インターネットのセキュリティを考える

Windows と Internet Explorer の脆弱性対策

脆弱性対策
セキュリティ目次
MSKB一覧
IE Tips
WindowsXPのパッチ
上手に使う電子メール
Windows Tips
HOME
UP  BACK

最新情報

2015年1月

2015.01.14(水)公開の月例更新は緊急1件、重要7件、合計8件 2015年01月のマイクロソフト セキュリティ情報
私は Windows7 以後 Windows Update に任せることにしましたので、更新後の履歴を確認してみました.Windows8.1 で確認して再起動する前の表示をキャプチャーした画像を下に掲載します.日常的には Windows Defender のアップデート確認をしています.

自動アップデートのインストールと再起動のタイミングはパソコンの設定により異なるようです.
マイクロソフトのセキュリティ対策月例更新が毎月第2火曜日(米国時間)に行なわれることをカレンダーにマークしておくと、再起動要求に対応することを予定してパソコン作業を進めることができます.

2015年1月14日、Windows8.1の更新履歴
Windows8.1の更新履歴
3019215 ms15-008 重要 Windows カーネルモード ドライバーの脆弱性により、特権が昇格される
3014029 ms15-007 重要 ネットワーク ポリシー サーバーの RADIUS 実装の脆弱性により、サービス拒否が起こる
(Windows8.x は適用不要)
3004365 ms15-006 重要 Windows エラー報告の脆弱性により、セキュリティ機能のバイパスが起こる
3022777 ms15-005 重要 Network Location Awareness Service の脆弱性により、セキュリティ機能のバイパスが起こる
3025421 ms15-004 重要 Windows コンポーネントの脆弱性により、特権が昇格される
3021674 ms15-003 重要 Windows User Profile Service の脆弱性により、特権が昇格される
3020393 ms15-002 緊急 Windows Telnet サービスの脆弱性により、リモートでコードが実行される
(既定では、Telnet は Windows Vista 以降の影響を受けるリリースにはインストールされません。このサービスを手動でインストールし、有効にしたユーザーのみが、この問題の影響を受ける可能性があります。)
3023266 ms15-001 重要 Windows Application Compatibility Cache の脆弱性により、特権が昇格される

履歴の最初にあるように、Windows8.1 の Internet Explorer 用 Flash Player は月例更新時に自動更新されて更新履歴に記録されます.KB ページは1月14日の更新では次の通り、これは日付が変るだけでページ・アドレスは同じです.
KB3024663 Microsoft security advisory: Update for vulnerabilities in Adobe Flash Player in Internet Explorer: January 13, 2015
Flash Player についてマイクロソフト自動更新の対応は Internet Explorer 用だけなので、Firefox など他のブラウザ用は自分で更新する必要があります.私は 「フラッシュを安全に閲覧する」 記事も書いています.

更新履歴の中で、KB3019978 このKB番号に対応する月例更新のMS番号が無いので確認すると、 support.microsoft.com/kb/3025421 MS15-004: Windows コンポーネントの脆弱性により、特権の昇格: 2015年1月13日、に含まれていることが確認できます.

悪意のあるソフトウェアの削除ツール(KB890830) は WindowsXP に適用できます.WindowsXP パソコンをネット接続して使うと、このパッチだけは自動的に更新通知がでます.私はこのファイル単体でダウンロードしておいて WindowsXP に適用してからネット接続する場合もあります.
2015年1月のパッチは、Windows-KB890830-V5.20.exe 36,179 KB でした.

事前通知の廃止について 2015.01.09

マイクロソフトは以下のように月例更新の事前通知を廃止しましたので、このページ及び関連して作成していた 「Microsoft KB と MS の関連付け」 ページは、2015年1月14日(日本時間)に公開予定の情報を確認し、継続する意味があるかどうか検討します.(1月公開情報はこれまでの継続でしたので、MSKBのリストも継続することにしました 2015.01.14)

2015年1月8日 (米国時間) より、マイクロソフトがお客様に事前通知サービス (ANS) をお届けする方法を変更いたしました。今後、マイクロソフトは ANS 情報をお客様との直接的なコミュニケーション チャネルを通じて提供し、本マイクロソフト プロダクト セキュリティ警告サービス、ブログ投稿および Web ページでのこの情報の一般提供を廃止いたします。

廃止されたのは、「セキュリティ情報 事前通知 ウェブサイト」と 「マイクロソフト プロダクト セキュリティ警告サービスにおける事前通知に関するメール連絡」です.私は通知メールを受信していましたので、1月9日に着信したメールでこの件を知りました.

「セキュリティ情報 事前通知」ANS : Advance Notification Service は2004年11月に始まった制度で、予定されているセキュリティ情報の一般的な要約を、各月の定期的なセキュリティ情報のリリースの3営業日前に公開するものでした.2014年12月まで10年間続いていたことになります.

これまでの「セキュリティ情報事前通知のページ」 technet.microsoft.com/ja-jp/security/bulletin/advance にアクセスすると、「2015 年にマイクロソフトの事前通知サービス (ANS) を変更」(日本のセキュリティチームのブログ記事)に自動ジャンプします.この記事の原文は、Evolving Microsoft's Advance Notification Service in 2015 (8 Jan 2015 8:00 AM)

My Security Bulletins Dashboard このページを利用するにはマイクロソフトに登録したメールアドレスとパスワードが必要です.