セキュリティホール memo - 2005.04

Last modified: Wed Dec 26 11:16:28 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2005.04.30

追記

SYM05-007: Symantec AntiVirus RAR archive bypass

 SYM05-007: Symantec AntiVirus に RAR アーカイブをバイパスする脆弱性 (シマンテック)。


2005.04.28

SYM05-007: Symantec AntiVirus RAR archive bypass
(Symantec, 2005.04.28)

 シマンテックの Windows 用アンチウイルスプロダクトに欠陥。 具体的には、 Symantec Web Security, Symantec Mail Security for SMTP, Symantec AntiVirus Scan Engine, Symantec SAV/Filter for Domino NT, Symantec Mail Security for Exchange, Symantec Norton AntiVirus 2005, Symantec Norton Internet Security 2005 , Symantec Norton System Works 2005 に欠陥がある。 RAR ファイルの検査において、特殊な RAR を展開しようとすると展開コンポーネントがクラッシュしてしまう場合がある。この結果、当該 RAR ファイル内にウイルスが格納されていても検査されないままになってしまう。

 修正版がすでに存在する。LiveUpdate 等で最新の patch を適用してあれば、修正された版以降になっているはずのようだ。詳細については SYM05-007 を参照。 手元の LiveUpdate してある Norton AntiVirus 2005 のバージョンは 11.0.9.16 になっており、 本件の修正バージョン 11.0.9 を満足している。

2005.04.30 追記:

 SYM05-007: Symantec AntiVirus に RAR アーカイブをバイパスする脆弱性 (シマンテック)。

Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り
(ITmedia, 2005.04.28)

 問題のサイト Googkle.com をちょっと見てみたのですが、確かにいろいろ仕掛けられているようで。いやはや。仕掛けのひとつ counter.jpg の中身はこんな感じ:

% unzip -l counter.jpg 
Archive:  counter.jpg
  Length     Date   Time    Name
 --------    ----   ----    ----
    19952  07-09-04 18:03   Counter.class
      240  07-09-04 18:03   Gummy.class
        0  07-09-04 18:03   META-INF/
       71  07-09-04 18:03   META-INF/MANIFEST.MF
      902  07-09-04 18:03   VerifierBug.class
     3400  07-09-04 18:03   Worker.class
     1263  07-09-04 18:03   Xeyond.class
     8992  04-24-05 18:52   web.exe
 --------                   -------
    34820                   8 files

 このうち MANIFEST.MF は

Manifest-Version: 1.0
Created-By: 1.3.0_02 (Sun Microsystems Inc.)

というだけのファイルなのでいいのですが、他は全部アレなファイルです。 Gummy.class や web.exe をウイルス判定しないプロダクトがけっこうあるので注意。 web.exe については、AVG / Dr.Web / F-Prot / Kaspersky / mks_vir / VBA32 / McAfee は検出した。Norton AntiVirus 2005 (20050427.008) や Trendmicro (Virus Scanner v3.1, VSAPI v7.510-1002 / Pattern number 2.604.00) では検出しなかった。

2005.05.02 追記:

 Handler's Diary April 30th 2005 (SANS ISC) によると、当該ドメインの DNS エントリが削除された模様。 googkle.com の他にもいろいろあったみたいです。

追記

Adobe Reader/Acrobatにセキュリティ・ホール,ハングアップさせられる恐れあり

 アドビシステムズ社Adobe Acrobat ReaderおよびAdobe Readerの脆弱性に関するお知らせ (富士通, 2005.04.21)。製品添付 CD-ROM 内の Acrobat Reader / Adobe Reader に関する文書。

メディア・JRなどLAN障害、ウイルス対策で不具合

 ウイルスパターンファイルに関する問題について (トレンドマイクロ) というページができています。

いろいろ (2005.03.19)

 DSA-717-1 lsh-utils -- buffer overflow, typo (Debian GNU/Linux, 2005.04.27)

Stable CVS Version 1.11.20 Released! * Security Update *

2005.04.27

追記

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ

 「ぼくはまちちゃん」 ——知られざるCSRF攻撃 (@IT, 2005.04.27)

Stable CVS Version 1.11.20 Released! * Security Update *
メディア・JRなどLAN障害、ウイルス対策で不具合
TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 副作用情報:

2005 年 4 月のセキュリティ情報

 Windows インストーラ 3.1 をインストールすると、修正プログラムによっては適用に失敗する可能性がある (updatecorp.co.jp)。

Windows インストーラの呼び出し時に完全サイレント インストールのためのオプションを指定すると、適用に失敗します。

 4 月の Windows Update の日に Windows インストーラ 3.1 も配布されていますが、互換性に少々難があるようです。


2005.04.26

Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023)
(Microsoft, 2005.04.13)

 なんだか old news ですが……

 Microsoft Word 2000 (Office 2000), Word 2002 (Office XP), Word 2003 (Office 2003) に 2 つの欠陥。

 patch があるので適用すればよい。ふつうの人は Office Update を使うのがよいだろう。

追記

メディア・JRなどLAN障害、ウイルス対策で不具合

 今回の事象については、日経 IT Pro の一連の記事がいちばんまとまっている感じです。

 あと、こんな記事も:

 日本政府ご用達、ですしねえ。

2005.04.26 深夜 追記:

 エバ・チェン社長が日本に到着されたようです。

 一方、トレンドマイクロのサポート情報が大幅に更新されています。

 Windows XP SP2、Windows Server 2003 gold / SP1 は欠陥が高い確率で発現するが、Windows Me や Microsoft Office XP (を塔載した PC) でも低い確率ではあるが発現する、とされています。 2ch.net では「Windows 2000 だけど発現した」という報告が出ていたけど、こういうことだったのかな。

 また、全国無料出張サポートと全国 CD 配布を行うそうです。

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 副作用情報:


2005.04.25

MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)
(Microsoft, 2005.04.13)

 なんだか old news ですが……。

 MSN Messenger 6.2 / MSN Messenger 7.0 βに欠陥。細工した GIF ファイルによって任意のコードを実行可能。MSN Messenger 7.0 正式版にはこの欠陥はない。

 修正版 MSN Messenger 6.2 が用意されているのでインストールすればよい。 MSN Messenger 7.0 正式版にアップグレードすることで対応するのもよいだろう。

 関連:

Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021)
(Microsoft, 2005.04.13)

