Windows向けセキュリティアップデート情報：2015年1月 号外その2【Flash Player，Chrome】

Windows向けセキュリティアップデート情報：2015年1月 号外【Flash Player，JAVA，Chrome】以降に発表されたセキュリティアップデート情報概要まとめです。

１．Flash Player

• APSB15-01：Adobe Security Bulletin（日本語リンク）
• APSB15-03：Adobe Security Bulletin（日本語リンク）（緊急度：Critical，重要度：2）
  リリース日：2015.01.27
  Windows向け 最新Version：16.0.0.296

24日にアップデートが自動更新を有効にしているユーザー向けに配信が開始されていましたが、27日から手動ダウンロード向け提供が開始されました。

Flash Playerにゼロデイ脆弱性が発見され、すでにその脆弱性を悪用する”Angler”と呼ばれるツールによる攻撃が確認されていましたが、その脆弱性が修正されています。

• Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK - Malware don't need Coffee

２．Google Chrome 40

• Stable Channel Update - Chrome Releases
  リリース日：2015.01.26
  内容：Log参照
  バージョン：40.0.2214.93

Logに記載はありませんが、24日よりGoogle ChromeのFlash Playerも16.0.0.296に更新が行われています。

Read more »

Windows 10関連新情報まとめメモ

公式ソース

• Windows 10: The Next Chapter - Microsoft
• The next generation of Windows: Windows 10 - Blogging Windows
• The next chapter of Office on Windows - Office Blogs

参考にしたメディアサイト

• Windows 10新情報まとめ：無料アップグレード、新ブラウザSpartanとコルタナ、ユニバーサルアプリ - Engadget Japanese
• Windows 10新情報まとめデバイス編：メガネ型ホログラフ端末HoloLens、84インチ4K Surface Hub - Engadget Japanese
• 速報：Windows 10には新ブラウザ Project Spartan (スパルタン)搭載。PCとスマホ共通、コルタナも統合 - Engadget Japanese
• 速報：マイクロソフト、メガネ型ホログラムコンピュータHoloLens発表。視界に3D映像を重ねて表示 - Engadget Japanese
• 「Windows 10」発表イベントまとめ - ITmedia ニュース
• 「Windows 10」が目指す世界とは？――Microsoftの反転攻勢シナリオ - ITmedia PC USER
• 今日のMicrosoft Windows 10イベントのハイライト - TechCrunch
• Cortanaや新ブラウザSpartanなどWindows 10の新機能 - PC Watch
• Office 2016は今年後半リリース、ユニバーサル版Office for Windows 10は別に年末 - Engadget Japanese

概略

• Windows 10への無料アップグレード
  対象は、Windows 7/8.1，Windows Phone 8.1。Windows 10リリース後1年間限定
  ※Windows RT版Surfaceは対象外（ITmedia Newsより）
• Cortana搭載
• 新ブラウザ”Project Spartan”
  →Internet Explorerも互換性維持のため引き続き搭載
• 84，55インチディスプレイ”Surface Hub”
• ホログラムコンピューティング用API”Windows Holographic”対応
• AR技術採用ヘッドセット”HoloLens”
• 次期テクニカルプレビューリリース予定
  PC向け：1/23 Build 9926提供開始（CNETより）
  モバイル向け：2月

Windows 10

• PC，Xbox，タブレット，スマートフォンがWindows 10に統合
  8インチ以上→PC向けWindows
  8インチ未満→スマートフォン，タブレット向けWindows
  →”Windows as a Service”をスローガンに、様々なデバイスで統一されたサービス、UIを提供
• Continuum Mode
  キーボード/マウスの接続を検知し、それぞれに適したUIに切り替わる
• Xboxアプリ標準搭載
  Xboxオンラインゲームをプレイ可能
  Xbox Oneのゲームをストリーミングプレイ可能
• DirectX 12。Unreal Engine 4，Unity対応

Continuum Mode

Xbox App

Project Spartan

• Windows 10向けUniversal Appとしてリリース
• 軽量な新レンダリングエンジン採用
• ノートテーキングモード
  Webページのスナップショットを作成して、自由に書き込みを行える。リンク等も生きたまま
• リーディングモード
  本文と画像のみを表示
• リーディングリスト
  ”あとで見る”リスト。オフラインでも閲覧可能
• Cortanaの統合

Universal Aｐｐ

• デバイス・画面サイズに関わらず動作可能
• アプリストアの統合。デバイスに関わらずダウンロード可能

Office 2016

• デスクトップ向けを2015年後半にリリース予定
• モバイル向けにはタッチ操作に最適化されたUniversal App版”Office for Windows 10”が標準搭載

Word

Outlook

OneNote

その他

Windows Holographic，HoloLens

Read more »

