インターネットのセキュリティを考える

Windows と Internet Explorer の脆弱性対策

脆弱性対策
セキュリティ目次
MSKB一覧
IE Tips
WindowsXPのパッチ
上手に使う電子メール
Windows Tips
HOME
UP  BACK

最新情報

2015年8月

2015.08.24 に KB3078601 すなわち MS15-080 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3078662) の更新がありました.

V2.0 (2015/08/24): このセキュリティ情報を更新し、2015年8月18日に Microsoft ダウンロード センター上の更新プログラム 3078601 が更新されたことを、Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows Server 2008 R2 Service Pack 2 およびWindows 7 Service Pack 1 を実行しているお客様にお知らせしました。
更新プログラム 3078601 を Microsoft ダウンロード センターから 8月18日より前にインストールしたお客様は、このセキュリティ情報で説明している脆弱性に対し十分に保護するために更新プログラムを再インストールすることを推奨します。
Windows Update、Windws Update カタログ、または WSUS から更新プログラム 3078601 をインストールされた場合は、何の操作も必要ありません。

コントロールパネルから Windows Update を起動して 「更新履歴の表示」から確認できます.私のパソコン達では、
Windows 7 用セキュリティ更新プログラム (KB3078601) インストール日時:‎2015/08/19 として表示されています.
8月12日の月例更新処理した後でも通知される Windows Update はその都度処置していましたが内容確認はしていませんでした.その時に KB3078601 が含まれていたのだと分かりました.
2015.08.19(日本時間)KB3088903-MS15-093: Security update for Internet Explorer: August 18, 2015 Article ID: 3088903 - Last Review: 08/18/2015 20:28:00 - Revision: 1.0

MS15-093 Internet Explorer 用のセキュリティ更新プログラム (3088903) 深刻度 : 緊急 公開日: 2015年08月19日 バージョン: 1.0
Windows 10 の Internet Explorer 11 にも影響しますので更新が必要です.

2015.08.11(米国時間 第2火曜日)公開の月例更新は緊急4件、重要10件、合計14件 2015年08月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
2015年7月29日から開始された Windows 10 へのアップグレードですが、8月月例更新ではどのように対応されているかを確認してみました.
MS15-079 Internet Explorer 用の累積的なセキュリティ更新プログラム の Windows 10 Internet Explorer 11 欄に記載されていた KB3081436 を開きました.

KB3081436 は、Cumulative update for Windows 10: August 11, 2015 文書番号:3081436 - 最終更新日: 08/11/2015 20:54:00 - リビジョン: 2.0
このページ記載のポイントは以下の情報かと思います.
The security update for Windows 10 that is dated August 11, 2015, includes improvements to improve the functionality of Windows 10 and resolves the following vulnerabilities in Windows:
◆ 3086251 MS15-092: Vulnerabilities in the .NET Framework could allow elevation of privilege: August 11, 2015
◆ 3084525 MS15-091: Cumulative security update for Microsoft Edge: August 11, 2015
◆ 3082458 MS15-088: Unsafe command-line parameter passing could allow information disclosure: August 11, 2015
◆ 3082487 MS15-085: Vulnerability in Mount Manager could allow elevation of privilege: August 11, 2015
◆ 3078662 MS15-080: Vulnerabilities in Microsoft graphics component could allow remote code execution: August 11, 2015
◆ 3082442 MS15-079: Cumulative security update for Internet Explorer: August 11, 2015
Windows 10 updates are cumulative. Therefore, this package contains all previously released fixes. (See KB 3081424.) If you have previous updates installed, only the new fixes that are contained in this package will be downloaded and installed to your computer.

2015年7月29日 から 8月11日 までの Windows 10 に関するセキュリティ更新は以下のページから確認できるようです・・・
Cumulative Security Update for Windows 10: July 29, 2015 Article ID: 3074683 - Last Review: 08/04/2015 03:15:00 - Revision: 5.0
Cumulative Update for Windows 10: August 5, 2015 Article ID: 3081424 - Last Review: 08/05/2015 22:16:00 - Revision: 3.1

私の手元では Windows 10 のアップグレード予約をしたパソコンが数台ありますが、勝手にやらせている1台ではアップグレード失敗を繰り返しています.その他はインストール通知がでますが、そのまま放置しています.Windows 10 を今後どうするか考慮中です.

