インターネットのセキュリティを考える

Windows と Internet Explorer の脆弱性対策

脆弱性対策
セキュリティ目次
MSKB一覧
IE Tips
WindowsXPのパッチ
上手に使う電子メール
Windows Tips
HOME
UP  BACK

最新情報

2015年6月

2015年7月1日 08:59:60 という「うるう秒」の挿入について
独立行政法人 情報通信研究機構(NICT)「うるう秒」挿入のお知らせ から引用しておきます.
「うるう秒」の調整は、地球の回転の観測を行う国際機関である「国際地球回転・基準系事業(IERS:International Earth Rotation and Reference Systems Service、所在地:パリ)」が決定しており、これを受けて世界で一斉に「うるう秒」の調整が行われています。日本では、総務省及びNICTが法令に基づき標準時の通報に係る事務を行っており、IERSの決定に基づきNICTにおいて日本標準時に「うるう秒」の挿入を実施しています。
NICTでは、本年1月5日のIERSの「うるう秒」挿入の決定を受け、7月1日(水)に日本標準時に「うるう秒」の挿入を実施します。
NICTうるう秒
NICT 日本標準時グループ から、うるう秒の対応 (2015年7月実施版) で書かれています.
世界の標準時である協定世界時UTCでは、2015年7月1日0時直前の2015年6月30日23時59分59秒、23時59分60秒、2015年7月1日0時0分0秒と刻みます。うるう秒挿入時のときのみに60秒という珍しい時刻がカウントされます。

すなわち、 UTC(昔はグリニッチ標準時と呼んでいました)が7月1日0時になる前に1秒追加して調整するのが「うるう秒」です.3月1日の前に2月29日を入れる閏年と同じです.

マイクロソフトからは、『Windows オペレーティングシステムでは、うるう秒の処理をおこないません。たとえば、「yyyy/mm/dd 08:59:60」の年月日時刻情報につきましては、Windows OS ではサポートしていません。このため、たとえば「2012/7/1 08:59:60」は「2012/7/1 09:00:00」として処理されます。』 と広報されています(KB2722715 うるう秒に関するサポートについて 文書番号: 2722715 - 最終更新日: 2015年6月11日 - リビジョン: 13.0)

私は Windows パソコンでは 桜時計 というツールを使って、パソコンを起動したら直ちに時刻調整をさせています.1秒未満から数秒まで遅れていたり進んでいたりパソコンによってズレは異なります.NICT の時刻サーバーから標準時を取り込むように設定していますから、うるう秒が入っても桜時計が調整してくれます.
7月1日は既にパソコンを起動した状態でうるう秒を迎えることになると思いますので、9時過ぎに桜時計を起動してやればパソコンの時刻は調整されます.

ちょっと気になるのが JavaScript で時刻を利用する場合です.
Webページに現在日時を表示させるのはWebページを表示するパソコンの時刻なので問題ありませんが、カウントダウンなどをやらせる時に、JavaScript として過去のうるう秒の積算はどうなっているのだろうか、この点をこれまで確認したことがありません.
NICT によれば1972年から2012年まで25回(25秒)のうるう秒調整があった.今回が26回目です.
私の記憶では JavaScript の基準時刻は 1970.01.01 00:00:00 GMT で、msec 数値と日時が相互換算される仕様のはずです.Internet Explorer や Firefox などのブラウザが持っている JavaScript エンジンのアップグレードで対応しているだろうと思いますが、近年 JavaScript の学習もサボっているので、最新状況を確認してからテストしてみたいと思います.

2015.06.09(米国時間 第2火曜日)公開の月例更新は緊急2件、重要6件、合計8件 2015年06月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.

マイクロソフトからの情報を確認できないのですが、MS15-058 が未公開です.(2015.06.10 早朝に記す)
2015.06.10 公開された 2015年6月のセキュリティ情報 (月例) - MS15056 ~ MS15-064 - 日本のセキュリティチームブログ記事で確認できました.『セキュリティ情報番号 MS15-058 は、今後公開されるセキュリティ情報で使用されます。』とのことです.MS 番号をそのまま残しているので、おそらく数日中に追加公開されると思えます.