Windows向けセキュリティアップデート情報：2015年1月 号外【Flash Player，JAVA，Chrome】

Windows Upadate以降に発表されたセキュリティアップデート情報概要まとめです。

１．Flash Player

• APSA15-01：Adobe Security Bulletin（日本語リンク）（緊急度：Critical）
  ※修正パッチ未配信（1/26の週に公開予定）
• APSB15-02：Adobe Security Bulletin（日本語リンク）（緊急度：important，重要度：2）
  リリース日：2015.01.22
  Windows向け 最新Version：16.0.0.287

Flash Playerにゼロデイ脆弱性が発見され、すでにその脆弱性を悪用する”Angler”と呼ばれるツールによる攻撃が確認されているとのこと。

• Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK - Malware don't need Coffee

Blogによると、影響のある環境は以下の組み合わせ。

• Windows XP
  Firefox 35（Flash 16.0.0.287）
  IE 6～8（Flash 16.0.0.287）
• Windows 7
  IE8（Flash 16.0.0.257）
• Windows 8
  IE 10 with Windows8-RT-KB3008925-x86（Flash 16.0.0.235）
  IE 10（Flash 16.0.0.257）
• Windows 8.1
  IE 11（Flash 16.0.0.257）

一方で、Google ChromeはAnglerの影響を受けないとのこと。

推奨される対策は、利用しているブラウザで一時的にFlash Playerを無効にすること。
現在未修正のCVE-2015-0311に対するアップデートは、来週配信予定。

２．Google Chrome 40

• Stable Channel Update - Chrome Releases
  リリース日：2015.01.21
  内容：62件の脆弱性（深刻度：Highを含む）の修正，NPAPIプラグインがデフォルトでブロック
  バージョン：40.0.2214.91

※NPAPIプラグインサポート廃止スケジュールについて（The Final Countdown for NPAPIより）

• 現在：一部のホワイトリストを除いてデフォルトでブロック済み
• 2015.01：ホワイトリストを削除。全てのNPAPIプラグインがデフォルトでブロックされる
• 2015年4月：NPAPIプラグインサポートをデフォルトで無効に。Chrome WebストアからNPAPIプラグインを必要とする拡張機能を非公開に
  →ただし、経過措置あり（chrome://flags/#enable-npapiから設定可能）
• 2015.09：NPAPIプラグインのサポートを完全に終了。NPAPIプラグイン利用不可に

３．Oracle Java SE

• リリース日：2015.1.20
• 関連リンク
  Oracle Critical Patch Update - January 2015 - Oracle
  Java 7 Auto-Update to Java 8 - Oracle
  2015年1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 - JPCERT/CC
• 脆弱性情報：CVSS v2 BaseScore 10.0 4件を含む計19件の脆弱性を修正
• 最新バージョン
  Java 7 Update 75 / 76
  Java 8 Update 31

※Java 7向けには、クリティカルパッチ（7u75）と同時に、複数バグの累積パッチ（7u76）が公開されています。
※Java 7は次回のアップデートをもってサポート終了の予定となっており、自動更新を有効にしている場合は自動的にJava 8にアップデートされます。

Java SE 7の公式アップデート終了のお知らせより

Javaの次回更新も2015年4月14日に予定されています。

• 日付別のJava 7およびJava 8リリース - Java.com

Read more »

Windows向けセキュリティアップデート情報：2015年1月

本日までに発表された月刊セキュリティアップデート情報概要まとめです。

１．Windows Update：2015年1月月例

＜参考＞2015 年 1 月のマイクロソフト セキュリティ情報の概要，2015 年 1 月のセキュリティ情報 (月例) - MS15-001 ～ MS15-008

• MS15-001
  Windows アプリケーションの互換性のキャッシュの脆弱性により、特権が昇格される (3023266)
• MS15-002
  Windows Telnet サービスの脆弱性により、リモートでコードが実行される (3020393)
• MS15-003
  Windows User Profile Service の脆弱性により、特権が昇格される (3021674)
• MS15-004
  Windows コンポーネントの脆弱性により、特権が昇格される (3025421)
• MS15-005
  Network Location Awareness サービスの脆弱性により、セキュリティ機能のバイパスが起こる (3022777)
• MS15-006
  Windows エラー報告の脆弱性により、セキュリティ機能のバイパスが起こる (3004365)
• MS15-007
  ネットワーク ポリシー サーバーの RADIUS 実装の脆弱性により、サービス拒否が起こる (3014029)
• MS15-008
  Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (3019215)

Googleが90日ルールに従って公開した脆弱性（MS15-001，MS15-003）の修正を含め、緊急・重要・警告が計8件となっています。
今回唯一の”緊急”となっているTelnetの脆弱性（MS15-002）については、ユーザーがTelnetをインストールして有効にしていない限り影響はありません。