 なんだか old news ですが……

 Exchange 2000 SP3, Exchange 2003 gold / SP1 に欠陥。 SMTP サービスにおける、特定の拡張コマンドを処理する部分 (xlsasink.dll) に buffer overflow する欠陥があるため、remote から任意のコードを実行可能。

 patch があるので適用すればよい。ただし、Exchange 2000 用の patch をインストールするには、 SP3 の他、2004 年 8 月公開の Exchange 2000 Server Service Pack 3 以降の更新プログラムのロールアップ をあらかじめインストールしておく必要がある。 また patch をインストールすると、Exchange 2000 の場合でも、Exchange 2003 と同様の認証が事前に必要となる。

 関連:

SNS Advisory No.80: nProtect:Netizen Arbitrary File Download Vulnerability
(LAC SNS, 2005.04.25)

 nProtect:Netizen Ver.2005.4.20.1 より前に欠陥。nProtect:Netizen のアップデート機能に欠陥があり、任意のファイルを任意の場所に保存させるなどの悪業が可能となる。Ver.2005.4.20.1 以降で修正されている。nProtect:Netizen を起動することにより、自動的に更新される。 関連:

 nProtect:Netizen については以下も参照:

 SAISON CARDホームページにてnProtect Netizenサービス開始 (npro-shop.jp) ですか……。

いろいろ
(various)

追記

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ

 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? (ITmedia, 2005.04.23)

メディア・JRなどLAN障害、ウイルス対策で不具合

 続報など:

Stable CVS Version 1.11.20 Released! * Security Update *

2005.04.24

追記

メディア・JRなどLAN障害、ウイルス対策で不具合

 続報など。@IT の記事が詳しい。

 ウイルスパターンファイル2.594.00(日本時間:AM7:33頃公開)へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ) は随時改訂されている。事象は、ウイルス検索エンジンが 7.5xx の場合にのみ発生していたようだ。まあ、ふつうは 7.510 を使っているはずなわけなのだが。

原因
Ultra Protect圧縮ファイルを解凍、検索するためのパターンファイルの問題
※原因については、引き続き調査中です。

 Ultra Protect というのは、これ のことか?

 さらに続報:

 さらに続報 (22:53):


2005.04.23

メディア・JRなどLAN障害、ウイルス対策で不具合
(読売, 2005.04.23)

 Windows XP SP 2 / Server 2003 + トレンドマイクロ ウイルスバスター + パターンファイル 2.594.00 の組み合わせで CPU 100% 状態になってしまうため、 いくつもの組織で大規模な障害が発生した模様。 パターンファイル 2.596.00 で修正されている。

 報道によると、少なくとも共同通信、朝日新聞、読売新聞、日本経済新聞、産経新聞、信濃毎日新聞、JR 東日本、佐川急便、大阪市営地下鉄、富山市 (期日前投票所) で障害が発生していた模様。

 Windows XP SP2 / Server 2003 を採用し、かつパターンファイルも即刻更新しているような組織でだけ影響が発現しているのは、なんとも皮肉な話ではある。

首相官邸や内閣府、外務省などにはトラブルはなく、金融機関の現金自動預払機(ATM)への障害報告もないという。

 これらでは XP SP2 / Server 2003 を使っていないのか、あるいはパターンファイルを即刻更新しているわけではないのか。少なくとも ATM 方面はまだまだ NT 4.0 が多いと思うけど。

 土曜日だったため、土曜日でも稼働しているような組織 (インフラ系) でしか表立った障害が発現しなかったようだが、平日であればもっと大規模な状況になっていたと考えられる。正直、このところのトレンドマイクロ方面は不具合が多すぎるように思うのだが、トレンドマイクロ製品を導入・運用している組織の中の人はどのように考えているんだろう。

 関連:

2005.04.24 追記:

 続報など。@IT の記事が詳しい。

 ウイルスパターンファイル2.594.00(日本時間:AM7:33頃公開)へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ) は随時改訂されている。事象は、ウイルス検索エンジンが 7.5xx の場合にのみ発生していたようだ。まあ、ふつうは 7.510 を使っているはずなわけなのだが。

原因
Ultra Protect圧縮ファイルを解凍、検索するためのパターンファイルの問題
※原因については、引き続き調査中です。

 Ultra Protect というのは、これ のことか?

 さらに続報:

2005.04.24 22:53 追記:

 さらに続報:

2005.04.25 追記:

 続報など:

2005.04.26 追記:

 今回の事象については、日経 IT Pro の一連の記事がいちばんまとまっている感じです。

 あと、こんな記事も:

 日本政府ご用達、ですしねえ。

2005.04.26 深夜 追記:

 エバ・チェン社長が日本に到着されたようです。

 一方、トレンドマイクロのサポート情報が大幅に更新されています。

 Windows XP SP2、Windows Server 2003 gold / SP1 は欠陥が高い確率で発現するが、Windows Me や Microsoft Office XP (を塔載した PC) でも低い確率ではあるが発現する、とされています。 2ch.net では「Windows 2000 だけど発現した」という報告が出ていたけど、こういうことだったのかな。

 また、全国無料出張サポートと全国 CD 配布を行うそうです。

2005.04.27 追記:

2005.04.28 追記:

 ウイルスパターンファイルに関する問題について (トレンドマイクロ) というページができています。

2005.05.01 追記:

 関連記事:

2005.06.27 追記:


2005.04.22


2005.04.21

Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)
(Microsoft, 2005.04.13)

 IE 5.01 / 5.5 / 6 に、新たな 3 つの欠陥。

 修正プログラムがあるので適用すればよい。 ちなみに修正プログラムには、セキュリティ修正だけではなく、非セキュリティの修正も含まれている。 非セキュリティ修正も適用したい場合は、897225 - Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラムに含まれる修正プログラムをインストールする方法 (Microsoft) に従って作業すること。 含まれている非セキュリティ修正の一覧はこちら: 890923 - [MS05-020] Internet Explorer 用の累積的なセキュリティ更新プログラム (Microsoft)

追記

NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads

 ICMP attacks against TCP (Proof-of-Concept code) (MS05-019, CISCO:20050412)

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 Windows Malformed IP Options DoS Exploit (MS05-019)

メッセージ キューの脆弱性により、コードが実行される (892944) (MS05-017)