2015年7月

2015.07.21(日本時間)KB3079904-MS15-078: Vulnerability in Microsoft font driver could allow remote code execution: July 16, 2015 Article ID: 3079904 - Last Review: 07/20/2015 16:46:00 - Revision: 1.0

MS15-078 Microsoft フォント ドライバーの脆弱性により、リモートでコードが実行される (3079904) 深刻度 : 緊急 公開日: 2015年7月21日 バージョン: 1.0

7月21日、自動更新設定してあるノートパソコンに更新通知(重要)が出たので処理したら KB3079904 でした.その時は気にせずに複数の常用デスクトップも Windows Update で確認して処置しておいたのですが、22日に KB3079904 を確認し MS15-078 として記事が出ていましたので記録しておきます.

「Hacking Team」の情報漏えい事例:新たなWindowsのゼロデイ脆弱性を確認、定例外セキュリティ情報ですでに修正済み(2015年7月22日 トレンドマイクロ セキュリティブログ)で状況確認しました.
この記事から、MS15-077 も関係していることが判り、MS15-077 からリンクされていた CVE-2015-2387 も確認しておきました.

Webページを作成する立場として私は、ページで使うフォント指定(body の属性指定)はしていません.基本のサイズ指定もしないことにしています.
従って私が今見ているのこのページは、読者によっては全く異なるフォント、サイズでご覧になっているかも知れません.
それに関りなく、スタイルシートを工夫することにより、ページの崩れが生じないことだけは心掛けています.
Webページをどのように見たいかは、読者が使うブラウザの設定いかんで調整できる、そのようにあるべきだというのが Windows95 以来の私の考え方です.従ってフォントに関する勉強はほとんどしていないので、今回のセキュリティ脆弱性問題が発生することなど、まったく想定外でした.
フォントにこだわるのはPDFファイル、MS-Word文書、パワーポイントなどを作成する方々ではないかと思います、私はフォントを指定する仕事としてはエクセル以外は無縁です.(2015.07.23 追記)
2015.07.14(米国時間 第2火曜日)公開の月例更新は緊急4件、重要10件、合計14件 2015年07月のマイクロソフト セキュリティ情報
6月に公開保留された MS15-058 が含まれます.
リストは Microsoft KB と MS の関連付け に記録しています.
7月14日(米国時間)には、先日緊急更新された Flash Player がさらにアップデートされ、Adobe Reader もアップデートされていますので、それぞれの記事に記録しました.ご参照ください.
5月から気になったのですが、KB890830 悪意のあるソフトウェアの削除ツール について、今月も1台のパソコンで Windows Update を処理する前に単体でダウンロードして適用、パソコンを再起動してから Windows Update で更新プログラムを確認させてみました.やはり悪意のあるソフトウェアの削除ツールも更新必要に含まれていましたので、そのまま処理させました.
別なパソコンでは Microsoft Baseline Security Analyzer で不足確認した後で適用し、再度 MBSA でチェックしたら適用済みを認識、その後 Windows Update を実行したら削除ツールは含まれずに今回の更新が処理されました.
今後は Windows Update に任せてインストールすることにします.私がこれを単体でダウンロードしてきたのは、手元に残してある WindowsXP に適用する為ですが、それも最近はローカルでしか使わなくなりましたのでセキュリティ対策も不要になります.