その他、関連ニュース

• 1週間前の一般向け事前通知を廃止
  マイクロソフト、月例パッチの事前通知制度を廃止 - INTERNET Watch
• Google、パッチ未公開の脆弱性を公開
  MSがGoogle非難、Windowsの脆弱性情報公開を巡り - ITmedia エンタープライズ
  「Windows」に未パッチの脆弱性--グーグルが公表 - CNET Japan
• Windows 7、メインストリームサポート終了
  「Windows 7」のメインストリームサポートが本日終了 - INTERNET Watch

Windows 7延長サポートは2020年1月14日に終了

※2016年1月以降、Internet Explorer向けセキュリテアップデートは、各OS向けの最新版のみサポートされると発表されました。

• マイクロソフト、2016年から最新版 IEにのみセキュリティ更新を提供。旧版Internet Explorerから移行促進 - Engadget Japanese

各OS向けのIEバージョン一覧

旧バージョンを利用する必要がある場合は、IE 11のエンタープライズモードを利用する方法があります。
2016年に向け、最新IE対応をとる必要がありそうです。

２．Adobe関連

• Flash Player（日本語リンク）（緊急度：Critical，Priority：1）
  リリース日：2015.01.13
  Windows向け 最新Version：16.0.0.257

３．Google Chrome 39

• Stable Channel Update - Chrome Releases
  リリース日：2015.01.13
  内容：Flash Playerの更新（16.0.0.257），その他多数の修正
  バージョン：39.0.2171.99

次回のWindows月例アップデートは2015年2月11日（水）予定。
また、Javaの次回更新も2015年1月20日に予定されています。

• セキュリティ情報リリース スケジュール - TechCenter
• 日付別のJava 7リリース - Java.com  

Read more »

【CES 2015】第5世代”Broadwell”Intel Core iプロセッサ

公式ソース

• The 5th Generation Intel® Core™ Family of Processors Arrive to Transform Computing Experiences, 'Cherry Trail' Shipping - Intel Newsroom
• インテル、第 5 世代インテル® Core™ プロセッサー・ファミリーを発表 - インテルニュースルーム

参考にしたニュースサイト

• インテル、第五世代(Broadwell) Core iプロセッサ発表。薄型ノート向け2コアのUシリーズから - Engadget Japanese
• 14ナノ“Broadwell”世代にTDP 28／15ワット登場：「第5世代Core」正式発表――“Iris”統合で3D性能2割増 - ITmedia PC USER

第4世代”Haswell”との主な違いは以下の通り。

• 14nmプロセスの採用（Haswellは22nm）
• トランジスタ数35%増、ダイサイズ37%縮小
• グラフィック性能を最大24%向上、動画変換を最大50%高速化
• バッテリー駆動時間を最大1.5時間延長

今回発表されたのは、2-in-1やUltrabook，Chromebook等のモバイルPCや、All-in-OneデスクトップPC，ミニPC等で採用される”Uシリーズ”（Broadwell-U）。
仕様は以下の通りです。

熱設計電力（TDP）が15Wのモデルと28Wのモデルが存在しますが、主に搭載するGPUに差があります。

• TDP：28W
  →Intel Iris Graphics 6100搭載（番号末尾が7）
• TDP:15W
  →Intel HD Graphics 6000搭載（番号末尾が50）
  →Intel HD Graphics 5500搭載（番号末尾が00）

既に登場しているTDPわずか4.5WのCore M、出荷が開始され搭載タブレットの登場が待たれるCherry TrailがBroadwell世代。


CES2015にて、Broadwell Core i搭載のデバイスが多数発表されています。
気になったものをいくつか紹介します。

• Intel NUC
  【イベントレポート】【速報】Intel、Broadwell搭載NUCを1月発売 ～拡張モジュールを搭載できる薄型の新筐体 - PC Watch
• 新LaVie Zシリーズ
  NECが13.3型WQHD液晶の新LaVie Z 2機種をCESで展示。779gの軽量モデルに加え926gの2-in-1モデルも - Engadget Japanese
• ASUS Transformer  Book T300 Chi
  2015 CES：AirよりChiが断然いい！ とCEOが自慢する2in1「ASUS Transformer Book Chi」シリーズ発表 - ITmedia PC USER

Read more »

Windows向けセキュリティアップデート情報：2014年12月

本日までに発表された月刊セキュリティアップデート情報概要まとめです。

１．Windows Update：2014年12月月例

＜参考＞2014 年 12 月のマイクロソフト セキュリティ情報の概要，2014 年 12 月のセキュリティ情報 (月例)

• MS14-075
  Microsoft Exchange Server の脆弱性により、特権が昇格される (3009712)
• MS14-080
  Internet Explorer 用の累積的なセキュリティ更新プログラム (3008923)
• MS14-081
  Microsoft Word および Microsoft Office Web Apps の脆弱性により、リモートでコードが実行される (3017301)
• MS14-082
  Microsoft Office の脆弱性により、リモートでコードが実行される (3017349)
• MS14-083
  Microsoft Excel の脆弱性により、リモートでコードが実行される (3017347)
• MS14-084
  VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (3016711)
• MS14-085
  Microsoft Graphics コンポーネントの脆弱性により、情報の漏えいが起こる (3013126)

