHAOwQA4d1eLe9pcp+OK9fFBymA4hurGv4LUOjK 7XfrBfD78j0DxRNLBbVeMi7lfppljuMQiQufP9wxniXtVKDlXBGTCKsupiePKxKH 7mFEc7MEuG1qzGDsdnc/I8vn3aLJi/7T6PRBMuUKRkm4hXo0427AP7Pvvbv5NmfC xl6/9TJT3mQ= =UJgE -----END PGP SIGNATURE-----