 MS05-017/892944 メッセージ・キューの脆弱性により、コードが実行される (@IT, 2005.04.19) によると、

ただしDA Labで検証したところ、Windows XP SP1/SP1aでは、明示的にMSMQをインストールしていない場合でも、Windows UpdateでMSMQを構成するファイルの一部が検出され、MSMQをインストールしていない環境でも、Windows UpdateでMS05-017の適用が必要だと判定される場合がある。具体的な影響は不明だが、この場合は念のためMS05-017を適用しておいた方が安心だろう。

だそうです。Sugawara さん情報ありがとうございます。

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ

 匿名希望さんから (情報ありがとうございます):

Ver.3 に対する対策はいちおうmixiでも 取られたようですが、根本的な対策ではないため、 mixi内での他の箇所に関しては同様の攻撃が通用するとのこと。
http://d.hatena.ne.jp/mixi_love/20050420/p6

なお、mixi ではこれまでに何度も CSRF の脆弱性が発見および報告されていますが、都度、根本的な対策がなされておらず、その場しのぎの対応で終わっています。

私が知っているだけでも

2005年2月 mixi への招待機能で CSRF
http://yamagata.int21h.jp/d/?date=20050217#p04

2005年3月
マイミクシィの強制削除およびコミュニティの強制退会に関するCSRFをmixiに報告するも、中途半端な対策のみ。

2005年4月
マイミクシィのリクエストの強制送信に関するCSRFを mixiに報告するも返答なし。IPAへ連絡、受理。

というような状況です。
telnet クライアントに複数の欠陥

 Gentoo, Vine, Debian, Heimdal 追加。

MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開

 Exploit-MSJet.gen (マカフィー)

いろいろ
(various)

2005.05.11 追記:

 Windows 2000 の Explorer の件は MS05-024 で修正されました。


2005.04.20

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
(Microsoft, 2005.04.13)

 Windows の TCP/IP 実装に 5 つの欠陥。

 patch があるので適用すればよい。なお、Windows Server 2003 SP1 にはこの欠陥はない。

 また、patch を適用すると、その副作用として TCP のウインドウサイズが 64K から 17520 バイトに減少するので注意。参照: 890345 - セキュリティ更新プログラム 893066 は Windows 2000 で TCP 受信ウィンドウの既定のサイズを SP3 以前の既定のサイズ 17,520 バイトに戻す (Microsoft)。レジストリをいじることにより、SP3 以降のデフォルト値だった 64KB に戻すことが可能。

2005.04.21 追記:

 Windows Malformed IP Options DoS Exploit (MS05-019)

2005.04.26 追記:

 副作用情報:

2005.04.27 追記:

 副作用情報:

2005.05.17 追記:

 Windows (XP, 2k3, Longhorn) is vulnerable to IpV6 Land attack. (ntbugtraq)。 patch 適用後も、IPv6 については land アタックが有効である、という指摘。

2005.05.20 追記:

 MS05-019 patch には、Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value に対する修正も含まれているそうだ。

 また Microsoft Security Advisory (899480) には、MS05-019 patch が 6 月に再リリースされる予定である、とも記載されている。 KB898060 問題が修正されるようだ。

2005.05.26 追記:

 Microsoft Security Advisory (899480) の日本語版が出ました: マイクロソフト セキュリティ アドバイザリ (899480) TCP の脆弱性により、接続がリセットされる (Microsoft)

2005.06.15 追記:

 改訂版 patch が出ています。適用しませう。

2005.06.17 追記:

 改訂版 patch を適用すると、ISS 製品の一部が動作を停止してしまうそうで:

 ISS 製品用の patch が出ているので、該当者は適用しませう。

電子申請 行政ソフトに不具合
(NHK, 2005.04.20)

法務省と岡山、山梨、大分の各県が去年から今年にかけて提供した電子申請用のソフトに欠陥があることがわかりました。

 ぐぐってみると、このあたりのお話のようです:

 どうやらお話は 2 種類あるようですね。

 NHK の報道は、後者についてのものだったようです。 また、ぐぐってみると、NHK 報道にはないのですが、こんな話がみつかりました:

2005.05.03 追記:

 電子申請システムの点検指示 (NHK, 2005.04.29)。すでに消えてしまっている (T_T) ので、以下に全文引用させていただきます。

総務省は行政が欠陥のあるソフトを配布していたことは問題だとして、全国の自治体に対し、同じような欠陥のあるソフトを配布していないかどうか来月13日までに点検するよう指示しました。また、内閣官房情報セキュリティーセンターでも各省庁に対し、全国の出先機関が使っている電子申請ソフトの安全性を点検するよう指示しました。

 まだ全ての対応が終ったわけではない、ということなんでしょうか。 その割には、いろんな自治体が勝手に情報を出してしまっていて、なかなかアレな気がします。 インシデント対応手順が不明確 and/or 不徹底ということなんでしょうか。

 ところで、ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期(1月〜3月)] (IPA ISEC) にこんな文章があるのですが、

2005年第1四半期の届出事例として、Javaアプリケーション(Javaアプレット)のインストールプログラム等がインストール時にクライアントPCのJava環境のセキュリティポリシーを書換えてしまい、結果として、クライアントPCのセキュリティレベルを低下させてしまう、というものが複数ありました。(7)
中略
(7) これらは、クライアントPCにインストールするソフトウエアですが、ウェブアプリケーションを使うためのものであり、そのウェブアプリケーションと独立して起動され、使用されるものではないため、ウェブアプリケーションの一部として捉え、ウェブアプリケーションの脆弱性関連情報の届出として取扱いました。

セキュリティ問題の詳細説明 (やまなし申請・予約ポータルサイト) に

 2005年2月16日の10時33分に、IPA(独立行政法人情報処理推進機構)のセキュリティセンタから、e-やまなしサポートセンタ宛に「やまなし申請・予約ポータルサイト」の「お使いのPCの設定」-「ユーザ設定ファイル」でファイルの組み込みを行った場合、セキュリティ上の問題が生じる可能性があるというご指摘を頂きました。
(中略)
セキュリティ問題
 電子申請サービスの電子署名を行う場合には、お使いのパソコン上にある資源(署名に必要なファイル等)の利用を行うために、ユーザ設定ファイルの組み込みを行っていただいています。
 そのユーザ設定ファイルの1つとして、「java.policy」ファイルの組み込みを行っていただいていますが、2005年2月16日以前の「java.policy」ファイルの記述内容に誤りがありました。
 2005年2月16日以前にユーザ設定ファイルの組み込みを行ったパソコンで、悪意のあるサイトを訪れた場合に、ユーザ名、ローカルファイルの盗み出し・破壊、任意コードの実行、ウィルスへの感染等が発生する可能性があることが判明しました。