2015年6月

2015年7月1日 08:59:60 という「うるう秒」の挿入について
独立行政法人 情報通信研究機構(NICT)「うるう秒」挿入のお知らせ から引用しておきます.
「うるう秒」の調整は、地球の回転の観測を行う国際機関である「国際地球回転・基準系事業(IERS:International Earth Rotation and Reference Systems Service、所在地:パリ)」が決定しており、これを受けて世界で一斉に「うるう秒」の調整が行われています。日本では、総務省及びNICTが法令に基づき標準時の通報に係る事務を行っており、IERSの決定に基づきNICTにおいて日本標準時に「うるう秒」の挿入を実施しています。
NICTでは、本年1月5日のIERSの「うるう秒」挿入の決定を受け、7月1日(水)に日本標準時に「うるう秒」の挿入を実施します。
NICTうるう秒
NICT 日本標準時グループ から、うるう秒の対応 (2015年7月実施版) で書かれています.
世界の標準時である協定世界時UTCでは、2015年7月1日0時直前の2015年6月30日23時59分59秒、23時59分60秒、2015年7月1日0時0分0秒と刻みます。うるう秒挿入時のときのみに60秒という珍しい時刻がカウントされます。

すなわち、 UTC(昔はグリニッチ標準時と呼んでいました)が7月1日0時になる前に1秒追加して調整するのが「うるう秒」です.3月1日の前に2月29日を入れる閏年と同じです.

マイクロソフトからは、『Windows オペレーティングシステムでは、うるう秒の処理をおこないません。たとえば、「yyyy/mm/dd 08:59:60」の年月日時刻情報につきましては、Windows OS ではサポートしていません。このため、たとえば「2012/7/1 08:59:60」は「2012/7/1 09:00:00」として処理されます。』 と広報されています(KB2722715 うるう秒に関するサポートについて 文書番号: 2722715 - 最終更新日: 2015年6月11日 - リビジョン: 13.0)

私は Windows パソコンでは 桜時計 というツールを使って、パソコンを起動したら直ちに時刻調整をさせています.1秒未満から数秒まで遅れていたり進んでいたりパソコンによってズレは異なります.NICT の時刻サーバーから標準時を取り込むように設定していますから、うるう秒が入っても桜時計が調整してくれます.
7月1日は既にパソコンを起動した状態でうるう秒を迎えることになると思いますので、9時過ぎに桜時計を起動してやればパソコンの時刻は調整されます.

ちょっと気になるのが JavaScript で時刻を利用する場合です.
Webページに現在日時を表示させるのはWebページを表示するパソコンの時刻なので問題ありませんが、カウントダウンなどをやらせる時に、JavaScript として過去のうるう秒の積算はどうなっているのだろうか、この点をこれまで確認したことがありません.
NICT によれば1972年から2012年まで25回(25秒)のうるう秒調整があった.今回が26回目です.
私の記憶では JavaScript の基準時刻は 1970.01.01 00:00:00 GMT で、msec 数値と日時が相互換算される仕様のはずです.Internet Explorer や Firefox などのブラウザが持っている JavaScript エンジンのアップグレードで対応しているだろうと思いますが、近年 JavaScript の学習もサボっているので、最新状況を確認してからテストしてみたいと思います.

2015.06.09(米国時間 第2火曜日)公開の月例更新は緊急2件、重要6件、合計8件 2015年06月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.

マイクロソフトからの情報を確認できないのですが、MS15-058 が未公開です.(2015.06.10 早朝に記す)
2015.06.10 公開された 2015年6月のセキュリティ情報 (月例) - MS15056 ~ MS15-064 - 日本のセキュリティチームブログ記事で確認できました.『セキュリティ情報番号 MS15-058 は、今後公開されるセキュリティ情報で使用されます。』とのことです.MS 番号をそのまま残しているので、おそらく数日中に追加公開されると思えます.

2015年5月

2015.05.12(米国時間 第2火曜日)公開の月例更新は緊急3件、重要10件、合計13件 2015年05月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
5月13日提供された KB890830 悪意のあるソフトウェアの削除ツール は Windows-KB890830-V5.24.exe 49,621 KB でしたが、いつものようにダウンロードして手動で適用したパソコンで5月16日にこのファイルの更新通知(黄色い盾のマーク)が表示されました.
適用したはずなのにおかしいと思って Microsoft Baseline Security Analyzer でチェックしたら未適用になっていました.MBSA が言うなら仕方ないと自動更新に任せて処理したのですが、また更新通知がでたのです.再び自動更新に任せました.このように適用したはずなのに MBSA も未適用表示したケースは初めてでしたのでメモしておきます.
コントロールパネルからWindows Update を起動して更新履歴を確認したらキャプチャーした図で分かるように2度記録されていました.
KB890830

自動処理で適用後にも Microsoft Baseline Security Analyzer は認識していないようですが、この状態で Windows Update から「更新プログラムの確認」をさせると「このコンピューターで利用できる更新プログラムはありません。」 このまま放置しておくことにしました.

