« 赤外線通信を利用して携帯でも繋ぎ放題 | Main | 東芝のdynabook SS SX »

›10 13, 2004

2004/10のWindows update

[ PCニュース ]

 なんか、一杯来ましたね。 でも先月くらいにXPSP2にしてしまったので1個しか表示されませんでした。 残念

■MS04-28

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、JPEG処理の脆弱性を修正する「MS04-028」を再リリースした。深刻度は“緊急”。再リリース版では、Windows XP SP2にインストールされたOffice XP、Visio 2002、Project 2002に対して、確実に適用できるようになっているという。
 
 MS04-028は、JPEGファイルの処理(GDI+)に関わるバッファオーバーランの脆弱性の修正パッチで、2004年9月の月例修正パッチとしてリリースされていた。マイクロソフトによると、9月時点ではWindows XP SP2にインストールされたOffice XP、Visio 2002、Project 2002に対してMS04-028を適用しようとすると、適用以前に「適用済み」と表示され、実際には修正パッチを適用できない場合があったという。

マイクロソフト以外の製品でgdiplus.dllを使用している製品のチェックには
UpdateGDIが便利かと思います。

■MS04-29 MS04-30 MS04-31

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、情報漏洩やDoSなどを引き起こす脆弱性を修正する「MS04-029」「MS04-030」「MS04-031」を公開した。深刻度はいずれも“重要”となっている。
 
 MS04-029は、「RPCランタイムライブラリの脆弱性」に関する修正パッチ。Windows NT Server 4.0 SP6a/TSE SP6が対象だ。この脆弱性は、RPCランタイムライブラリでは特別な細工を施されたメッセージを処理する際にDoSが発生してしまうというもので、悪用すると、アクティブなメモリの一部を読み取ったり、影響を受けるPCの応答を停止させることが可能となる。
 
 MS04-030は、「WebDAVの脆弱性」の修正パッチ。64ビット版を含むWindows Server 2003/XP、Windows 2000 SP3/SP4が対象だ。なお、Windows XP SP2は含まない。この脆弱性は、WebDAV要求において、1つのXML要素に対し無制限に属性を指定できることが原因で発生する。例えば、WebDAVを実行しているIISサーバーに特別な細工を施したWebDAVを攻撃者が送信することで、DoSを引き起こされる可能性がある。
 
 MS04-031は、「Network Dynamic Data Exchange(NetDDE)の脆弱性」に関する修正パッチ。64ビット版を含むWindows Server 2003/XP、Windows 2000 SP3/SP4、Windows NT Server 4.0 SP6a/TSE SP6が対象。なお、Windows XP SP2は含まない。NetDDEに未チェックのバッファが含まれるため、リモートから任意のコードを実行できる。また、脆弱性を悪用することで、ローカルで権限を昇格させられたり、リモートからサービス拒否を引き起こされる可能性があるという。

■MS04-032

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Windowsで任意のコードが実行される脆弱性を修正する「MS04-032」を公開した。Windows Updateで適用できる。深刻度は“緊急”。64ビット版を含むWindows Server 2003/XPのほか、Windows 2000 SP3/SP4、Windows NT 4.0 SP6a/TSE SP6が対象となる。なお、Windows XP SP2は含まれない。
 
 MS04-032は、「Graphics Rendering Engineの脆弱性」「Windows Managementの脆弱性」「仮想DOSマシン(VDM)の脆弱性」「Windowsカーネルの脆弱性」に関する修正パッチ。許可されていない特権を取得されてしまう権限の昇格やDoS、外部からのコードの実行などが発生する可能性があるという。
 
 Graphics Rendering Engineの脆弱性を悪用すると、Graphics Rendering EngineがWindowsメタファイル(WMF)と拡張メタファイル(EMF)形式の画像をレンダリングするとき、未チェックのバッファがあるため、リモートでコードが実行される可能性があるというもの。WMFまたはEMF形式の画像をレンダリングするすべてのプログラムにおいて、外部からコードが実行される可能性があるという。マイクロソフトでは、攻撃者がこの脆弱性の悪用を目的としたWebサイトやHTMLメールを使って、細工した画像を開かそうと誘導するケースもあるとして注意を呼びかけている。

■MS04-033

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Excelの脆弱性を修正する「MS04-033」を公開した。Office Updateで適用できる。深刻度は“緊急”。Windows向けのExcel XP/2000のほか、Mac OS向けのExcel 2001 for Mac/Excel v.X for Macが対象で、それらが含まれるOffice XP/2000と、Office 2001 for Mac/Office v.X for Macも対象となる。
 
