2009年11月11日のセキュリティ情報

/ By Japan Security Team / November 10, 2009

小野寺です

事前通知でお伝えした通り、セキュリティ情報計 6 件 (緊急 3 件, 重要 3 件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイントセキュリティでは、IT 管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。

**セキュリティ情報 (新規):
**概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx

MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされた RPC データを受け取ることで、コードが実行される可能性があります。実際には、コード実行に至らずサービス拒否となるケースが主となります。

MS09-065 (Kernel mode driver):
特別な細工がされた EOT が使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOT は、Emmbeded OpenType は、Web で使用するためのフォントのため、不正な細工がされた Web サイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003 以前の OS に限定されます。

MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS 通信を Active Direcory (AD), ADMS, AD LDS で受信した場合に、サービス拒否が発生する可能性があります

MS09-067 (Excel):
特別な細工のされた Excel ファイルを参照することで、コードが実行される可能性があります。

MS09-068 (Word):
特別な細工のされた Word ファイルを参照することで、コードが実行される可能性があります。

**セキュリティ情報 (更新):
**MS09-045 (JScript):
Windows 2000 上の JScript 5.7 用の更新プログラムを追加しました。Windows 2000 ですでに MS09-051 の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。

MS09-051 (Media Runtime):
Windows 2000 上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。

(訂正)
2009/11/11 17:30 MS09-064 のサービス拒否に関する記述は、MS09-063 に関してとなりますので、訂正しました。