IE・Word・Excelに関する脆弱性の修正を含め、緊急・重要・警告が計7件となっています。
※先月延期されたExchange Serverに関するMS14-075が公開されました。


＜追記＞
IE11にて、SSL 3.0へのFallbackを無効化できるオプションを提供しており、グループポリシーやレジストリの変更，Fix Itを利用して無効化することが可能になりました。
また、2015年2月10日にはデフォルトでSSL 3.0へのFallbackを無効化するとのこと。

• December 2014 Internet Explorer security updates & disabling SSL 3.0 fallback - IEBlog

＜追記ここまで＞


＜注意その1＞
Visual Studioサポートチームblogによると

2014 年 12 月 10 日に公開され、Windows Update で配信された Visual Studio 2012 対象の KB3002339 の更新プログラムをインストールすると、Windows Update が完了しない、システム再起動時に更新が完了せずシステムがハングアップしてしまうという現象が発生することを確認いたしました。
本問題の報告を受け、Windows Update の配信は既に停止いたしましたが、Windows Server Update Services (WSUS) を使用して更新プログラムを配信されているお客様におかれましては、本更新プログラムの配信を停止していただけますようお願い申し上げます。

とのこと。
Windows Updateは毎回何かしらありますね（;￣ー￣A

＜注意その2＞
Windows 7（64bitだけ？）にてUACの確認が頻発する不具合がKB3004394にあるようです。

@nobuie リプライありがとうございます。こちらの手元でも同様の現象が確認されました。ただ、これについての詳細な情報はございませんでした。貴重なご報告、まことにありがとうございました。もし今後も何かお気付きの点がございましたら、ぜひお知らせ下さいね。 #Win7 ^NNY
— マイクロソフトサポート (@MSHelpsJP) 2014, 12月 10

不具合がある場合は、KB3004394をアンインストールした方がいいでしょう。
※12月11日15時現在、KB3004394の配信は停止している模様です。

• Tech TIPS：UACのダイアログが頻繁に表示されたりWindows Defenderが起動できなくなった場合の対処方法（KB3004394パッチ編） - ＠IT

＜注意その3＞
SilverLight（KB3011970）も不具合が発生して配信停止した模様です。


※2016年1月以降、Internet Explorer向けセキュリテアップデートは、各OS向けの最新版のみサポートされると発表されました。

• マイクロソフト、2016年から最新版 IEにのみセキュリティ更新を提供。旧版Internet Explorerから移行促進 - Engadget Japanese

各OS向けのIEバージョン一覧

旧バージョンを利用する必要がある場合は、IE 11のエンタープライズモードを利用する方法があります。
2016年に向け、最新IE対応をとる必要がありそうです。

２．Adobe関連

• Adobe Reader / Acrobat（日本語リンク）（緊急度：Critical，Priority：1）
  リリース日：2014.12.09
  Adobe Reader / Acrobat XI 最新Version：11.0.10
  Adobe Reader / Acrobat X 最新Version：10.1.13
• Flash Player（日本語リンク）（緊急度：Critical，Priority：1）
  リリース日：2014.12.09
  Windows向け 最新Version：16.0.0.235

３．Google Chrome 39

• Stable Channel Update - Chrome Releases
  リリース日：2014.12.09
  内容：Flash Playerの更新（16.0.0.235），多数の修正
  バージョン：39.0.2171.95

次回のWindows月例アップデートは2015年1月14日（水）予定。
また、Javaの次回更新も2015年1月20日に予定されています。

• セキュリティ情報リリース スケジュール - TechCenter
• 日付別のJava 7リリース - Java.com  

Read more »

Windows向けセキュリティアップデート情報：2014年11月 号外その2

Windows向けセキュリティアップデート情報：2014年11月，Windows向けセキュリティアップデート情報：2014年11月 号外以降に発表されたアップデート情報まとめです。

１．Adobe関連

• Flash Player（日本語リンク）（緊急度：Critical，Priority：2）
  リリース日：2014.11.25
  Windows向け：15.0.0.239

10月14日のアップデートで緩和措置がとられていた脆弱性に対する追加対応。

CNET Japanによると、

2014年10月14日にリリースされたAPSB14-22のアップデート以前には、CVE-2014-8439を悪用した既知の攻撃方法は存在しなかった。現在のところ、APSB14-22のアップデートが適用されているシステムに対して有効な攻撃方法は確認されていない。

とのこと。

２．Google Chrome 39

• Stable Channel Updat - Chrome Releases
  リリース日：2014.11.25
  内容：Flash Playerの更新（15.0.0.239），多数の修正
  バージョン：39.0.2171.71

