米Microsoftの最高執行責任者であるケビン・ターナー氏が、昨日に開催された「Credit Suisse Technolgy conference」の際の会見で、同社が2015年の晩夏から初秋に「Windows 10」をリリースする予定でいる事を明らかにしました。
Neowinでは、数週間前にMicrosoftは「Windows 10」のRTMは来年8月を目標としているとの情報を聞いていたようで、この情報の裏付けはとれていないものの、今回のケビン・ターナー氏の発言からしても7〜8月にRTMを迎える事になりそうです。
また、アメリカでは9月の秋分の日あたりから”秋”が始まると言われているので、「Windows 10」は2015年9月〜10月前半に発売されるものと予想されます。
本日、Microsoftが、フランスやイタリアなどの国々の「Windows Phone Developer Preview」ユーザーに対し、音声アシスタント機能「Cortana」の提供を開始した事を発表しました。
提供が開始されたのは、フランス、イタリア、スペイン、ドイツの4カ国で、まだ一部機能が利用出来ないアルファ版になり、将来的にベータ版の提供も計画しているそうです。
本日、米Microsoftが、スマートフォン向け電子メールアプリケーションの米Acompliを買収した事を発表しました。
「Acompli」は「OneDrive」「Microsoft Exchange」「Office 365」「Outlook.com」「Dropbox」「Google Drive」「iCloud」などをサポートしており、カレンダー機能を統合していたり、メールを自動で振り分ける機能やクラウドストレージからのファイル共有が手軽に行えることなどが特徴のメールアプリとなっています。
なお、今後数ヶ月に渡り、新機能や製品計画の詳細を公開する予定で、既存のアプリとアカウントについては引き続き利用可能とのこと。
Acompli Email
価格:無料 (記事公開時)
Microsoftは米国時間11月11日、「Windows」、「Internet Explorer」、「Office」に存在する32件の脆弱性を修正する14件のセキュリティアップデートを公開した。今回に向けてスケジュールされていた2件のアップデートが延期されており、これらについては公開日は未定だ。
最も深刻度が高い脆弱性は、リモートから認証なしでWindowsサーバを攻撃できる可能性がある、MS14-066だろう。
脆弱性のうち2つは、すでに攻撃方法が出回っている。Microsoftはそのうち1件について、既知の攻撃をブロックする「Fix it」をすでに公開している。
- MS14-064:Windows OLEの脆弱性により、リモートでコードが実行される(3011443)-- 2つの脆弱性により、「PowerPoint」などのOLEクライアントを通じてシステムが不正アクセスされる可能性がある。そのうち1つはすでに攻撃が出回っており、MicrosoftがFix itを提供している。このFix itは特定の攻撃方法のみに対処するものだったが、今回のアップデートでは原因となる脆弱性そのものを修正している。
- MS14-065:Internet Explorer用の累積的なセキュリティ更新プログラム(3003057)-- このアップデートでは、Internet Explorerに存在する17件の脆弱性を修正している。その多くは深刻度が緊急にレーティングされており、すべてのバージョンのIEが影響を受ける。
- MS14-066:Schannelの脆弱性によりリモートでコードが実行される(2992611)-- これは極めて深刻な脆弱性で、攻撃者は特別に細工したパケットを送信するだけで、「Windows Server」上で高い特権でコードを実行することができる。
- MS14-067:Microsoft XMLコアサービスの脆弱性により、リモートでコードが実行される(2993958)-- 悪意を持って細工されたウェブサイトにアクセスすると、Internet Explorer経由でクライアントがセキュリティ侵害を受ける可能性がある。
- MS14-069:Microsoft Officeの脆弱性によりリモートでコードが実行される(3009710)-- 特別に細工されたファイルを用いることで、「Word 2007 SP3」、「Word Viewer」、Office互換機能パックSP3がセキュリティ侵害を受ける可能性がある。
- MS14-070:TCP/IPの脆弱性により、特権が昇格される(2989935)-- WindowsのTCP/IPクライアント(IPv4とIPv6の両方)に存在する欠陥により、攻撃者の特権が昇格される可能性がある。