 MS04-033は、Excelに存在する外部から任意のコードが実行されてしまう脆弱性の修正パッチ。この脆弱性を悪用した場合、管理者権限のユーザーがログオンしたPCを、攻撃者が完全にコントロールしてしまう恐れがあるという。また、攻撃者がWebサイトから悪質なExcelファイルにアクセスするように誘導したり、Excelファイルをメールに添付して送信する場合もあるとしている。
 
 なお、MS04-033は2003年10月に公開された「MS03-050」に置き換わるもの。Windows向けExcel XP/2000、Office XP/2000での深刻度は“緊急”、Mac OS向けExcel 2001 for Mac/Excel v.X for Mac、Office 2001 for Mac/Office v.X for Macでは“重要”となっている。

■MS04-034

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、圧縮(ZIP形式)フォルダの脆弱性を修正する「MS04-034」を公開した。深刻度は“緊急”。Windows XP SP2を除いたWindows Server 2003/XPに影響がある。
 
 MS04-034は、特別に細工された圧縮ファイルをZIPフォルダが処理する方法に未チェックのバッファが存在するために、リモートで任意のコードが実行されてしまう脆弱性の修正パッチ。攻撃者が、脆弱性を悪用することを目的にZIPファイルを作成することで、ユーザーが悪質なWebサイトを訪問した場合に、リモートでコードが実行される可能性があるという。

■MS04-035 MS04-036

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Exchange Serverなどの脆弱性を修正する「MS04-035」「MS04-036」を公開した。いずれも深刻度は“緊急”で、Windows Updateで適用できる。
 
MS04-035は、リモートで任意のコードが実行される「SMTPの脆弱性」の修正パッチ。Windows XP 64-Bit Edition Version 2003、Windows Server 2003(64ビット版を含む)と、Windows Server 2003もしくはWindows 2000 SP3/SP4にインストールされたExchenge Server 2003が対象だ。

■MS04-037

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Windowsシェルの脆弱性を修正する「MS04-037」を公開した。深刻度は“緊急”。Windows Updateで適用できる。64ビット版を含むWindows Server 2003/XPのほか、Windows 2000 SP3/SP4、Windows NT 4.0 SP6a/TSE SP6が対象となる。なお、Windows XP SP2は含まれない。
 
 MS04-037は、「シェルの脆弱性」と「Program Group Converterの脆弱性」の修正パッチ。シェルの脆弱性は、Windowsシェルがアプリケーションを起動する方法に、リモートでコードが実行される脆弱性が存在するというもの。攻撃者がこの脆弱性を悪用すると、プログラムのインストールやデータの表示、変更、削除が可能で、管理者権限の新規アカウントも作成できる。管理者権限のユーザーが、この脆弱性を悪用したWebサイトにアクセスした場合、攻撃者によってPCを完全に制御されてしまう可能性もあるという。

■MS04-038

 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Internet Explorer(IE)用の累積的な修正パッチ「MS04-038」を公開した。深刻度は“緊急”。このほか10本(うち“緊急”が7本)の修正パッチが公開されている。
 
 MS04-038の対象は、Internet Explorer 5.01/5.5/6。悪意ある攻撃者からリモートでコードが実行される「CSSヒープメモリの破損の脆弱性」「クロスドメインの脆弱性」「インストールエンジンの脆弱性」「ドラッグアンドドロップの脆弱性」や、情報漏洩してしまう「アドレスバーのなりすまし」など全部で8つの脆弱性を修正する。


窓の杜 - 【NEWS】マイクロソフト、WindowsおよびIEの脆弱性を修正する月例パッチを公開
JPEG処理の脆弱性修正パッチを再リリース〜Windows XP SP2上のOfficなどに適用
情報漏洩やDoSを引き起こすRPCの脆弱性「MS04-029」など
Windows XP/2000などに外部からコードが実行される脆弱性「MS04-032」
Excelにも任意のコードが実行される脆弱性「MS04-033」
リモートで任意のコードが実行されてしまうZIPフォルダの脆弱性「MS04-034」
リモートでコードが実行されるWindowsシェルの脆弱性「MS04-037」
Exchange Serverにも外部からコードを実行できる脆弱性「MS04-035」など
IEの累積的セキュリティ修正パッチが深刻度“緊急”で公開
JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)
RPC ランタイム ライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350) (MS04-029)
WebDAV XML Message ハンドラの脆弱性によりサービス拒否が起こる (824151) (MS04-030)
NetDDE の脆弱性により、リモートでコードが実行される (841533) (MS04-031)
Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)
Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033)
圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される (873376) (MS04-034)
SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035)
NNTP の脆弱性により、コードが実行される (883935) (MS04-036)
Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037)
Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)
マイクロソフト、新たに22件のセキュリティ欠陥を警告 - CNET Japan


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?