※NPAPIプラグインサポート廃止スケジュールについて（The Final Countdown for NPAPIより）

• 現在：一部のホワイトリストを除いてデフォルトでブロック済み
• 2015.01：ホワイトリストを削除。全てのNPAPIプラグインがデフォルトでブロックされる
• 2015年4月：NPAPIプラグインサポートをデフォルトで無効に。Chrome WebストアからNPAPIプラグインを必要とする拡張機能を非公開に
  →ただし、経過措置あり（chrome://flags/#enable-npapiから設定可能）
• 2015.09：NPAPIプラグインのサポートを完全に終了。NPAPIプラグイン利用不可に

Read more »

Windows向けセキュリティアップデート情報：2014年11月 号外

Windows向けセキュリティアップデート情報：2014年11月以降に発表されたアップデート情報まとめです。

１．マイクロソフト セキュリティ情報 MS14-068公開

• マイクロソフト セキュリティ情報 MS14-068 - 緊急
• セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開 - 日本のセキュリティチーム

11月12日の公開が見送られていた修正プログラムが公開されました。
Serverが対象の脆弱性ですが、多層防御を提供するためクライアント向けにも修正パッチが公開されています。
既にこの脆弱性を悪用しようとする限定的な標的方攻撃を確認しているとのこと。

※ちなみに、11月12日に公開が見送られたプログラムはもう1つあり、12月に延期するとのこと。

• 11 月の Exchange リリースが 12 月まで延期されます - Exchange ブログ JAPAN

２．Google Chrome 39

• Stable Channel Update - Chrome Releases
  リリース日：2014.11.18
  内容：42件の脆弱性の修正，安定性とパフォーマンスの向上
  バージョン：39.0.2171.65

※SSL 3.0の脆弱性について、Chrome 39でSSL 3.0フォールバックはデフォルトで無効にされていて、Chrome 40にてSSL 3.0は完全に無効とする予定とのこと。

• An update on SSLv3 in Chrome. - Google グループ

Read more »

Windows向けセキュリティアップデート情報：2014年11月

本日までに発表された月刊セキュリティアップデート情報概要まとめです。

１．Windows Update：2014年11月月例

＜参考＞2014 年 11 月のセキュリティ情報

• MS14-064
  Windows OLE の脆弱性により、リモート コードが実行される (3011443)
• MS14-065
  Internet Explorer 用の累積的なセキュリティ更新プログラム (3003057)
• MS14-066
  Schannel の脆弱性によりリモートでコードが実行される (2992611)
• MS14-067
  Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (2993958) 
• MS14-069
  Microsoft Office の脆弱性によりリモートでコードが実行される (3009710)
• MS14-070
  TCP/IP の脆弱性により、特権が昇格される (2989935)
• MS14-071
  Windows オーディオ サービスの脆弱性により、特権が昇格される (3005607)
• MS14-072
  .NET Framework の脆弱性により、特権が昇格される (3005210)
• MS14-073
  Microsoft SharePoint Foundation の脆弱性により、特権が昇格される (3000431)
• MS14-074
  リモート デスクトップ プロトコルの脆弱性により、セキュリティ機能のバイパスが起こる (3003743)
• MS14-076
  インターネット インフォメーション サービス (IIS) の脆弱性により、セキュリティ機能のバイパスが起こる (2982998)
• MS14-077
  Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こる (3003381)
• MS14-078
  IME (日本語版) の脆弱性により、特権が昇格される (2992719)
• MS14-079
  カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (3002885)

Windows向けセキュリティアップデート情報：2014年10月 号外にて紹介していたWindows OLEの脆弱性，IEに関する脆弱性の修正を含め、緊急・重要・警告が計14件となっています。
※事前通知では16件でしたが、2件（セキュリティ情報 5，12）は問題が確認されたため、公開が見合わされているとのこと。

＜注意＞
EMET 5.1が公開されました！
また、MS14-065（IE関連）の修正プログラムとEMET 5.0のEAF+との間に互換性の問題があるとのこと。EMET 5.1にUpdateするか、一時的にEMET 5.0のEAF+を無効化する必要があります。

• MS14-065: Cumulative security update for Internet Explorer: November 11, 2014

※2016年1月以降、Internet Explorer向けセキュリテアップデートは、各OS向けの最新版のみサポートされると発表されました。

• マイクロソフト、2016年から最新版 IEにのみセキュリティ更新を提供。旧版Internet Explorerから移行促進 - Engadget Japanese

各OS向けのIEバージョン一覧

旧バージョンを利用する必要がある場合は、IE 11のエンタープライズモードを利用する方法があります。
2016年に向け、最新IE対応をとる必要がありそうです。

２．Adobe関連

• Flash Player（日本語リンク）（緊急度：Critical，Priority：1）
  リリース日：2014.11.11
  Windows向け：15.0.0.223

３．Google Chrome 38

• Stable Channel Updat - Chrome Releases
  リリース日：2014.11.11
  内容：Flash Playerの更新（15.0.0.223），多数の修正
  バージョン：38.0.2125.122

