-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2007-0005 JPCERT/CC 2007-02-14 <<< JPCERT/CC Alert 2007-02-14 >>> 2007年2月 Microsoft セキュリティ情報 (緊急6件含) に関する注意喚起 February 2007 Microsoft Security Bulletin (including six critical patches) http://www.jpcert.or.jp/at/2007/at070005.txt I. 概要 Microsoft から 2007年2月のセキュリティ情報が公開されました。本情報に は、深刻度が「緊急」のセキュリティ更新プログラムが 6件、「重要」のセキュ リティ更新プログラムが 6件含まれています。 これらの脆弱性を使用された場合、結果として遠隔から第三者によって任意 のコードを実行される可能性があります。 2007 年 2 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms07-feb.mspx 各脆弱性に関する情報の詳細は、以下の URL を参照してください。 [緊急の更新プログラム] MS07-008 HTML ヘルプの ActiveX コントロールの脆弱性により、リモートでコードが実行される (928843) http://www.microsoft.com/japan/technet/security/bulletin/ms07-008.mspx MS07-009 Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (927779) http://www.microsoft.com/japan/technet/security/bulletin/ms07-009.mspx MS07-010 Microsoft Malware Protection Engine の脆弱性により、リモートでコードが実行される (932135) http://www.microsoft.com/japan/technet/security/bulletin/ms07-010.mspx MS07-014 Microsoft Word の脆弱性により、リモートでコードが実行される (929434) http://www.microsoft.com/japan/technet/security/bulletin/ms07-014.mspx MS07-015 Microsoft Office の脆弱性により、リモートでコードが実行される (932554) http://www.microsoft.com/japan/technet/security/bulletin/ms07-015.mspx MS07-016 Internet Explorer 用の累積的なセキュリティ更新プログラム (928090) http://www.microsoft.com/japan/technet/security/bulletin/ms07-016.mspx [重要の更新プログラム] MS07-005 ステップ バイ ステップの対話型トレーニングの脆弱性により、リモートでコードが実行される (923723) http://www.microsoft.com/japan/technet/security/bulletin/ms07-005.mspx MS07-006 Windows シェルの脆弱性により、特権が昇格される (928255) http://www.microsoft.com/japan/technet/security/bulletin/ms07-006.mspx MS07-007 Windows Image Acquisition サービス の脆弱性により、特権が昇格される (927802) http://www.microsoft.com/japan/technet/security/bulletin/ms07-007.mspx MS07-011 Microsoft OLE ダイアログの脆弱性により、リモートでコードが実行される (926436) http://www.microsoft.com/japan/technet/security/bulletin/ms07-011.mspx MS07-012 Microsoft MFC の脆弱性により、リモートでコードが実行される (924667) http://www.microsoft.com/japan/technet/security/bulletin/ms07-012.mspx MS07-013 Microsoft リッチ エディットの脆弱性により、リモートでコードが実行される (918118) http://www.microsoft.com/japan/technet/security/bulletin/ms07-013.mspx 今回の修正には、Microsoft より公開されていた下記セキュリティアドバイ ザリの脆弱性に関するセキュリティ更新プログラムも含まれています。 セキュリティ アドバイザリ (932553) Microsoft Office の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/932553.mspx セキュリティ アドバイザリ (932114) Microsoft Word 2000 の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/932114.mspx セキュリティ アドバイザリ (929433) Microsoft Word の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/929433.mspx Microsoft によると「Microsoft PowerPoint の脆弱性によりリモートでコー ドが実行される (924163) (MS06-058)」において提供されていたセキュリティ 更新プログラムは、MS06-058 に含まれる脆弱性 CVE-2006-3877 の対策として 効果的ではないとのことです。CVE-2006-3877 の対策として、MS07-015 で提 供されるセキュリティ更新プログラムを改めて適用してください。 II. 対策 Microsoft Update、Windows Update などを用い、セキュリティ更新プログ ラムを早急に適用してください。 Microsoft Update https://update.microsoft.com/microsoftupdate Windows Update https://windowsupdate.microsoft.com/ Office Update http://office.microsoft.com/ja-jp/officeupdate/default.aspx Microsoft Update では対応していない製品のバージョンもあるため、必要 に応じて Windows Update や Office Update を利用してください。 例えば、Office 2000 のセキュリティ更新プログラムを適用する場合には、 Office Update を利用してセキュリティ更新プログラムを適用する必要があり ます。Microsoft Update の対象となるシステムの詳細については、下記 URL の「システム要件」を参照してください。 Microsoft Update について http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx III. 参考情報 JP Vendor Status Notes JVNTA07-044A Microsoft 製品における複数の脆弱性 http://jvn.jp/cert/JVNTA07-044A/index.html 2007 年 2 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms07-feb.mspx Microsoft Update およびその他のサービス : よく寄せられる質問 http://www.microsoft.com/japan/athome/security/protect/update.mspx US-CERT Technical Cyber Security Alert TA07-044A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-044A.html US-CERT Vulnerability Note VU#563756 Microsoft HTML Help ActiveX control fails to properly validate input http://www.kb.cert.org/vuls/id/563756 US-CERT Vulnerability Note VU#753924 Microsoft Internet Explorer fails to properly instantiate COM objects http://www.kb.cert.org/vuls/id/753924 US-CERT Vulnerability Note VU#613740 Microsoft Excel memory access vulnerability http://www.kb.cert.org/vuls/id/613740 US-CERT Vulnerability Note VU#205948 Microsoft PowerPoint malformed record memory corruption http://www.kb.cert.org/vuls/id/205948 US-CERT Vulnerability Note VU#412225 Microsoft Word 2000 stack buffer overflow http://www.kb.cert.org/vuls/id/412225 US-CERT Vulnerability Note VU#996892 Microsoft Word malformed pointer vulnerability http://www.kb.cert.org/vuls/id/996892 US-CERT Vulnerability Note VU#589272 ADODB.Connection ActiveX control memory corruption vulnerability http://www.kb.cert.org/vuls/id/589272 US-CERT Vulnerability Note VU#166700 Microsoft Word malformed data structure vulnerability http://www.kb.cert.org/vuls/id/166700 US-CERT Vulnerability Note VU#854856 WMI Object Broker ActiveX Control bypasses ActiveX security model http://www.kb.cert.org/vuls/id/854856 @Police マイクロソフト社のセキュリティ修正プログラムについて (MS07-005,006,007,008,009,010,011,012,013,014,015,016) http://www.cyberpolice.go.jp/important/2007/20070214_072429.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRdJqBYx1ay4slNTtAQHTLwP/ejGFulMIvwX9EyuMO2DYoYWTM6pMsOr7 7GE4l5ohJwLUnSNMLkTSlnS90fij2a23R6wZYGi6I23F0ZsW3fHPk1Jk+x730eVQ mZyJRzk1iIaSNhM/QIpB96UecfYWpN/duLzdDjBGEvBeb1Ktd5W55ZY2DhA8y3LZ mtHehSoOVc8= =EajR -----END PGP SIGNATURE-----