- MS14-071:Windowsオーディオサービスの脆弱性により、特権が昇格される(3005607)-- この脆弱性を悪用するには、他の脆弱性と組み合わせて使用する必要がある。
- MS14-072:「.NET Framework」の脆弱性により、特権が昇格される(3005210)-- 「.NET Remoting」を使用するクライアントまたはサーバに特別に細工されたデータを送信することで、攻撃者の特権が昇格される可能性がある。すべてのバージョンのWindowsに影響がある。
- MS14-073:「Microsoft SharePoint Foundation」の脆弱性により、特権が昇格される(3000431)-- 認証済みの攻撃者が、Microsoft SharePoint Foundation 2010 SP2上で任意のスクリプトを実行できる可能性がある。
- MS14-074:リモートデスクトッププロトコルの脆弱性により、セキュリティ機能のバイパスが起こる(3003743)-- 攻撃者が、リモートデスクトッププロトコル(RDP)システムが適切なイベントログを残さないように仕向けられる可能性がある。ただし、Microsoftは実際に動作するコードを作成するのは現実的ではないと考えている。
- MS14-076:インターネットインフォメーションサービス(IIS)の脆弱性により、セキュリティ機能のバイパスが起こる(2982998)-- ユーザーが、IISのユーザーとIPアドレスの制約をバイパスできる可能性がある。Microsoftは実際に動作するコードを作成するのは現実的ではないと考えている。
- MS14-077:Active Directoryフェデレーションサービスの脆弱性により、情報漏えいが起こる(3003381)-- ユーザーがアプリケーションからログアウトした後にブラウザを開きっぱなしにしておいた場合、その直後に、別のユーザーがそのブラウザでアプリケーションを再び開くことができる。Microsoftは実際にこの脆弱性を悪用するのは現実的ではないと考えている。
- MS14-078:IME(日本語版)の脆弱性により、特権が昇格される(2992719)-- IME(日本語版)で、サンドボックスを回避する可能性がある。この脆弱性を悪用した攻撃はすでに出回っている。
- MS14-079:カーネルモードドライバーの脆弱性により、サービス拒否が起こる(3002885)-- ユーザーが、特別に細工されたTrueTypeフォントが置かれているネットワーク共有をWindowsエクスプローラーで参照すると、システムが応答しなくなる。
Enhanced Mitigation Experience Toolkit(EMET)を利用している人は、今回のInternet Explorerに対するアップデートを適用する前に、このツールを5.1にアップデートすべきだ。Microsoftは、今回のアップデートがバージョン5.0のEMETユーザーに問題を発生させると述べている。
Microsoftはまた、同日にAdobeが公表した脆弱性を修正するため、Internet Explorer 10および11に組み込まれるFlash Playerの新バージョンをリリースしている。同社はほかにも、セキュリティに関係しない複数のアップデートをリリースしている。
はい、入れ替え作業しますね。
今週頭に、ウォール・ストリート・ジャーナル紙(WSJ)の報道で、ハッキングによる顧客情報流出が明らかになった米大手ホームセンターのホームデポ。5,600万件のクレジットカードアカウント、5,300万件の顧客Eメールアドレスが漏れたようですが、その後の調査で、これは支払システムのセキュリティに問題があったのではないかという話がでてきました。そして、その原因の最たるものは、メインコンピューターネットワークにあるWindowsの脆弱性だという結論に至ったということです。
WSJの報道では、情報流出が明らかになったあと、すぐにマイクロソフトがセキュリティパッチで対応したということですが、時すでに遅し。ハッカーはすでにホームデポの情報あれこれにアクセスできる状態になっていたというのです。ホーム・デポは、対応策として上級役員の端末をMacBookとiPhoneに変更。
しかし、Macにすれば100%安全という話ではありません。今回のホームデポのハッキングは、自社のシステムそのものよりも、WindowsのOSの脆弱性に原因があったということですが、今後、ますますのセキュリティ対策強化が求められていきます。