次回のWindows月例アップデートは2014年12月10日（水）予定。
また、Javaの次回更新も2015年1月20日に予定されています。

• セキュリティ情報リリース スケジュール - TechCenter
• 日付別のJava 7リリース - Java.com  

Read more »

EMET 5.1が公開されました！

Microsoft純正のWindows向け脆弱性緩和ツール”EMET 5.1”がリリースされています。

• An update is available for the Enhanced Mitigation Experience Toolkit 5.0: November 10, 2014 - セキュリティ TechCenter
• 脆弱性緩和ツール EMET 5.1 リリースしました - 日本のセキュリティチーム
• ダウンロードは以下より
  Download Enhanced Mitigation Experience Toolkit 5.1 - Official Microsoft Download Center 

日本のセキュリティチームによると、主な変更点は、

• Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正

• いくつかの緩和策の向上およびバイパスへの対策

• 「Local Telemetry」機能の追加
  この機能により緩和策が実行された際にメモリダンプを保存することが可能になりました。

とのこと。
また、Windows 7/8×IE 11にて、EAF+の緩和策との互換性の問題が修正されています。


既に、EMET 5.0を導入している場合は、EMET 5.1へのアップデートにあたり5.0をアンインストールする必要はありません（5.1インストール時に自動的に5.0は削除されるため）。
設定の引継ぎができるので、手動で敢えてアンインストールしないほうがいいでしょう。

明日は月例Windows Update日です。
あわせて更新しておきたいところですね♪


＜参考リンク＞

• EMET 5.0 ユーザー ガイド（日本語）
• Microsoft純正、ゼロデイ脆弱性緩和ツール”EMET”を導入しよう！ - ちむどろいど
• EMET（Enhanced Mitigation Experience Toolkit） 5.0が公開されています！ - ちむどろいど

Read more »

【Weekend Headline】Office 365向けOneDrive容量無制限サービス、Office 365 Soloも適用対象！

• Office 365 をご利用いただいているお客様の OneDrive 容量が無制限に - Office Blogs

アメリカにて、Office 365ユーザー向けOneDrive容量が1TB→無制限になるサービスが発表されました。
どうせ日本向けOffice 365 Soloは対象じゃないんだろうな…なんて思っていたら、Office 365 Soloも対象になると発表されました。


容量無制限化で追加料金無しとなると、Office 365 Soloの魅力がさらに増すことになりますね。
Google Drive，Dropboxがどう出るかも気になりますが、（サービスが永続することが前提ですが）一生付き合えるクラウドストレージがMicrosoftから提供されたのは個人的に驚きです。

Read more »

Windows向けセキュリティアップデート情報：2014年10月 号外

１．Microsoft OLE の脆弱性により、リモートでコードが実行される

• マイクロソフト セキュリティ アドバイザリ 3010060 - セキュリティ TechCenter
• セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 - 日本のセキュリティチーム
• マイクロソフト セキュリティ アドバイザリ: Microsoft OLE の脆弱性により、リモートでコードが実行される: 2014 年 10 月 21 日 - Microsoftサポート

この脆弱性により、ユーザーが特別に細工された OLE オブジェクトが含まれる Microsoft Office ファイルを開いた場合、リモートでコードが実行される可能性があります。この脆弱性が悪用された場合、攻撃者により現在のユーザーと同じ権限が取得される可能性があります。

対策まとめ

• Fix it 51026を適用する
• UACを有効にし、悪意のあるファイルを開いた際、警告を表示する
• 信頼できないPowerPointファイルを開かない
• →詳しくないユーザーが警告を無視した場合はOUT
• EMETを利用し、緩和策を有効にする
  →マイクロソフト セキュリティ アドバイザリ 3010060の手順に従い、xmlファイルをEMET 5.0にインポートする必要あり。

２．10月のWindows Update”KB2949927”に不具合

• マイクロソフト セキュリティ アドバイザリ 2949927 - セキュリティ TechCenter

更新プログラムをインストールした一部ユーザーに問題が発生しているとのこと。
既にダウンロードリンクを削除，配信を無効化済み。問題が発生している場合はアンインストールを推奨していますが、問題ない場合は特にアクションをとる必要は無いようです。

Read more »

SSL 3.0の脆弱性”POODLE”メモ

SSLv3 Poodle Attack Checkより

SSL 3.0に脆弱性”POODLE：Padding Oracle On Downgraded Legacy Encryption”が発見され、Googleからアナウンスされています。

• This POODLE bites: exploiting the SSL 3.0 fallback - Google Online Security Blog