KB890830

2015年4月

2015.04.14(米国時間 第2火曜日)公開の月例更新は緊急4件、重要7件、合計11件 2015年04月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
◆ Flash Player のアップデートがありましたが、4月15日早朝にダウンロードしたインストーラーはエラーでした.委細は フラッシュを安全に閲覧する に書いています.
悪意のあるソフトウェアの削除ツール(KB890830) の4月度更新適用が変でした.Windows7, 8.1 ともに 2015年3月ファイルが適用されていました.これに気付いたので4月度のファイル Windows-KB890830-V5.23.exe 43,133 KB(32ビット版)をダウンロードして手動で適用しました.

2015年3月

2015.03.10(米国時間 第2火曜日)公開の月例更新は緊急5件、重要9件、合計14件 2015年03月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
私の環境(Windows7, Windows8.1)では自動更新後に再起動が必要でした.
Windows7 で Office2013 を入れてあるパソコンでは更新35個が処理されました.
2月16日(月)から3月16日(月)は確定申告の期間ですが、国税庁確定申告特集を利用して申告書作成・印刷をしている知人から緊急連絡があり、出かけてお手伝いしました.
『h26*****.pdfにはウィルスが含まれている為削除されました』というメッセージが出てダウンロードも印刷も出来ないという問題です.
3時間ほど悪戦苦闘しましたが、結論はこのサイトと Internet Explorer の相性問題だろうと考え、いつも持ち歩いている Firefox 最新バージョンのインストーラーを使って、この方のパソコンに初めて Firefox をインストールして使っていただいたら、昨年同様に処理出来るということで一件落着しました.
この問題はサイトの作りなど時間がある時にでも少し調べてみたいと思っていますが、かなり以前に見た時と違って Internet Explorer 以外のブラウザが使えるようになっていたので少しは進歩したとは思いました.

2015年2月

2015.02.10(米国時間 第2火曜日)公開の月例更新は緊急3件、重要6件、合計9件 2015年02月のマイクロソフト セキュリティ情報
リストは Microsoft KB と MS の関連付け に記録しています.
私の環境(Windows7, Windows8.1)では自動更新後に再起動が必要でした.
Adobe Reader に更新は無く、Flash Player は2月6日に 16.0.0.305 にアップデートされました・・・フラッシュを安全に閲覧する

MS14-083 Microsoft Excel の脆弱性により、リモートでコードが実行される (3017347) 更新されたので確認しました.

2015年1月

2015.01.14(水)公開の月例更新は緊急1件、重要7件、合計8件 2015年01月のマイクロソフト セキュリティ情報
私は Windows7 以後 Windows Update に任せることにしましたので、更新後の履歴を確認してみました.Windows8.1 で確認して再起動する前の表示をキャプチャーした画像を下に掲載します.日常的には Windows Defender のアップデート確認をしています.

自動アップデートのインストールと再起動のタイミングはパソコンの設定により異なるようです.
マイクロソフトのセキュリティ対策月例更新が毎月第2火曜日(米国時間)に行なわれることをカレンダーにマークしておくと、再起動要求に対応することを予定してパソコン作業を進めることができます.

