古いバージョンの Java ActiveX コントロールのブロックを開始しました

先日、[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能でもご紹介したとおり、本日 2014 年 9 月 9 日 (米国時間)/2014 年 9 月 10 日 (日本時間) から、古いバージョンの Java の ActiveX コントロールのブロックを開始しました。 これにより、古いバージョンの Java ActiveX コントロールを利用している場合、Internet Explorer の通知バーに「Java(TM) は、最新のものではなく更新が必要なためブロックされました。」という警告が表示されます。警告が表示されたら、Java ActiveX を最新版に更新を行うか、更新をせず、そのまま利用を続けるかを選択することができます。   ActiveX コントロールがブロックされた場合 1. Internet Explorer を利用して、インターネットを閲覧している際に、以下の警告が表示される場合があります。  Internet Explorer 8 の場合   Internet Explorer 9 以降の場合    この警告表示は、セキュリティ保護の観点から、古いバージョンの ActiveX コントロールを利用していることをお知らせするために、表示されています。   2. 警告が表示されたら、[更新]…


[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。 —————————————————————————- このブログでは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明している脆弱性について、ユーザー別に推奨する回避策を記載しています。このブログでは、お客様環境に合わせて設定しやすい回避策を記載していますが、その他の回避策やすべての回避策を実施していただいても問題ありません。 ■ 回避策 セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。 個人のお客様 ※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。   Windows Vista をお使いのお客様: VML の無効化を実施してください。   32 ビット (x86) 版の Windows 7 以降のオペレーティング システムをお使いのお客様: VML の無効化を実施してください。   64 ビット (x64) 版の Windows 7 以降のオペレーティング システムをお使いのお客様: Internet…


セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開

[2014/3/12 追記] セキュリティ情報 MS14-012 を公開し、本脆弱性に対処したセキュリティ更新プログラムを公開しました。 2014 年 2 月 20 日、マイクロソフトは、セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開しました。    このアドバイザリは、Internet Explorer 9 および10 において確認されている脆弱性の説明、および脆弱性から保護するための緩和策と回避策を提供しています。この脆弱性が悪用された場合、ユーザーが悪意のある WEB サイトを訪問した際に、リモートでコードが実行される可能性があります。  この脆弱性の悪用報告は、現在のところInternet Explorer 10を対象とした限定的な標的型攻撃のみですが、アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。  ■ 影響を受ける環境 Internet Explorer 9 および Internet Explorer 10   詳細は以下の表をご確認ください。   Windows XP/ Windows Server 2003 Windows Vista/ Windows Server 2008 Windows 7/ Windows Server 2008 R2 Windows…


IE9 にアップグレードすると言語パックがインストールできない現象

2012/4/17 更新: IE9 にアップグレードすると言語パックがインストールできない問題は、4 月 14 日に修正されました。現在は、この問題は発生いたしません。既に問題に遭遇されている場合は、下記解決方法を実施してください。   2012 年 4 月 11 日 (日本時間) 以後、Windows Vista で Internet Explorer (IE) 7 または 8 をご使用のお客様が、自動更新、Windows Update もしくは手動で IE9 にアップグレードした場合、インストール後の IE9 の表記が英語になり言語パックのインストールに失敗する現象が報告されています。 マイクロソフトは 2012 年 4 月 11 日 (日本時間) に月例のセキュリティ更新プログラムを公開し、Internet Explorer (IE) の累積セキュリティ更新 MS12-023 (KB2675157) を公開しています。現在 MS12-023 との関連性も含めて本現象の調査を行っています。 現象詳細0.  MS12-023 (KB2675157) が予めインストールされていてもいなくても結果は同じです。1.  Windows Vista 上で IE7 または…


Internet Explorer を自動アップグレードするセキュリティ上のメリット

先日、日本マイクロソフトの公式ブログにて、日本における Internet Explorer (IE) の自動アップグレードについてご案内しました。3 月中旬より、Windows Update の自動配信により、Windows XP SP3 をご利用のお客様は、Internet Explorer 8 に、Windows Vista SP2 および Windows 7 RTM/SP1 をご利用のお客様は、Internet Explorer 9 に順次自動アップグレードされます。自動アップグレードに際してのお客様の操作は不要です。 以前 IE のセキュリティ機能の進化と題したブログでご紹介したように、新しいバージョンの IE は多くのセキュリティ機能を実装しています。例えば、IE9 におけるソーシャル エンジニアリング型マルウェアの検出率は 99% を誇り、他ブラウザーの群を抜いています。この検出率が低いブラウザーでは、Web サイトを閲覧しただけでマルウェアに感染したりフィッシングなどの被害に遭遇する可能性が高くなります。現実的には、どのサイトが安全かを常に見極めて Web を閲覧することはなかなか難しいので、ブラウザーがその役割を果たしてくれるのはとても心強いですね。 新しいバージョンの IE ではその他にも、クロスサイトスクリプティングに対するフィルターや、特定の Web サイトのコンテンツがユーザーの閲覧行動を追跡できないようにする追跡防止機能など、さまざまなセキュリティおよびプライバシー保護の強化を行っています。この機会に是非アップグレードを行い、より安全にインターネットをお楽しみください。 なお、企業のお客様で、独自のアップグレード計画をお持ちの場合、自動配布を無効にする無効化ツールキット (IE8 用 / IE9 用) をお使いいただくことで、ブラウザーのアップグレードを管理することができます。なお、WSUS、SCCM (System Center Configuration Manager)、Windows Intune をご利用の企業のお客様は、自動アップグレードの対象とはなりません。詳細については、下記ブログをご参考ください。 参考…


MS12-006 SSL/TLS の脆弱性のちょっと詳しい解説

マイクロソフトは、2012 年 1 月SSL/TLS の脆弱性 (CVE-2011-3389) を解決するセキュリティ更新プログラム MS12-006 を公開しました。この脆弱性は、SSL プロトコルと TLS プロトコルに関するもので、業界全体で対応が進められています。しかし、残念ながら、脆弱性の修正により互換性の問題が生じ、Internet Explorer を含むブラウザーで一部の Web サイトに対する HTTPS 接続ができなくなるなどの影響が出ました。そもそも、この脆弱性はどういった内容で、なぜ問題が起きたか、問題が起きた後にはどう対処すればよいかについて解説します。 脆弱性の概要 SSL/TLS の CBC (ブロック暗号化) モードの脆弱性の存在は、10 年ほど前から知られていました。しかし、理論上は暗号を破ることが可能なものの効率的な攻撃方法は見つかっていませんでした。ところが最近、Juliano Rizzo、Thai Duong の両氏によって SSL/TLS で保護された通信に対する情報解読攻撃について詳述した論文が公開されました。これは、下記の条件が整っている場合、HTTPS 通信の一部の内容が解読可能になるというものです。 攻撃者はクライアントに任意の HTTPS パケット送信させることが可能 (何らかの方法で) 攻撃者は HTTPS 通信を盗聴可能 SSL/TLS で CBC モードが選択されている CBC モード (データをブロック単位で暗号化する方式) でブロック内のデータのすべてが不明な場合、解読は非常に困難ですが、1 バイトだけ不明で残りのデータは判明している場合、1 バイトの情報をブルートフォース (総当たり攻撃) で解読することが可能です。そして今回発表された攻撃方法は、SSL/TLS で暗号化されていてもパケットの中身が推測可能という HTTP 通信の特徴を利用して、1 バイト解読を繰り返すことで、一定時間内に Cookie…