Microsoftのセキュリティアドバイザリに内容が詳しくまとめられているので、転載して紹介します。

• マイクロソフト セキュリティ アドバイザリ 3009008 - Microsoft セキュリティ TechCenter

１．内容

攻撃者が暗号化されたTLSセッションをダウングレードし、クライアントにSSL 3.0を使用させ、さらにブラウザーに悪意のあるコードを実行させる可能性があります。このコードはターゲットのHTTPS Webサイトにいくつかのリクエストを送信し、そのWebサイトで以前認証されたセッションが存在する場合には自動的にCookieが送信されます。この脆弱性が悪用されるには、これが攻撃者にとっての必要条件となります。攻撃者は、このHTTPSトラフィックを傍受し、SSL 3.0のCBCブロック暗号の弱点を利用して、暗号化されたトラフィックの一部 (認証Cookieなど) を解読する可能性があります。
マイクロソフト セキュリティ アドバイザリより

２．危険度

マイクロソフトは、報告された脆弱性を悪用しようとする攻撃を現時点で確認していません。攻撃のシナリオを考慮すると、これはお客様にとって高い危険性のある脆弱性であるとは考えられません。
マイクロソフト セキュリティ アドバイザリより

３．対策

• サーバー側：SSL 3.0を無効化する
• クライアント側：SSL 3.0を無効化する

４．SSL 3.0無効化方法

Internet Explorer

グループ ポリシーで SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする

1. グループ ポリシー管理を開きます。 
2. 変更するグループ ポリシー オブジェクトを選択し、右クリックして、[編集] を選択します。
3. グループ ポリシー管理エディターで、次の設定を参照します。
   →[コンピューターの構成] -> [管理テンプレート] -> [Windows コンポーネント] -> [Internet Explorer] -> [インターネット コントロール パネル] -> [詳細設定] ページ -> [暗号化サポートを無効にする]
4. [暗号化サポートを無効にする] 設定をダブルクリックして設定を編集します。
5. [有効] をクリックします。
6. [オプション] ウィンドウで、[安全なプロトコルの組み合わせ] 設定を [TLS 1.0、TLS 1.1、および TLS 1.2 を使用] に変更します。
7. [OK] をクリックします。

Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする

1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。

Google Chrome

• 既に、TLSセッションを失敗させ、SSL3.0にダウングレードさせる攻撃を防ぐ仕組み”TLS_FALLBACK_SCSV”を2月から採用済み
• SSL 3.0を無効化する場合は、ショートカットのリンク先に”--incognito --ssl-version-min=tls1”のおまじないを入力

※SSL 3.0を無効化すると、SSL 3.0しかサポートしていないサーバーにはアクセスできなくなります。対応を待ちましょう。

Read more »

Windows向けセキュリティアップデート情報：2014年10月

※号外を公開しています！

• Windows向けセキュリティアップデート情報：2014年10月 号外

本日までに発表された月刊セキュリティアップデート情報概要まとめです。

１．Windows Update：2014年10月月例

＜参考＞2014 年 10 月のセキュリティ情報

• MS14-056
  Internet Explorer 用の累積的なセキュリティ更新プログラム (2987107)
• MS14-057
  .NET Framework の脆弱性により、リモートでコードが実行される (3000414)
• MS14-058
  カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3000061)
• MS14-059
  ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942)
• MS14-060
  Windows OLE の脆弱性により、リモートでコードが実行される (3000869)
• MS14-061
  Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (3000434)
• MS14-062
  メッセージ キュー サービスの脆弱性により、特権が昇格される (2993254)
• MS14-063
  FAT32 ディスク パーティション ドライバーの脆弱性により、特権が昇格される (2998579)

IEに関する計14件の脆弱性の修正を含め、緊急・重要が計8件となっています。
※事前通知では9件でしたが、1件（セキュリティ情報 4）は問題が確認されたため、公開が見合わされているとのこと。


＜注意＞
Windows Update実行時、再起動後にKB2952664のインストールに失敗することがあります。

特に公式情報は無いようです。
インストールされた更新プログラムには既にKB2952664は存在し、セキュリティ関連のプログラムでもないことから、特に気にしなくても良さそうです。
気になる場合は、一度この更新プログラムを削除して再インストールするといいと思います。


※2016年1月以降、Internet Explorer向けセキュリテアップデートは、各OS向けの最新版のみサポートされると発表されました。

• マイクロソフト、2016年から最新版 IEにのみセキュリティ更新を提供。旧版Internet Explorerから移行促進 - Engadget Japanese

各OS向けのIEバージョン一覧

旧バージョンを利用する必要がある場合は、IE 11のエンタープライズモードを利用する方法があります。
2016年に向け、最新IE対応をとる必要がありそうです。

２．Adobe関連

• Flash Player（日本語リンク）（緊急度：Critical，Priority：1）
  リリース日：2014.10.14
  Windows向け：15.0.0.189

３．Google Chrome 38

• Stable Channel Update - Chrome Releases
  リリース日：2014.10.14
  内容：Flash Playerの更新（15.0.0.189），多数の修正
  バージョン：38.0.2125.104
• Stable Channel Update - Chrome Releases
  リリース日：2014.10.07
  内容：37→38にアップデート。159件の脆弱性の修正（最高深刻度：Critical），113件の比較的マイナーな修正
  バージョン：38.0.2125.101

