マイクロソフト11月のセキュリティ・アップデート

2007.11.22

■マイクロソフト11月のセキュリティ・アップデート（2007/11/14）

　11月14日，マイクソフト11月のセキュリティ・アップデートが公開されました。このアップデートで対策された「Windows URI処理の脆弱性により，リモートでコードが実行される（MS07-061）」のぜい弱性対策活動は，2007年9月20日，「Adobe Acrobat/ReaderのPDFを悪用することによって，Windowsシステムを侵害することができる。Windows XP SP2上のAdobe Reader 8.1で，この問題を確認した」という1本のぜい弱性報告の公開から始まりました。

　まず，MS07-061のぜい弱性対策活動の経過をITproの記事で振り返ってみましょう。

2007/09/20    Adobe Acrobat/ReaderのPDFに深刻なぜい弱性が存在するという報告 [1]

2007/10/05    アドビシステムズ　セキュリティ・アドバイザリ公開

2007/10/09    Adobe ReaderAcrobatに危険な脆弱性，IE7ユーザーが影響

2007/10/11    マイクロソフト，セキュリティ・アドバイザリ公開

2007/10/11    IE7とWindows XPの組み合わせに危険な脆弱性，マイクロソフトが公表

2007/10/12    Microsoft，セキュリティ研究者らの調査結果を認めてWindowsのURIハンドラを修正へ

2007/10/16    PDFを利用したぜい弱性検証コード公開

2007/10/17    「PDFファイルを開くだけでプログラム実行」ぜい弱性の実証コード出現

2007/10/19    ぜい弱性を修正した「Firefox」の新版公開，Mac版は「Leopard」に対応

2007/10/23    シマンテック Trojan.Pidief.A [2] トレンドマイクロ EXPL_PIDIEF.B [3]

2007/10/24    PDFを開くだけでマルウエアに感染，セキュリティ機関が警告
 やはり出てきた，例のアドビの脆弱性を突く「PDFウイルス」

2007/10/25    IEのセキュリティ・ホールを突く新たなPDF攻撃が次々出現
 「PDFウイルス」が国内でも確認，メール添付のPDFファイルに注意

2007/11/14    マイクロソフト，セキュリティ・アップデート公開

2007/11/14    Windowsの修正パッチ公開，「PDFウイルス」が突く脆弱性などを修正

　この他の対策活動の経過は，JVNに掲載されているTRnotes「TRTA07-297B：Microsoft WindowsにおけるURI処理の脆弱性に対するAdobe製品のアップデート」，「TRTA07-317A：Microsoft製品における複数の脆弱性」を参照してください。

　最後に，マイクロソフト11月のセキュリティ・アップデートについて，CVSSの評価値，検証情報とインシデントの一覧を確認しておきましょう。

番号	CVE （JVN）	CVSS		検証情報	インシデント
番号	CVE （JVN）	基本値	現状値[*]	検証情報	インシデント
MS07-061	Windows URI処理のぜい弱性
MS07-061	CVE-2007-3896[**]	9.3	8.1	[4]	[2][3]
MS07-062	DNSのなりすまし攻撃のぜい弱性
MS07-062	CVE-2007-3898	7.8	5.8	-	-

[1] http://www.gnucitizen.org/blog/0day-pdf-pwns-windows
[4] BID25945: Microsoft Windows URI Handler Command Execution Vulnerability

[*] 検証情報が公開されていない場合やインシデントが知られていない場合には，「攻撃される可能性」に関して，実証コードや攻撃コードが利用可能でない，攻撃手法が理論上のみで存在していると評価しています。
[**] 同様の影響を伴う Adobe 製品の脆弱性には別識別子CVE-2007-5020が，Mozilla 製品のぜい弱性には別識別子CVE-2007-4841が割り当てられています。

HIRT （Hitachi Incident Response Team）とは

HIRTは，日立グループのCSIRT連絡窓口であり，ぜい弱性対策，インシデント対応に関して，日立グループ内外との調整を行う専門チームです。
ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動，インシデント対応とは発生している侵害活動を回避するための活動です。
HIRTでは，日立の製品やサービスのセキュリティ向上に関する活動に力を入れており，製品のぜい弱性対策情報の発信や CSIRT 活動の成果を活かした技術者育成を行っています。

2007/09/20		Adobe Acrobat/ReaderのPDFに深刻なぜい弱性が存在するという報告 [1]
2007/10/05		アドビシステムズ　セキュリティ・アドバイザリ公開
2007/10/09		Adobe ReaderAcrobatに危険な脆弱性，IE7ユーザーが影響
2007/10/11		マイクロソフト，セキュリティ・アドバイザリ公開
2007/10/11		IE7とWindows XPの組み合わせに危険な脆弱性，マイクロソフトが公表
2007/10/12		Microsoft，セキュリティ研究者らの調査結果を認めてWindowsのURIハンドラを修正へ
2007/10/16		PDFを利用したぜい弱性検証コード公開
2007/10/17		「PDFファイルを開くだけでプログラム実行」ぜい弱性の実証コード出現
2007/10/19		ぜい弱性を修正した「Firefox」の新版公開，Mac版は「Leopard」に対応
2007/10/23		シマンテック Trojan.Pidief.A [2] トレンドマイクロ EXPL_PIDIEF.B [3]
2007/10/24		PDFを開くだけでマルウエアに感染，セキュリティ機関が警告やはり出てきた，例のアドビの脆弱性を突く「PDFウイルス」
2007/10/25		IEのセキュリティ・ホールを突く新たなPDF攻撃が次々出現「PDFウイルス」が国内でも確認，メール添付のPDFファイルに注意
2007/11/14		マイクロソフト，セキュリティ・アップデート公開
2007/11/14		Windowsの修正パッチ公開，「PDFウイルス」が突く脆弱性などを修正