2015年5月

2015.05.12(米国時間 第2火曜日)公開の月例更新は緊急3件、重要10件、合計13件 2015年05月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
5月13日提供された KB890830 悪意のあるソフトウェアの削除ツール は Windows-KB890830-V5.24.exe 49,621 KB でしたが、いつものようにダウンロードして手動で適用したパソコンで5月16日にこのファイルの更新通知(黄色い盾のマーク)が表示されました.
適用したはずなのにおかしいと思って Microsoft Baseline Security Analyzer でチェックしたら未適用になっていました.MBSA が言うなら仕方ないと自動更新に任せて処理したのですが、また更新通知がでたのです.再び自動更新に任せました.このように適用したはずなのに MBSA も未適用表示したケースは初めてでしたのでメモしておきます.
コントロールパネルからWindows Update を起動して更新履歴を確認したらキャプチャーした図で分かるように2度記録されていました.
KB890830

自動処理で適用後にも Microsoft Baseline Security Analyzer は認識していないようですが、この状態で Windows Update から「更新プログラムの確認」をさせると「このコンピューターで利用できる更新プログラムはありません。」 このまま放置しておくことにしました.

KB890830

2015年4月

2015.04.14(米国時間 第2火曜日)公開の月例更新は緊急4件、重要7件、合計11件 2015年04月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
◆ Flash Player のアップデートがありましたが、4月15日早朝にダウンロードしたインストーラーはエラーでした.委細は フラッシュを安全に閲覧する に書いています.
悪意のあるソフトウェアの削除ツール(KB890830) の4月度更新適用が変でした.Windows7, 8.1 ともに 2015年3月ファイルが適用されていました.これに気付いたので4月度のファイル Windows-KB890830-V5.23.exe 43,133 KB(32ビット版)をダウンロードして手動で適用しました.

2015年3月

2015.03.10(米国時間 第2火曜日)公開の月例更新は緊急5件、重要9件、合計14件 2015年03月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
私の環境(Windows7, Windows8.1)では自動更新後に再起動が必要でした.
Windows7 で Office2013 を入れてあるパソコンでは更新35個が処理されました.
2月16日(月)から3月16日(月)は確定申告の期間ですが、国税庁確定申告特集を利用して申告書作成・印刷をしている知人から緊急連絡があり、出かけてお手伝いしました.
『h26*****.pdfにはウィルスが含まれている為削除されました』というメッセージが出てダウンロードも印刷も出来ないという問題です.
3時間ほど悪戦苦闘しましたが、結論はこのサイトと Internet Explorer の相性問題だろうと考え、いつも持ち歩いている Firefox 最新バージョンのインストーラーを使って、この方のパソコンに初めて Firefox をインストールして使っていただいたら、昨年同様に処理出来るということで一件落着しました.
この問題はサイトの作りなど時間がある時にでも少し調べてみたいと思っていますが、かなり以前に見た時と違って Internet Explorer 以外のブラウザが使えるようになっていたので少しは進歩したとは思いました.

2015年2月

2015.02.10(米国時間 第2火曜日)公開の月例更新は緊急3件、重要6件、合計9件 2015年02月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
私の環境(Windows7, Windows8.1)では自動更新後に再起動が必要でした.
Adobe Reader に更新は無く、Flash Player は2月6日に 16.0.0.305 にアップデートされました・・・フラッシュを安全に閲覧する

MS14-083 Microsoft Excel の脆弱性により、リモートでコードが実行される (3017347) 更新されたので確認しました.

2015年1月

2015.01.14(水)公開の月例更新は緊急1件、重要7件、合計8件 2015年01月のマイクロソフト セキュリティ情報
私は Windows7 以後 Windows Update に任せることにしましたので、更新後の履歴を確認してみました.Windows8.1 で確認して再起動する前の表示をキャプチャーした画像を下に掲載します.日常的には Windows Defender のアップデート確認をしています.

自動アップデートのインストールと再起動のタイミングはパソコンの設定により異なるようです.
マイクロソフトのセキュリティ対策月例更新が毎月第2火曜日(米国時間)に行なわれることをカレンダーにマークしておくと、再起動要求に対応することを予定してパソコン作業を進めることができます.