４．Oracle Java SE

• リリース日：2014.10.14
• 関連リンク
  Oracle Critical Patch Update Advisory - October 2014 - Oracle
  2014年10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 - JPCERT/CC
• 脆弱性情報：CVSS v2 BaseScore 10.0 1件を含む計25件の脆弱性を修正
• 最新バージョン
  Java 7 Update 71 / 72
  Java 8 Update 25

※Java 7向けには、クリティカルパッチ（7u71）と同時に、複数バグの累積パッチ（7u72）が公開されています。Internet Watchによると、”特別な問題がない場合には「Java SE 7 Update 71」を使用することが推奨されている”とのこと。


次回のWindows月例アップデートは2014年11月12日（水）予定。
また、Javaの次回更新も2015年1月20日に予定されています。

• セキュリティ情報リリース スケジュール - TechCenter
• 日付別のJava 7リリース - Java.com  

Read more »

Office 365 Solo/Office Premium仕様まとめメモ

個人的に気になっているOffice Premium/Office 365 Soloの細かい仕様をまとめました。


参考にしたサイト

• マイクロソフトのナデラCEO、日本市場の重要性を語る。Office 365 Soloの年1万1800円は『お手頃価格』 - Engadget Japanese
• 【山田祥平のRe:config.sys】新Officeが生む1TBの悩み - PC Watch  

基本仕様

• 【Headline】Microsoft、日本向けOffice 365 Solo，Office Premium，Office for iPadを発表！

細かい仕様

• Office Premiumは、最新のOfficeを永続利用可能
  →バージョンアップが無償に。プリインストールPCが使える間は永遠に、PC内のどのアカウントでも利用可能。

• Office Premiumに付属するOffice 365 Soloは1年間利用可能
  →ライセンス更新は5,800円/年。延長パッケージは、POSA（Point Of Sales Activation）カードとしてOffice Premiumと同時リリース。最大5年分まで延長可能。

• 2台分のOffice Premiumを購入した場合
  →同一アカウントに登録した場合は、Office 365 Soloが2年間利用可能。
  →別々のアカウントを登録した場合は、Office 365 Soloを2アカウントで1年間利用可能。

• 1年経過し、有効期限が切れた時のOneDrive（1GB）の取り扱い
  →猶予期間（30日間）中は読み書き可能。その後無料容量分を超えるデータは読み出し専用となり、半年間はデータが保存される。

• Office for iPadについて
  →2014年内提供開始予定
  →アプリによる閲覧は無料。編集にはOffice Premium/Office 365 Soloのライセンスが必要。編集できる範囲（Word/Excel/Powerpoint等）は、保有しているライセンスに依存（例えば、PCでPowerpointが利用できないなら、iPadでもPowerpointは編集できない）。

Read more »

【Headline】Microsoft、日本向けOffice 365 Solo，Office Premium，Office for iPadを発表！

Office 史上最高におトクな Office 誕生

Microsoft、iOS/Android向けOfficeを公開！Office Mobileは無料で全機能を利用可能に！以降、日本での登場が待たれていた、日本向けOffice 365，Office for iPadが登場しました！

プレスリリース

• 日本市場に最適化した個人向けの新しい Office を 10 月 17 日より発売
• 一般向け Surface Pro 3 を Office Premium搭載モデルとして刷新、10 月 17 日より発売

１．Office 365 Solo & Office Premium

すでに海外ではOffice 365が登場していますが、日本向けにはOffice 365 Soloとして登場。また、Officeインストール済みPC向けにOffice 365 Solo1年分が付属するOffice Premiumが発表されました。
発売は2014年10月17日。

Office 365 Solo

• 1年毎に更新が必要なライセンス制
• 合計2台までのPC あるいは Mac向けOfficeデスクトップアプリケーション
• Office Mobile for iPhone および Office Mobile for Androidについては台数無制限
• 2台までの iPad で Office for iPad の利用が可能
• One Drive：1TB
• Skype：60分/月の無料通話（国際電話，国内固定電話向け）
• 無償サポート”アンサーデスク”

• 価格：11,800円/年
• Office
  Word
  Excel
  Outlook
  PowerPoint
  OneNote
  Publisher
  Access

Office Premium

• 既存のプレインストール販売タイプに、Office 365 Soloが1年利用可能になるライセンスをセットに。
• 搭載PCにプレインストールされたデスクトップアプリケーション（永続ライセンス）
• Office 365 Soloを1年間利用可能。
• Office 365 Soloライセンス更新料は5,800円

２．Surface Pro 3

Surface Pro 3のCore i3モデルが10月17日に登場。
10月17日から全Surface Pro 3がOffice Home & Business Premiumを搭載し、料金据え置きで発売されます。

Read more »