とあるので、これがその話なんじゃないのかなーという気がします。

 しかしこの話の場合、影響範囲が当該 web サイトに限られるわけではないのですから、「ウェブアプリケーションの脆弱性関連情報の届出として取扱いました」というのはちょっとまずいのではないかと思います。

Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
(Microsoft, 2005.04.13)

 Windows 2000 / XP / Server 2003 に欠陥。 Windows Kernel に 4 つの欠陥がある。

 patch があるので適用すればよい。

2005.04.27 追記:

 そういえば、不具合情報があったのでした。

2005.05.27 追記:

 You receive a "STOP 0x0000001E" error after you install security update MS05-018 on a Windows 2000-based computer (Microsoft)。サポート経由で hotfix を入手可能らしい。

Mac OS X 10.3.9 Update のセキュリティコンテンツについて
(Apple, 2005.04.12)

 Mac OS X 10.3.9 Update には複数のセキュリティ修正が含まれている、という話。

 Mac OS X 10.3.x 利用者は Mac OS X 10.3.9 にアップグレードすればよい。

なお、Mac OS X 10.3.9 をインストールすると、Java がうまく動かなくなる事例が発生している模様。該当する場合は Java and Safari issues after updating to Mac OS X v10.3.9 (Apple) を参照して対応されたい。 Java Update 1.4.2 Update 2 および / または Security Update 2005-002 の適用により解決する模様。

メッセージ キューの脆弱性により、コードが実行される (892944) (MS05-017)
(Microsoft, 2005.04.14)

 Windows 2000、Windows XP SP1 に欠陥。 Microsoft Message Queuing (デフォルトではインストールされていない) に buffer overflow する欠陥があり、remote から任意のコードを local SYSTEM 権限で実行可能。ただし、「MSMQ HTTP メッセージの配信のコンポーネント」にはこの欠陥はない。攻略可能なのは RPC 経由のみ。 なお、Windows XP SP SP1 や Windows Server 2003 にはこの欠陥はない。

 patch があるので適用すればよい。

 関連:

2005.04.21 追記:

 MS05-017/892944 メッセージ・キューの脆弱性により、コードが実行される (@IT, 2005.04.19) によると、

ただしDA Labで検証したところ、Windows XP SP1/SP1aでは、明示的にMSMQをインストールしていない場合でも、Windows UpdateでMSMQを構成するファイルの一部が検出され、MSMQをインストールしていない環境でも、Windows UpdateでMS05-017の適用が必要だと判定される場合がある。具体的な影響は不明だが、この場合は念のためMS05-017を適用しておいた方が安心だろう。

だそうです。Sugawara さん情報ありがとうございます。

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ
(interrupted train, 2005.04.20)

 ソーシャルネットワーク mixi に Cross-Site Request Forgeries (CSRF; クロスサイト・リクエスト偽造) 欠陥があった模様。 輪王さん情報ありがとうございます。 現在は「はまちちゃん ver 3.0」を含め対応されているようです。

 ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期(1月〜3月)] (IPA ISEC) に「クロス・サイト・リクエスト・フォージェリ」という言葉が出ていて、個人的には「それは何?」状態だったのですが、こういうものだそうです:

 世の中いろいろあるんですね。

2005.04.21 追記:

 匿名希望さんから (情報ありがとうございます):

Ver.3 に対する対策はいちおうmixiでも 取られたようですが、根本的な対策ではないため、 mixi内での他の箇所に関しては同様の攻撃が通用するとのこと。
http://d.hatena.ne.jp/mixi_love/20050420/p6

なお、mixi ではこれまでに何度も CSRF の脆弱性が発見および報告されていますが、都度、根本的な対策がなされておらず、その場しのぎの対応で終わっています。

私が知っているだけでも

2005年2月 mixi への招待機能で CSRF
http://yamagata.int21h.jp/d/?date=20050217#p04

2005年3月
マイミクシィの強制削除およびコミュニティの強制退会に関するCSRFをmixiに報告するも、中途半端な対策のみ。

2005年4月
マイミクシィのリクエストの強制送信に関するCSRFを mixiに報告するも返答なし。IPAへ連絡、受理。

というような状況です。

2005.04.25 追記:

 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? (ITmedia, 2005.04.23)

2005.04.27 追記:

 「ぼくはまちちゃん」 ——知られざるCSRF攻撃 (@IT, 2005.04.27)

2005.05.01 追記:

 クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 (高木浩光@自宅の日記, 2005.04.27)

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2005.04.19)

 RealPlayer、RealOne Player、RealPlayer Enterprise、Helix Player に欠陥。Ram ファイル の処理において buffer overflow が発生、攻略 Ram ファイルにより任意のコードを実行可能。 ハンドヘルド デバイス用の RealPlayer / RealOne Player にはこの欠陥はない。

 RealPlayer 10 系列と Linux 用の Helix Player 10 および Realplayer Enterprise については修正プログラムが用意されている。 RealOne Player や RealPlayer 8 については、最新の RealPlayer 10 系列へのアップグレードが必要となる。詳細は RealNetworks による文書を参照されたい。

 関連: RealNetworks RealPlayer/RealOne Player/Helix Player Remote Heap Overflow

追記

2005 年 4 月のセキュリティ情報

 Windows Update実行後WebScanX.exeのアプリケーションエラーが発生します (マカフィー, 2005.04.15)。VirusScan for Client 4.5.1 SP1 と Windows Installer 3.1 が喧嘩をするそうです。VirusScan Enterprise へアップグレードすれば解決するそうです。


2005.04.19

追記

OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)

 896648 - セキュリティ更新プログラム 873333 (MS05-012) のインストール後 svchost.exe エラーが発生することがあります (Microsoft) が更新されました。 895200 - Availability of Windows XP COM+ Hotfix Rollup Package 9 (Microsoft) を適用することで解決するそうです。フロートさん情報ありがとうございます。

iDEFENSE Security Advisory 03.31.05: PHP getimagesize() Multiple Denial of Service Vulnerabilities

 [SECURITY] [DSA 708-1] New PHP3 packages fix denial of service。Debian さすがです。いまだに PHP3 がメンテナンスされています。

Critical Patch Update - April 2005

[Full-disclosure] iDEFENSE Security Advisory 04.18.05: McAfee Internet Security Suite 2005 Insecure File Permission Vulnerability
(iDEFENSE, Tue, 19 Apr 2005 07:08:20 +0900)

