セキュリティホール memo - 2005.11

Last modified: Thu Nov 4 11:28:26 2010 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2005.11.30

日本ERIが指摘「大臣認定プログラムは改竄可能」
(asahi.com, 2005.11.30)

 「建物の構造計算に使う国土交通相認定の専用のプログラム」に欠陥があるという指摘。

市販の文書編集ソフトを使うと計算途中のデータの書き換えが可能で、不正なデータを入力しても「適合」との結果が出ることがわかったという。この場合、正しいプログラムを使ったことを示す認定番号も印刷できるという。
 同社は「この専用プログラムは保護機能が甘い。これでは、通常の審査で改ざんを見破ることは難しい」と説明。近く検証内容を国交省に報告するという。

 「建物の構造計算に使う国土交通相認定の専用のプログラム」というのは各社から出ているようだが (ぐぐってみるテスト)、どの会社のもののことなのかは不明。 また「建物の構造計算に使う国土交通相認定の専用のプログラム」は 電算プログラム審査 (財団法人日本建築センター) という手順に従って認定されるようなのだが、ここには「データの改ざん不可能性」などといった検査項目は全くなさげ。

 なお、この指摘を行った日本 ERI は、日本ERIが4連騰、耐震検査厳格の優位性に評価高まる (asahi.com, 2005.11.22) なんて記事が出るほどの会社なのだそうだが、この会社ですら姉葉建築士による偽装を見抜けなかったケースがある (日本 ERI, 2005.11.29) そうで。 その偽装がこの指摘につながっているのだろうが、結局のところ、厳密なクロスチェックは行われていないということみたいですねえ。 日本 ERI の株価 (Yahoo)。

2005.12.01 追記:

 プログラム出力の真正性の確認をどう行っていたのか? (武田圭史, 2005.12.01)

いろいろ
(various)

追記

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される (Microsoft) が更新されています。まだ patch はありません……が、

この調査の完了時に、マイクロソフトはマイクロソフトのお客様を保護する手助けとなる適切なアクションを行なう予定です。これには、マイクロソフトの月例のリリースプロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、月例のリリースプロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。

 とつぜん出すかもしれないから驚くなよ、ということかな。

About Security Update 2005-009
(Apple, 2005.11.29)

 Mac OS X 10.3.9 / 10.4.3 用の新たなセキュリティ更新。

Sun Java JRE Sandbox Security Bypass Vulnerabilities
(Secunia, Tue, 29 Nov 2005 20:21:46 +0900)

 Sun Java 2 Platform, Standard Edition (J2SE) 1.3.x / 1.4.x / 5.x に欠陥。

 関連: SunのJava実行環境に致命的レベルの脆弱性 (slashdot.jp, 2005.11.30)

2005.12.02 追記:

 About the security content of J2SE 5.0 Release 3 (Apple)

2006.01.16 追記:

 攻略サイト事例が現れた模様: Javaのセキュリティ・ホールを突くWebサイトが出現,悪質なプログラムを実行される (日経 IT Pro, 2006.01.13)。

Cisco Security Advisory: Cisco Security Agent Vulnerable to Privilege Escalation
(Cisco, 2005.11.30)

 Cisco Security Agent 4.5.0 / 4.5.1 に欠陥。local user による権限上昇 (管理者権限の取得) が可能となる模様。 CSA 4.5.1.639 で修正されているそうだ。


2005.11.29

追記

JCE 1.2.1 の証明書期限切れに関する注意喚起

 IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響について (Tivoli-05-064) (IBM, 2005.11.25)。 「2006年3月頃」とか「2006年6月頃」とかいう文字列があって、なかなかあれです。

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 この問題に対する Norton Internet Security (NIS) の対応によって、2ch.net 方面でさわぎになっていた模様:

 mailto:<body onload=window()> (本当は body onload じゃなくて body onload) に NIS が反応してしまうため、そういう書きこみがあると一定時間閲覧できなくなってしまっていた、ということでいいのかな。 (Hideck さん感謝)


2005.11.28


2005.11.26

追記

ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか?

 トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思うし。

 ちなみに手元のウイルスバスター 2006 なのだが、単に処理に時間がかかりすぎるという理由から、フィッシング詐欺対策ツールバーは無効にしてしまった。 リクエスト毎にいちいち WAN 経由で問いあわせするという仕様はなあ……。 ウイルスバスター2006のフィッシング詐欺対策ツールバー (星澤裕二メモ, 2005.11.02) には tis14-JP.url.trendmicro.com という名前が出てくるので調べてみると、

% host tis14-JP.url.trendmicro.com
tis14-JP.url.trendmicro.com is a nickname for trendmicro.georedirector.akadns.net
trendmicro.georedirector.akadns.net is a nickname for trendmicro.com.edgesuite.net
trendmicro.com.edgesuite.net is a nickname for a151.g.akamai.net
a151.g.akamai.net has address 60.254.129.103
a151.g.akamai.net has address 60.254.129.102

 akamai 化されてはいるようですが……。

The "Sony rootkit" case

 関連記事:


2005.11.25

追記

ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか?

 つづきの記事:

 そしてさきほど、以下のサポート情報が公開されました。

 アクセス先 URL とアクセス先IPアドレスがトレンドマイクロに送られる仕様だそうです。

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 シマンテックも対応したようです (info from [memo:8871])。

 Windows 2000 SP4 日本語版 + Norton AntiVirus 2005 で試したところ、検出はするもの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。


2005.11.24

いろいろ
(various)

追記

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 マカフィーとトレンドマイクロが対応したようです。

 Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i (DAT4635) で試したところ、JS/Exploit-BO.gen は検出されたものの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。

 Windows 2000 SP4 日本語版 + ウイルスバスター 2006 (DAT 2.965.00) の場合は、JS_ONLOADXPLT.A を検出した上で、スクリプトも止まるみたい。


2005.11.22

The Twenty Most Critical Internet Security Vulnerabilities (Updated) ~ The Experts Consensus (SANS TOP 20)
(SANS, 2005.11.22)

 改訂されて Version 6.0 になっています。プレスリリース

Internet Explorer の JavaScript の脆弱性に関する注意喚起
(JPCERT/CC, 2005.11.22)

 Windows 用の Internet Explorer 5.x / 6.x に欠陥。 この話:

 公開当初は DoS 話であると認識されていたが、実はもっと深刻で、任意のコードの実行が可能だった模様。PoC コードが公開されている。 手元でテストしてみたところ、

 アクティブスクリプトを無効にすれば回避できる。 また snort で検出するためのルールが公開されている: Snort Rule released on BleedingSnort for the Windows Javascript vulnerability (SANS ISC)。

 関連:

 関連報道:

2005.11.24 追記:

 マカフィーとトレンドマイクロが対応したようです。

 Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i (DAT4635) で試したところ、JS/Exploit-BO.gen は検出されたものの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。

 Windows 2000 SP4 日本語版 + ウイルスバスター 2006 (DAT 2.965.00) の場合は、JS_ONLOADXPLT.A を検出した上で、スクリプトも止まるみたい。

2005.11.25 追記:

 シマンテックも対応したようです (info from [memo:8871])。

 Windows 2000 SP4 日本語版 + Norton AntiVirus 2005 で試したところ、検出はするもの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。

2005.11.29 追記:

 この問題に対する Norton Internet Security (NIS) の対応によって、2ch.net 方面でさわぎになっていた模様:

 mailto:<body onload=window()> (本当は body onload じゃなくて body onload) に NIS が反応してしまうため、そういう書きこみがあると一定時間閲覧できなくなってしまっていた、ということでいいのかな。 (Hideck さん感謝)

2005.11.30 追記:

 マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される (Microsoft) が更新されています。まだ patch はありません……が、

この調査の完了時に、マイクロソフトはマイクロソフトのお客様を保護する手助けとなる適切なアクションを行なう予定です。これには、マイクロソフトの月例のリリースプロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、月例のリリースプロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。

 とつぜん出すかもしれないから驚くなよ、ということかな。

2005.12.02 追記:

 NIS での誤検出ですが、手元で試した限りでは、現在は修正されているようです。 こちらは検出しますが、こちらは検出しませんでした。 NIS のルール「HTTP MSIE JavaScript OnLoad Rte CodeExec」を無効にして回避していた場合は、再び有効にしてみるといいかもしれません。

 さて、この欠陥を利用するマルウェア TrojanDownloader:Win32/Delf.DH が登場したということで、各アンチウイルスベンダーからの情報も更新されているようです。

 Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i において、 JS/Exploit-BO.gen が検出されるものの電卓が表示されてしまう件ですが、 VSE 8.0i Patch 11 にすればスクリプトの実行がきちんと停止されるようです。 VSE 8.0i Patch 10 では電卓が表示されてしまいました。

2005.12.06 追記:

 IEのパッチ未公開セキュリティ・ホールを狙うWebサイトが増加中 (日経 IT Pro, 2005.12.05) だそうです。関連: Hackers exploit unpatched Internet Explorer bug to install malware (Sophos)。

2005.12.10 追記:

 TTFOXZの日記 で NIS の誤検出の件はまだ直ってないと指摘されていたので、 捨ててしまった NIS 2006 の環境をもういちどつくって試したところ…… こちら でも反応してしまいますね。うーん。2005.12.02 のテスト結果は何だったんだ…… orz。 とりあえず大嘘ついていたみたいですいません。

ド素人でも分かる事だろうに。

 ド素人未満ですいませんねえ。

追記

The "Sony rootkit" case

 関連記事:

セキュリティ・プロトコルの実装に脆弱性,複数ベンダーのVPN製品が影響

2005.11.21

追記

The "Sony rootkit" case

 関連記事:

IEやOperaにステータス・バーを偽装できる問題

 Safari 1.3.1 (v312.3.1) や iCab2.9.8 もだめだそうです。Ray さん情報ありがとうございます。

Windows Update : Norton Removal Tool "SymUninst.exe" を実行すると Windows Update からダウンロード出来なくなる
(microsoft.public.jp.windowsupdate ニュースグループ, 2005.11.14)

 Norton シリーズの削除ツール SymUninst.exe を Windows 2000 で使用すると、SymUninst.exe が

1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost]キーの値"netsvcs"のデータから、「BITS」を削除する。
2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS]キーを削除する。

ために、Windows Update でのダウンロードができなくなってしまうそうです。 回復するには、以下を実行すればよいそうです。

1.文書番号:875562 に従い SvcHost プロセスに BITS サービスを追加する。
2.正常な Windows2000 システムから   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS]キーをインポートする。

 また Windows XP で SymUninst.exe を使用した場合には、 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS] キーだけが削除されるそうです。

 今では SymUninst.exe は存在しなくなっており、新しい Norton 削除ツール SymNRT.exe にはこの欠陥はないそうです。


2005.11.20


2005.11.18

IEやOperaにステータス・バーを偽装できる問題
(日経 IT Pro, 2005.11.17)

 ひさびさのステータスバー偽装ねた。 IE 5.01 / 6.x, Opera 8.x, Safari 2.x でひっかかる模様。Mozilla / Firefox はだいじょうぶみたい。テストページ

 関連: ステータスバー偽装系 (既出) (水無月ばけらのえび日記, 2005.11.18)。実は old news ?

2005.11.21 追記:

 Safari 1.3.1 (v312.3.1) や iCab2.9.8 もだめだそうです。Ray さん情報ありがとうございます。

追記

[Full-disclosure] iDEFENSE Security Advisory 11.15.05: Multiple Vendor Insecure Call to CreateProcess() Vulnerability

 RealPlayer CreateProcess() Security Vulnerability. (RealNetworks, 2005.11.17)

The "Sony rootkit" case

 関連記事:

セキュリティ・プロトコルの実装に脆弱性,複数ベンダーのVPN製品が影響
(日経 IT Pro, 2005.11.17)

 各社の IPSec 関連製品における ISAKMP 実装に欠陥。IKEv1 において誤った / 異常なパケットを含ませると、DoS になったり任意のコードの実行が可能となったりする場合がある模様。影響の度合はベンダーにより異なる (DoS の事例が多いようだ)。 また IKEv2 についてはテストしていないそうだ。

 何がどこで問題になるのか、NISCC Vulnerability Advisory 273756/NISCC/ISAKMPMultiple Vulnerability Issues in Implementations of ISAKMP Protocol (NISCC) を眺めてもいまいちよくわからないのだが、 In response to ISAKMP 'vulnerabilities' (bugtraq) にはこんな記述が:

The scope was further narrowed to IKE phase 1 with pre-shared secret authentication. Rationale behind this selection was:
IKE phase 1 does not require any special preconditions as phase 2 does. Additionally, phase 1 aggressive mode allows sending several payloads in the first packet.
IKE phase 1 authentication with pre-shared secret is required from all ISAKMP/IKE implementations.
Potential IKE vulnerabilites in above scope can be roughly categorised based on the on the IKE identity and shared secret:
A. Vulnerability does not require a valid identity nor a shared secret (greatest impact).
B. Vulnerability requires a valid identity but not the shared secret.
C. Vulnerability requires both a valid identity and the corresponding shared secret (smallest impact).