■マイクロソフト11月のセキュリティ・アップデート（2007/11/14）

あなたにお薦め

今日のピックアップ

就活生1300人がイメージする「DXが進んでいる会社」、5業界のトップ20を一挙紹介

偽ログイン画面をユーザーに合わせて変更、新手のフィッシング詐欺の脅威を認識せよ

富士通撤退でも「最後まで走り抜く」、ATM監視最大手のSocioFuture菅原社長

「今月は残業をつけず、来月に回して」と改ざん指図する上司に困るITエンジニア

セブン銀行のATM顔認証サービス、ディープフェイク対策を強化し1年遅れで提供開始

なぜChatGPTでデータ分析ができるのか、秘密は「Python環境」の一体化

Excelのセル上に表示される「Copilot」アイコンからAIを素早く使う

AIエージェントの外部ツール連係、MCPとFunction Callingが欠かせない存在に

OpenAIが「GPT-4.1」を提供開始、コンテキストウインドーは100万トークン

Googleフォトの写真を人物や撮影場所で検索、秘密の写真はフォルダ移動で対象外に

OneDriveの1TBプランなら最新のデスクトップ版Office付き、Copilotも使える

IIJの400万超アカウントに顧客情報漏洩の可能性、メールセキュリティーサービスで

注目記事

約7割がAIによる顧客対応を評価、1万人調査で分かったCX先進企業への道

開発者不足にはやはり生成AI、技術者も一般ユーザーも楽になる2つの使い方

オフィス回帰が生む油断、“いつの間にか空いた”サイバー攻撃の抜け穴をふさげ

おすすめのセミナー

CIO養成講座 【第37期】

意思が伝わる、資料が見違える「ビジネス図解」4つのセオリー

「なぜなぜ分析」演習付きセミナー実践編

業務改革プロジェクトリーダー養成講座【第18期】

IT法務リーダー養成講座

ITリーダー養成180日実践塾 【第15期】

注目のイベント

DLC Server & Datacenter Summit (DSDS25) 東京ナイト

【4月22日】大幅コスト増の「仮想化問題」、AI時代にITインフラをどう見直すか

AIトレンドFORUM 2025

【4月23日】話題の能動的サイバー防御、従来のセキュリティ対策と何が違う？

【4月24日】押さえておきたい最新ハイパーバイザーの特徴、60分で徹底解説

【4月25日】NVIDIAと語る最先端のAIユースケース、展示コーナーで体験も可能

Cyber Identity Foresight 2025

経営課題解決シンポジウム ～経営×AI編～

付加価値ある意匠デザインを実現するものづくり技術2025

【5月29日】「エッジAI×最新半導体」がもたらす未来 ～Avnet Tech Day 2025

おすすめの書籍

ChatGPT ＆生成AI 実践活用ガイド

SDV革命 次世代自動車のロードマップ2040

PCトラブル自力解決マニュアル

これ1冊で丸わかり 完全図解 最新セキュリティー

AWSクラウド設計完全ガイド

Word 最速時短術 ［増補新版］

日経BOOKプラスの新着記事

はじめに：『日本の優秀企業研究 企業経営の原点 6つの条件（日経ビジネス人文庫）』

ソフトバンク部長にソニー生命社員…詐欺等で逮捕後の「反省の言葉」

人は、選択肢が多過ぎると「選ばないこと」を選ぶ

DeNA南場智子が見る優秀な人 素直だけど頑固、頑固だけど素直

仲野徹「2040年の未来へ、この本を頭に入れて生きていくといい」

はじめに：『ゲーム理論入門（日経文庫）』

聖光学院・野谷教諭「言葉の力、文学の力をかみしめる本」

アフラック「がん保険」は悪くなかった 65歳から給付金半額の意味

NVIDIA、なぜ世界が注目？ AI最強企業を知るための7つの疑問

今日から使える、「よい説明」のテクニック

日経クロステック Special

What's New

経営

クラウド

アプリケーション／DB／ミドルウエア

運用管理

サーバー／ストレージ

クライアント／OA機器

セキュリティ

この機能は会員登録（無料）で使えるようになります

フォロー連載・特集

設定

CIO養成講座【第37期】

ITリーダー養成180日実践塾　【第15期】

経営課題解決シンポジウム～経営×AI編～

【5月29日】「エッジAI×最新半導体」がもたらす未来　～Avnet Tech Day 2025

SDV革命　次世代自動車のロードマップ2040

これ1冊で丸わかり完全図解最新セキュリティー

Word 最速時短術［増補新版］

はじめに：『日本の優秀企業研究　企業経営の原点 6つの条件（日経ビジネス人文庫）』

DeNA南場智子が見る優秀な人　素直だけど頑固、頑固だけど素直

アフラック「がん保険」は悪くなかった　65歳から給付金半額の意味

NVIDIA、なぜ世界が注目？　AI最強企業を知るための7つの疑問