 マカフィー インターネットセキュリティスイート 2005 に欠陥。 インストールされた状態における、マカフィー インターネットセキュリティスイート 2005 のファイルのパーミッションに欠陥があり、管理者でなくてもファイルを改変できてしまう。改変できるファイルの中には local SYSTEM 権限で動作するものもあるため、結果として local user が SYSTEM 権限を取得できる。

 マカフィー インターネットセキュリティスイート 2005 の自動更新機能において修正されているそうだ。が、日本でもそうなのかはいまいち不明。

 CVE: CAN-2005-1107

2005.04.19 追記:

 青木さんから (ありがとうございます)

これですが、TrendMicro VirusBuster も似たようなもののように思えます。

以下はバスター 2004 の話ですが 2005 も同様だったような。

C:\Program Files\Trend Micro\Virus Buster 2004
これ以下のファイル、フォルダは Everyone: Full になっています。そこには Tmntsrv.exe, tmproxy.exe がありますが、それらは LocalSystem にて動くサービスです。またこれらのサービスは、制限ユーザーで停止、開始が可能に設定されています。

そうしないと管理権限のないユーザーがログオンしているときにパターンファイル等のアップデートが出来ないため、そのような「仕様」になっているのではないかと思われます。

 手元のウイルスバスター 2004 を見てみました。……確かに Everyone: Full ですねえ。もし「そうしないと……出来ない」としたら、それはプログラムの組み方が悪いだけだろうと思いますが。

いろいろ
(various)

FreeBSD-SA-05:04.ifconf - Kernel memory disclosure in ifconf()
(FreeBSD-announce-jp, 2005.04.15)

 FreeBSD 4.x / 5.x に欠陥。SIOCGIFCONF ioctl においてバッファが初期化されないまま使用されてしまうため、カーネルメモリの内容 (12 バイト) が漏曳してしまう。

 最新の RELENG_4 / RELENG_4_10 / RELENG_4_11 / RELENG_5 / RELENG_5_3 / RELENG_5_4 に更新するか、あるいは FreeBSD 4.x / 5.3 用の patch を適用し、kernel を再構築してインストールし、再起動する。 RELENG_4_8 はもはや維持されていないが、FreeBSD 4.x 用 patch は適用できた。

 うぅ、またカーネルつくりなおしですか…… (T_T)

Stable CVS Version 1.11.20 Released! * Security Update *
(cvshome.org, 2005.04.18)

 CVS 1.11.19 / 1.12.11 以前に複数の欠陥。NEWS によると、CVS 本体に buffer overflow や memory leak など複数の欠陥があり、 寄贈された複数の perl スクリプトにも欠陥があったという。 buffer overflow については CAN-2005-0753 として登録されている。CVS 開発者は、この buffer overflow 欠陥は攻略可能な欠陥ではないと判断している。

 CVS 1.11.20 および 1.12.12 で修正されている。ただし、perl スクリプトの欠陥は完全には解消されていないそうだ。

fix / patch:

2005.04.18

Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016)
(Microsoft, 2005.04.13)

 Windows 2000 / XP / Server 2003 に欠陥。 MS Office 文書は、拡張子を変更しても MS Office 文書として開かれることはよく知られている。これと同じ機構を利用することで、任意の拡張子のついたファイルを Microsoft HTML Application Host (MSHTA) ファイルであるとして実行させることが可能となる。

 修正プログラムがあるので適用すればよい。なお、この欠陥は Windows Server 2003 SP1 および Windows XP / Server 2003 x64 Edition には存在しない。

 関連:

追記

JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題

 詳細が公開された: au携帯電話のバーコードリーダでジャンプ先URLが偽装される (bugtraq-jp)

VULNERABILITY OF FIRST-GENERATION DIGITAL CERTIFICATES Rev 1.1 AND POTENTIAL FOR PHISHING ATTACKS AND CONSUMER FRAUD
(GeoTrust, 2005.04.12)

 とんでもない勘違いをしていたので修正。西村さんご指摘ありがとうございます。 _o_

 SSL サーバ証明書において、Organization 項目が詐称されたものを誰でも簡単に取得できてしまうにもかかわらず、Organization 項目を信頼できるものとして扱う web ブラウザが存在する。具体的には Opera 8 Beta 3 がそのようなブラウザだが、 この挙動が広く採用されるようだと、新たなフィッシング手段として悪用される恐れがある、という話みたい。

 PoC サイトと Opera 8 Beta 3 での表示例が http://www.geotrust.com/resources/advisory/sslorg/index.htm に示されている。Opera 8 Beta 3 ではアドレスバーに詐称された Organization 項目が大きく表示されてしまうため、実際のサイトとは関係のないドメインに存在していても気がつかない恐れがある、という話みたい。

 GeoTrust が Organization 詐称証明書をどこから入手したのかは……各自で確かめられたい。

三つの致命的欠陥を修正したFirefox 1.0.3とMozilla 1.7.7リリース
(slashdot.jp, 2005.04.16)

 Firefox 1.0.3 / Mozilla 1.7.7 登場。多数の欠陥 (Firefox: 9 つ、Mozilla: 7 つ) が修正されている。

欠陥 重大性 影響 回避方法
Firefox Mozilla
MFSA 2005-33 あり あり JavaScript を無効にする
MFSA 2005-34 あり N/A Firefox プラグインフォルダで「Manual Install」ボタンを押さない
MFSA 2005-35 あり あり ブロックしたポップアップは閲覧しない
MFSA 2005-36 あり あり JavaScript を無効にする
MFSA 2005-37 特大 あり あり JavaScript を無効にする
MFSA 2005-38 あり あり 信頼できない出自の検索プラグインはインストールしない
MFSA 2005-39 特大 あり N/A JavaScript を無効にする
MFSA 2005-40 あり あり JavaScript を無効にする
MFSA 2005-41 特大 あり あり JavaScript を無効にする

 Firefox / Mozilla 利用者は更新しましょう。Firefox 1.0.3 については日本語版も用意されています:

 (typo fixed: 小澤さん感謝)

 関連:


2005.04.14

いろいろ
(various)

追記

March 2005 DNS Poisoning Summary

 4/12 追記分とまとめた。

2005 年 4 月のセキュリティ情報

 PRIMERGY FT モデル: Windows Updateに関する留意事項 (富士通)。 PRIMERGY TX200FT への MS05-018 適用で問題が発生するようで、「緊急修正プログラム」が公開されています。セキュリティ更新プログラム (890859) (MS05-018) 適用に関する留意事項 (富士通) も参照。(typo fixed: Shibuya さん感謝)