2015年1月14日、Windows8.1の更新履歴
Windows8.1の更新履歴
3019215 ms15-008 重要 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される
3014029 ms15-007 重要 ネットワーク ポリシー サーバーの RADIUS 実装の脆弱性により、サービス拒否が起こる
(Windows8.x は適用不要)
3004365 ms15-006 重要 Windows エラー報告の脆弱性により、セキュリティ機能のバイパスが起こる
3022777 ms15-005 重要 Network Location Awareness Service の脆弱性により、セキュリティ機能のバイパスが起こる
3025421 ms15-004 重要 Windows コンポーネントの脆弱性により、特権が昇格される
3021674 ms15-003 重要 Windows User Profile Service の脆弱性により、特権が昇格される
3020393 ms15-002 緊急 Windows Telnet サービスの脆弱性により、リモートでコードが実行される
(既定では、Telnet は Windows Vista 以降の影響を受けるリリースにはインストールされません。このサービスを手動でインストールし、有効にしたユーザーのみが、この問題の影響を受ける可能性があります。)
3023266 ms15-001 重要 Windows Application Compatibility Cache の脆弱性により、特権が昇格される

履歴の最初にあるように、Windows8.1 の Internet Explorer 用 Flash Player は月例更新時に自動更新されて更新履歴に記録されます.KB ページは1月14日の更新では次の通り、これは日付が変るだけでページ・アドレスは同じです.
KB3024663 Microsoft security advisory: Update for vulnerabilities in Adobe Flash Player in Internet Explorer: January 13, 2015
Flash Player についてマイクロソフト自動更新の対応は Internet Explorer 用だけなので、Firefox など他のブラウザ用は自分で更新する必要があります.私は 「フラッシュを安全に閲覧する」 記事も書いています.

更新履歴の中で、KB3019978 このKB番号に対応する月例更新のMS番号が無いので確認すると、 support.microsoft.com/kb/3025421 MS15-004: Windows コンポーネントの脆弱性により、特権の昇格: 2015年1月13日、に含まれていることが確認できます.

悪意のあるソフトウェアの削除ツール(KB890830) は WindowsXP に適用できます.WindowsXP パソコンをネット接続して使うと、このパッチだけは自動的に更新通知がでます.私はこのファイル単体でダウンロードしておいて WindowsXP に適用してからネット接続する場合もあります.
2015年1月のパッチは、Windows-KB890830-V5.20.exe 36,179 KB でした.

事前通知の廃止について 2015.01.09

マイクロソフトは以下のように月例更新の事前通知を廃止しましたので、このページ及び関連して作成していた 「Microsoft KB と MS の関連付け」 ページは、2015年1月14日(日本時間)に公開予定の情報を確認し、継続する意味があるかどうか検討します.(1月公開情報はこれまでの継続でしたので、MSKBのリストも継続することにしました 2015.01.14)

2015年1月8日 (米国時間) より、マイクロソフトがお客様に事前通知サービス (ANS) をお届けする方法を変更いたしました。今後、マイクロソフトは ANS 情報をお客様との直接的なコミュニケーション チャネルを通じて提供し、本マイクロソフト プロダクト セキュリティ警告サービス、ブログ投稿および Web ページでのこの情報の一般提供を廃止いたします。

廃止されたのは、「セキュリティ情報 事前通知 ウェブサイト」と 「マイクロソフト プロダクト セキュリティ警告サービスにおける事前通知に関するメール連絡」です.私は通知メールを受信していましたので、1月9日に着信したメールでこの件を知りました.

「セキュリティ情報 事前通知」ANS : Advance Notification Service は2004年11月に始まった制度で、予定されているセキュリティ情報の一般的な要約を、各月の定期的なセキュリティ情報のリリースの3営業日前に公開するものでした.2014年12月まで10年間続いていたことになります.

これまでの「セキュリティ情報事前通知のページ」 technet.microsoft.com/ja-jp/security/bulletin/advance にアクセスすると、「2015 年にマイクロソフトの事前通知サービス (ANS) を変更」(日本のセキュリティチームのブログ記事)に自動ジャンプします.この記事の原文は、Evolving Microsoft's Advance Notification Service in 2015 (8 Jan 2015 8:00 AM)

My Security Bulletins Dashboard このページを利用するにはマイクロソフトに登録したメールアドレスとパスワードが必要です.