Windows システム上の Spectre および Meltdown に対する緩和策のパフォーマンスへの影響について

先週、テクノロジ業界およびお客様の多くは、携帯電話や PC、サーバーに搭載されているハードウェア チップの新しい脆弱性について知りました。マイクロソフト (および業界内の企業) では、数か月前に機密保持契約のもとでこの脆弱性の存在を知り、直ちに緩和策の開発を開始し、クラウド インフラストラクチャの更新に取り掛かりました。本ブログでは、発見された脆弱性についてできる限り明確に説明し、お客様が安全を保つためにできることと、パフォーマンスへの影響について現時点で把握している内容について解説します。


2018 年 1 月のセキュリティ更新プログラム (月例)

2018 年 1 月 10 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。注: 1 月 4 日 (日本時間) のアドバイザリ ADV180002 の公開に伴い、Windows とブラウザー (Internet Explorer/Microsoft Edge)、SQL Server のセキュリティ更新プログラムは 1 月 10 日より前に定例外で公開済みです。


2016 年 9 月のセキュリティ情報 (月例) – MS16-104 ~ MS16-117

2016 年 9 月 14 日 (日本時間)、マイクロソフトは計 14 件 (緊急 7 件、重要 7 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 2 件の公開を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに Win32/NightClick、Win32/Prifou、Win32/Suweezy および Win32/Xadupi に対する定義ファイルが追加されています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。


2015 年 12 月のセキュリティ情報 (月例) – MS15-124 ~ MS15-135

2015 年 12 月 9 日 (日本時間)、マイクロソフトは計 12 件 (緊急 8 件、重要 4 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 1 件の公開、および、既存のセキュリティ アドバイザリ 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェア Win32/Winsec に対応しています。 脆弱性が公開されているもの、また悪用を確認しているものもありますので、お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。 ■最新ではないバージョンの Internet Explorer のサポート終了について 2016 年 1 月 13 日 (米国時間) 以降、サポートされるオペレーティング システム向けの最新のバージョンの Internet Explorer (IE) のみが、セキュリティ更新プログラムおよび技術サポートの対象となり、それ以外の古いバージョンの Internet Explorer のサポートが終了となります。マイクロソフトでは IE の潜在的な脆弱性を日々修正していますが、提供当時の環境を前提として開発された古いバージョンの IE では年々進化しているセキュリティの脅威に対応することが難しくなっています。安全に Web をご利用いただくためにも、サポートされるバージョンの Internet Explorer にアップグレードされることをお勧めします。詳細についてはこちらのページもご確認ください。…


セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開

2015 年 3 月 25 日、セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。 (日本語サイトは現在準備中です。準備ができ次第公開いたします) 3/26 更新:日本語サイトを公開いたしました   概要 証明機関から発行されるデジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。マイクロソフトでは、証明機関と提携し、信頼される証明書および信頼できない不正な証明書の更新を行っています。今回、デジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。  今回、不正に発行されたのは、MCS Holdings 中間証明機関が発行した証明書です。MCS Holdings は、China Internet Network Information Center (CNNIC) をルート証明機関に持つ、中間証明機関です。不正な証明書の信頼を排除するために、以下の証明書の信頼を排除する更新を行いました。   証明書 発行元 拇印 MCSHOLDING TEST CNNIC ROOT e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5…