OpenOffice.org1.1.4ヒープ・オーバーフローの脆弱性対策
(OOoWiki, 2005.04.14)

 OpenOffice.org 1.1.4 以前に欠陥。 StgCompObjStream::Load() に heap overflow する欠陥があり、 攻略文書ファイルを開かせることにより任意のコードを実行可能。 Issue 46388 (openoffice.org) を参照。

 OpenOffice.org 1.1.4 利用者は、差替ファイルが用意されているので、 これを適用すればよい。1.1.3 以前の場合は、まず 1.1.4 まで上げ、差替ファイルを適用する。

890830 - The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Server 2003, Windows XP, or Windows 2000
(Microsoft, 2005.04.13)

 「悪意のあるソフトウェアの削除ツール」V 1.3 (April 2005) が登場しています。 V 1.3 では著名な Windows 用ルートキットのひとつ HackerDefender に対応しています。 HackerDefender 1.0.0 で試してみたところ、検出・削除されるのは「起動されていた HackerDefender」だけのようです。 HackerDefender を起動せずに単に置いておくと、削除どころか検出すらされませんでした。

 ついでに F-Secure BlackLight で HackerDefender 1.00 を試してみたところ、起動されていたり隠されていたりしたプロセス・ファイルの情報を表示するのみでした。「悪意のあるソフトウェアの削除ツール」は、とりあえず削除してくれるという意味ではわかりやすそうです。 HackerDefenderを悪用したスパイウェア − スパイウェア除去アプリケーションが使えない (アダルトサイト被害対策の部屋) も、「悪意のあるソフトウェアの削除ツール」を利用する形に更新するといいかもしれません。

 というわけで、「悪意のあるソフトウェアの削除ツール」は「アンチウイルスを導入している人もぜひ実行しましょう」というツールになった、と言えます。

 なお、HackerDefender の捜索・消去に関して Strider GhostBuster Rootkit Detection (Microsoft Research) の技術が使われているのかどうかについてはよくわかりません。

JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題
(JVN, 2005.04.14)

 au の携帯電話 PENCK、W31SA、W21CA、W21T、W22H、W22SA、W21SA、W21S、Talby、A5509T、A5507SA、A5506T、A5505SA、A5502K、A1404S、A1402S II、A1402S に塔載されている バーコードリーダアプリに欠陥。 特定の QR コードを読み込んだ場合に、「1 行目」にカーソルがあるにもかかわらず「2 行目」の URL にアクセスしてしまう。 バーコード (2次元コード) リーダーご利用にあたっての注意点 (au, 2005.04.14) に詳細があるので参照されたい。

 修正版のバーコードリーダアプリが用意されているので更新すればよい。

2005.04.18 追記:

 詳細が公開された: au携帯電話のバーコードリーダでジャンプ先URLが偽装される (bugtraq-jp)

EZ番号 (サブスクライバ ID) の通知設定機能追加について
(au, 2005.04.04)

 本日 2005.04.14 から、『EZwebアクセス時にEZ番号を「通知しない」設定を選択できる機能』が追加されるそうです。高木先生が何年も前からその危険性について指摘してきたわけですが、ワンクリック詐欺にさんざん悪用されるようになって、ようやく……なわけですね。


2005.04.13

Critical Patch Update - April 2005
(oracle, 2005.04.12)

 出たようです。 日本の Oracle には 2005.04.15 に情報が掲載されるようです。匿名希望さん情報ありがとうございます。

2005.04.14 追記:

 [VulnWatch] Multiple High Risk flaws fixed in Oracle (NGSSoftware)

2005.04.19 追記:

NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads
(UNIRAS, 2005.04.13)

 ICMP を使うと、既存の TCP コネクションをリセットしたり速度を低下させたりすることが可能だという指摘。

 同様の攻撃は IPv6 (ICMPv6) においても実施可能。

 関連:

fix / patch:

2005.04.21 追記:

 ICMP attacks against TCP (Proof-of-Concept code) (MS05-019, CISCO:20050412)

2005.05.06 追記:

 SYM05-008: シマンテックのセキュリティ・ゲートウェイ ICMP にサービス拒否の危険性 (シマンテック, 2005.05.02)。 以下のシマンテック製品に欠陥があるそうだ。

Symantec Gateway Security 5400 Series, v2.x
Symantec Gateway Security 5300 Series, v1.0
Symantec Enterprise Firewall, v7.0.x (Windows 版および Solaris 版)
Symantec Enterprise Firewall v8.0 (Windows 版および Solaris 版)
Symantec VelociRaptor, Model 1100/1200/1300 v1.5
Symantec Gateway Security 300 Series (すべてのファームウェア・バージョン)
Symantec Gateway Security 400 Series (すべてのファームウェア・バージョン)
Symantec Firewall/VPN Appliance 100/200/200R (すべてのファームウェア・バージョン)
Nexland ISB SOHO Firewall Appliances (すべてのファームウェア・バージョン)
Nexland Pro Series Firewall Appliances

 このうち修正版があるのは Symantec Gateway Security 300 Series、Symantec Gateway Security 400 Series だけで、他については開発中だそうだ。

2005.05.20 追記:

 「TCP実装におけるICMPエラーメッセージ処理に関する脆弱性」対策について (日立)

追記

ライセンス ログ サービスの脆弱性により、コードが実行される (885834) (MS05-010)

 日本語版 MS05-010 は更新されていないようだが、 英語版 MS05-010 は 2 度更新されている。このあたり:

Mitigating Factors for License Logging Service Vulnerability - CAN-2005-0050:
(中略)
On Windows 2000 Server Service Pack 4 and Windows Server 2003, only authenticated users or programs can establish a connection to the License Logging service. However, this does not apply to installations of Windows 2000 Server where Service Pack 4 has been `slipstreamed' into the operating system directory. For more information, see Microsoft Knowledge Base Article 896658.
PNG 処理の脆弱性により、バッファオーバーランが起こる (890261) (MS05-009)

 MS05-009 が 2005.04.13 付で更新されている。

なぜマイクロソフトはこのセキュリティ情報を2005年4月13日に更新したのですか?