2015年1月14日、Windows8.1の更新履歴
Windows8.1の更新履歴
3019215 ms15-008 重要 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される
3014029 ms15-007 重要 ネットワーク ポリシー サーバーの RADIUS 実装の脆弱性により、サービス拒否が起こる
(Windows8.x は適用不要)
3004365 ms15-006 重要 Windows エラー報告の脆弱性により、セキュリティ機能のバイパスが起こる
3022777 ms15-005 重要 Network Location Awareness Service の脆弱性により、セキュリティ機能のバイパスが起こる
3025421 ms15-004 重要 Windows コンポーネントの脆弱性により、特権が昇格される
3021674 ms15-003 重要 Windows User Profile Service の脆弱性により、特権が昇格される
3020393 ms15-002 緊急 Windows Telnet サービスの脆弱性により、リモートでコードが実行される
(既定では、Telnet は Windows Vista 以降の影響を受けるリリースにはインストールされません。このサービスを手動でインストールし、有効にしたユーザーのみが、この問題の影響を受ける可能性があります。)
3023266 ms15-001 重要 Windows Application Compatibility Cache の脆弱性により、特権が昇格される

履歴の最初にあるように、Windows8.1 の Internet Explorer 用 Flash Player は月例更新時に自動更新されて更新履歴に記録されます.KB ページは1月14日の更新では次の通り、これは日付が変るだけでページ・アドレスは同じです.
KB3024663 Microsoft security advisory: Update for vulnerabilities in Adobe Flash Player in Internet Explorer: January 13, 2015
Flash Player についてマイクロソフト自動更新の対応は Internet Explorer 用だけなので、Firefox など他のブラウザ用は自分で更新する必要があります.私は 「フラッシュを安全に閲覧する」 記事も書いています.

更新履歴の中で、KB3019978 このKB番号に対応する月例更新のMS番号が無いので確認すると、 support.microsoft.com/kb/3025421 MS15-004: Windows コンポーネントの脆弱性により、特権の昇格: 2015年1月13日、に含まれていることが確認できます.

悪意のあるソフトウェアの削除ツール(KB890830) は WindowsXP に適用できます.WindowsXP パソコンをネット接続して使うと、このパッチだけは自動的に更新通知がでます.私はこのファイル単体でダウンロードしておいて WindowsXP に適用してからネット接続する場合もあります.
2015年1月のパッチは、Windows-KB890830-V5.20.exe 36,179 KB でした.

事前通知の廃止について 2015.01.09

マイクロソフトは以下のように月例更新の事前通知を廃止しましたので、このページ及び関連して作成していた 「Microsoft KB と MS の関連付け」 ページは、2015年1月14日(日本時間)に公開予定の情報を確認し、継続する意味があるかどうか検討します.(1月公開情報はこれまでの継続でしたので、MSKBのリストも継続することにしました 2015.01.14)

2015年1月8日 (米国時間) より、マイクロソフトがお客様に事前通知サービス (ANS) をお届けする方法を変更いたしました。今後、マイクロソフトは ANS 情報をお客様との直接的なコミュニケーション チャネルを通じて提供し、本マイクロソフト プロダクト セキュリティ警告サービス、ブログ投稿および Web ページでのこの情報の一般提供を廃止いたします。

廃止されたのは、「セキュリティ情報 事前通知 ウェブサイト」と 「マイクロソフト プロダクト セキュリティ警告サービスにおける事前通知に関するメール連絡」です.私は通知メールを受信していましたので、1月9日に着信したメールでこの件を知りました.

「セキュリティ情報 事前通知」ANS : Advance Notification Service は2004年11月に始まった制度で、予定されているセキュリティ情報の一般的な要約を、各月の定期的なセキュリティ情報のリリースの3営業日前に公開するものでした.2014年12月まで10年間続いていたことになります.

これまでの「セキュリティ情報事前通知のページ」 technet.microsoft.com/ja-jp/security/bulletin/advance にアクセスすると、「2015 年にマイクロソフトの事前通知サービス (ANS) を変更」(日本のセキュリティチームのブログ記事)に自動ジャンプします.この記事の原文は、Evolving Microsoft's Advance Notification Service in 2015 (8 Jan 2015 8:00 AM)

My Security Bulletins Dashboard このページを利用するにはマイクロソフトに登録したメールアドレスとパスワードが必要です.