このセキュリティ情報のリリース後、Windows Messenger version 4.7.0.2009 (Windows XP Service Pack 1 で実行されている場合) の更新が SMS または自動更新を介し配布された場合、インストールが失敗することが確認されました。 更新されたパッケージはこの動作を修正します。

前回の更新が正常にインストールされ、現在 Windows Messenger のバージョン 4.7.0.2010を実行しているお客様は、この脆弱性から保護されており、現時点で何のアクションも行う必要はありません。
カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)

 MS05-002 の Windows 98 / 98 SE / Me 用 patch が更新されました。

2005 年 4 月 13 日にこのセキュリティ情報を更新したのはなぜですか?

セキュリティ情報 MS05-002 をリリース後、マイクロソフトは Windows 98、98SE および ME 用のセキュリティ更新プログラムを展開したお客様に影響を与える問題を確認しました。ほとんどの場合はこの問題により、コンピューターが予期しないときに再起動します。

マイクロソフトはこの問題を調査し、これらのプラットフォーム用の改訂版のセキュリティ更新プログラムを用意しました。これらの改訂版のセキュリティ更新プログラムは、Windows Update およびマイクロソフト ダウンロード センターから入手することができます。これらの更新プログラムのオリジナルのバージョン (2005 年 2 月 9 日リリース) をまだ適用していないお客様は、Windows Update のサイトにアクセスし、改訂版の更新プログラムをインストールする必要があります。

既にオリジナルのバージョンの Windows 98、98SE および ME 用のセキュリティ更新プログラムを適用したお客様も、Windows Update から現在の改訂版の更新プログラムをインストールすることを推奨します。

 なお、マイクロソフト:「Windows用パッチに脆弱性あり」 (CNET, 2005.04.01) だが、Microsoft が認識していたのはあくまで「旧 patch を適用すると OS が不安定になる」事であって、「MS05-002 旧 patch がセキュリティ的に不十分」という事実はなかった模様。

2005 年 4 月のセキュリティ情報
(Microsoft, 2005.04.13)

 出ました。MS05-016 から MS05-023 までの 8 つです。 ふつうのひとは、こんな手順でよろしいかと:

 なお、OS Kernel は変わってるわ、TCP/IP プロトコルスタックは変わってるわ、IE は変わってるわなので、いつもより注意深くテストしましょう。 デフォルトの挙動が変更になる話もあるようです。 KB 893066 とか。

 これにあわせて、「Microsoft Windows インストーラ 3.1」と「バックグラウンド インテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 用の更新プログラム」も公開されているようですね。

 なお、残念ながら今回の patch では Upcoming Advisories (eEye) の EEYEB-20050316 と EEYEB-20050329 は消えていません。

2005.04.14 追記:

 不具合情報が出てきています。

2005.04.20 追記:

 Windows Update実行後WebScanX.exeのアプリケーションエラーが発生します (マカフィー, 2005.04.15)。VirusScan for Client 4.5.1 SP1 と Windows Installer 3.1 が喧嘩をするそうです。VirusScan Enterprise へアップグレードすれば解決するそうです。

2005.04.27 追記:

 Windows インストーラ 3.1 をインストールすると、修正プログラムによっては適用に失敗する可能性がある (updatecorp.co.jp)。

Windows インストーラの呼び出し時に完全サイレント インストールのためのオプションを指定すると、適用に失敗します。

 4 月の Windows Update の日に Windows インストーラ 3.1 も配布されていますが、互換性に少々難があるようです。

2005.05.19 追記:

 Windows インストーラ 3.1(v2) と、Windows 2003 SP1 および 64bit 版 Windows XP 用の Windows インストーラ 3.1 アップデートが公開されています。


2005.04.12

MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開
(Internet Watch, 20005.04.12)

 この話:

2005.04.21 追記:

 Exploit-MSJet.gen (マカフィー)

2005.10.04 追記:

 MS Officeの脆弱性突いたトロイの木馬が出現 (ITmedia, 2005.10.04)

追記

March 2005 DNS Poisoning Summary

 「悪質サイトへ勝手にリダイレクト」——DNSキャッシュ・ポイズニング攻撃の現状と対策(上) (日経 IT Pro, 4/12)


2005.04.11

追記

ppBlog 検索モジュールにXSSの脆弱性!

 ppBlog 1.4.0 が正式公開されています。

SIG^2 G-TEC - AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities
(SIG^2 G-TEC, 2005.04.07)

 AN HTTP 1.42n 以前に 2 つの欠陥。

 修正版はまだない。AN HTTP ホームページ では

バージョン 1.42n およびそれ以前のすべてのバージョンのサンプルスクリプトに重大セキュリティホールがあります。 scripts フォルダの cmdIS.dll を削除してください。(2005/4/7)

と呼びかけている。


2005.04.08

MPSB05-02 - Workaround available for ColdFusion MX 6.1 Updater file disclosure
(Macromedia, 2005.04.07)

 ColdFusion MX 6.1 の Updater 1 に欠陥があり、ファイルまるみえ系の事象が発生する模様。回避策が掲載されている。

Critical Patch Updates and Security Alerts
(oracle, 2005.04.08)

Critical Patch Update - April 2005 (scheduled for release at noon PDT on 12 April 2005)

 Oracle から、2005.04.12 12:00 -0700 (PDT) に累積的 patch が公開されるそうです。JST だと 2005.04.13 04:00 かな。

マイクロソフトセキュリティ情報の事前通知
(Microsoft, 2005.04.08)

 4 月の Windows Update の日 (日本では 4/13) には次のものが出る予定だそうです。

 もりだくさんですね。 これにあわせて「悪意のあるソフトウェアの削除ツール」が更新され、さらに

Windows Update サイトで Windows 用のセキュリティ以外の優先度高の更新プログラムをリリースする予定です。これらは Software Update Services に配布される予定です。

だそうです。なんだろう……。


2005.04.07

CISCO 方面
(CISCO, 2005.04.07)

ネットを蝕むのはフィッシングだけじゃない、DDoS攻撃も「高度なものだけで1日60件」
(日経 IT Pro, 2005.04.06)

 NTT コミュニケーションズが扱っているトランジット・サービスだけでも「ハイレベルなものだけで1日に60件」ですか。そういう時代になってしまったのですね。

追記

Microsoft Windows Server 2003 "Shell Folders" Directory Traversal Vulnerability

 Windows Server 2003 SP1 英語版で修正されていることが確認された: penetration technique research site 参照。 また PivX によると、bid 7826 の exploit 欄にある ftpexp.html については Windows Server 2003 だけでなく Windows XP (SP2 含む) にも影響するという。

March 2005 DNS Poisoning Summary

 Handler's Diary April 7th 2005: DNS cache poisoning update (SANS ISC)。欠陥ありの Windows NT / 2000 DNS サーバから BIND や上位 Windows NT / 2000 DNS サーバに forward していた場合にどうなるか、という話が出ている。

  • Windows DNS → BIND 9 へ forward: BIND 9 がゴミを除去してくれるので、cache 汚染は発生しない。

  • Windows DNS → BIND 4 または BIND 8 へ forward: BIND 4 / 8 はゴミを除去してくれないので、cache 汚染が発生。

  • Windows DNS → Windows DNS: 上位の Windows DNS に KB241352 の設定がされていれば、下位 Windows DNS には cache 汚染は発生しない。そうでなければ、cache 汚染が発生。

 Handler's Diary では、上位 DNS サーバが BIND の場合は、BIND 9 へのアップグレードを推奨している。

いろいろ (2005.03.30)

 日本語 KB 出ました: 889323 - 管理者の権限を持たないユーザーがリモート コンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる (Microsoft)

SHA-1 Broken

 解読されたSHA-1: 「CRYPTO-GRAM March 15, 2005」より (日経 IT Pro, 2005.04.07)


2005.04.06

iDEFENSE Security Advisory 04.05.05: Computer Associates eTrust Intrusion Detection System CPImportKey DoS
(iDEFENSE, 2005.04.05)

 eTrust Intrusion Detection 3.0 / 3.0 SP1 に欠陥。buffer overflow する欠陥があり、DoS 攻撃を受ける。 patch があるので適用すればよい。が、 このページ には存在しないようだ。

iDEFENSE Security Advisory 03.31.05: PHP getimagesize() Multiple Denial of Service Vulnerabilities
(iDEFENSE, 2005.03.31)

 PHP 4.3.10 / 5.0.3 以前に 2 つの欠陥。

 PHP 4.3.11 / 5.0.4 で修正されている。

2005.04.19 追記:

 [SECURITY] [DSA 708-1] New PHP3 packages fix denial of service。Debian さすがです。いまだに PHP3 がメンテナンスされています。

FreeBSD 関連
(various)

追記

Adaptive Server Enterprise - Companion TechNote to UCN entitled Urgent from Sybase: Security Issues in ASE 12.5.3 and Earlier.

 詳細: [VulnWatch] Sybase ASE Multiple Security Issues (#NISR05042005) (NGSSoftware)

SYM05-006: Denial of Service in Symantec Norton AntiVirus AutoProtect

 2004 シリーズについても対応されたようで、 SYM05-006: Symantec Norton AntiVirus の AutoProtect 機能にサービス拒否の脆弱性 が 4/5 付で「本件の影響を受ける製品用の修正パッチはすべて、Symantec LiveUpdate を通じて入手いただけます」と修正されています。

March 2005 DNS Poisoning Summary

 316786 - DNS サーバーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について (Microsoft)

DNS キャッシュ破壊の防止は、Windows 2000 SP3 以降では、デフォルトで有効にされます。

 そうだったのか。すると、攻撃を受けてしまったサーバは Windows 2000 SP2 以前か Windows NT 4.0 Server だということに? どっちももはやサポートされてないし。


2005.04.05


2005.04.04

Adobe Reader/Acrobatにセキュリティ・ホール,ハングアップさせられる恐れあり
(日経 IT Pro, 2005.04.04)

 Adobe Reader 7.0 / Adobe Acrobat 7.0 以前 for Windows に、DoS となる欠陥とパス情報が漏曳する欠陥。Adobe Reader 7.0.1 / Adobe Acrobat 7.0.1 for Windows で修正されている。patch

 無償の Adobe Reader はともかく、有償の Adobe Acrobat 6.x についても、7.0 へのアップグレードでしか対応されない模様。すばらしい会社ですな。

2005.04.28 追記:

 アドビシステムズ社Adobe Acrobat ReaderおよびAdobe Readerの脆弱性に関するお知らせ (富士通, 2005.04.21)。製品添付 CD-ROM 内の Acrobat Reader / Adobe Reader に関する文書。

March 2005 DNS Poisoning Summary
(SANS ISC, 2005.03.03〜)

 このごろ騒ぎになっている DNS キャッシュ汚染さわぎの概要。 Microsoft は今からでも、Windows NT 4.0 / 2000 の DNS サーバに対して、 KB241352 の設定を自動的に行って再起動するような「セキュリティ修正プログラム」を「重要な更新」として公開すべきなのではないのか。

 Windows な DNS クライアント方面については、Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default の話も参照。またキャッシュ期間については:

2005.04.06 追記:

 316786 - DNS サーバーの [Pollution に対してセキュリティでキャッシュを保護する] 設定について (Microsoft)

DNS キャッシュ破壊の防止は、Windows 2000 SP3 以降では、デフォルトで有効にされます。

 そうだったのか。すると、攻撃を受けてしまったサーバは Windows 2000 SP2 以前か Windows NT 4.0 Server だということに? どっちももはやサポートされてないし。

2005.04.07 追記:

 Handler's Diary April 7th 2005: DNS cache poisoning update (SANS ISC)。欠陥ありの Windows NT / 2000 DNS サーバから BIND や上位 Windows NT / 2000 DNS サーバに forward していた場合にどうなるか、という話が出ている。

 Handler's Diary では、上位 DNS サーバが BIND の場合は、BIND 9 へのアップグレードを推奨している。

2005.04.14 追記:

 4/12 追記分とまとめた。

追記

カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)

 マイクロソフト:「Windows用パッチに脆弱性あり」 (CNET, 2005.04.01)。 Windows 9x/Me 用の patch はどうやら不十分らしい。 ブルーになる上に不十分……。


2005.04.01

追記

OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)

 副作用情報: 896648 - セキュリティ更新プログラム 873333 (MS05-012) のインストール後 svchost.exe エラーが発生することがあります (Microsoft)。 不具合の存在を確認しているそうです。

SYM05-006: Denial of Service in Symantec Norton AntiVirus AutoProtect

 2005 シリーズについては対応されたようです: シマンテック、Norton AntiVirus 2005の日本版修正パッチを配布開始 (Internet Watch, 2005.04.01)。 手元の Norton AntiVirus 2005 で LiveUpdate したところ、それらしきものが出てきていました。


[セキュリティホール memo]
私について