 そういうわけなのかどうかよくわからないが、NISCC Vulnerability Advisory 273756/NISCC/ISAKMP では緩和策としてこう書かれている。

- If possible, use packet filters and accept ISAKMP negotiations only from trusted IP-addresses
- Avoid using "aggressive mode*" in phase 1

 関連アドバイザリ:

 書く気が失せるほど影響が多岐にわたっているので、影響する製品については上記の関連アドバイザリを参照。 Openswan については JVN に Advisory がリンクされているけど、 IPsec Tools (racoon) についてはこちらを:

 関連情報:

2005.11.22 追記:


2005.11.17

マイクロソフトセキュリティアドバイザリ (911052) RPC によるメモリの割り当てのサービス拒否
(Microsoft, 2005.11.17)

 これのことでしょうか: memory leak and eventual DOS when calling UPNP getdevicelist on windows 2000 server と、訂正記事

iDEFENSE Security Advisory 11.15.05: Multiple Vendor GTK+ gdk-pixbuf XPM Loader Heap Overflow Vulnerability
(Wed, 16 Nov 2005 07:49:01 +0900)

 GTK+ 2.4.0 (以前?) に欠陥。 GTK+ における XPM 画像の処理に欠陥があり、攻略 XPM ファイルによって任意のコードを実行可能。CVE: CAN-2005-3186

fix / patch:

[Full-disclosure] iDEFENSE Security Advisory 11.15.05: Multiple Vendor Insecure Call to CreateProcess() Vulnerability
(Wed, 16 Nov 2005 07:49:41 +0900)

 いくつかの著名なアプリにおいて、CreateProcess() や CreateProcessAsUser() を不安全なやり方で使っている、という話。挙げられているのは:

 このうち

だそうです。

2005.11.18 追記:

 RealPlayer CreateProcess() Security Vulnerability. (RealNetworks, 2005.11.17)

ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか?
(星澤裕二メモ, 2005.11.16)

アクセスしたWebサイトのURLをトレンドマイクロに送信していることは間違いない。この仕様にケチをつけるつもりはない。問題は、多くのユーザがこの仕様について知らないということだ。前回も書いたが、このことについてマニュアルに明確な記述はないし、インストール時に説明もない。これではスパイウェアやアドウェアと同じではないか。

 普段は新しいウイルスバスターは 3 か月は寝かせるのですが、上記を確認したかったのでインストールしてみました。……確かに、説明されませんね。

2005.11.25 追記:

 つづきの記事:

 そしてさきほど、以下のサポート情報が公開されました。

 アクセス先 URL とアクセス先IPアドレスがトレンドマイクロに送られる仕様だそうです。

2005.11.26 追記:

 トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思うし。

 ちなみに手元のウイルスバスター 2006 なのだが、単に処理に時間がかかりすぎるという理由から、フィッシング詐欺対策ツールバーは無効にしてしまった。 リクエスト毎にいちいち WAN 経由で問いあわせするという仕様はなあ……。 ウイルスバスター2006のフィッシング詐欺対策ツールバー (星澤裕二メモ, 2005.11.02) には tis14-JP.url.trendmicro.com という名前が出てくるので調べてみると、

% host tis14-JP.url.trendmicro.com
tis14-JP.url.trendmicro.com is a nickname for trendmicro.georedirector.akadns.net
trendmicro.georedirector.akadns.net is a nickname for trendmicro.com.edgesuite.net
trendmicro.com.edgesuite.net is a nickname for a151.g.akamai.net
a151.g.akamai.net has address 60.254.129.103
a151.g.akamai.net has address 60.254.129.102

 akamai 化されてはいるようですが……。

2005.12.04 追記:

 TTFOXZの日記 というページが、星澤氏や高木氏の指摘に対して言及しているが、正直に言って、よけいな事を書きすぎているように思う。

 今回の問題の根本をもういちど見てみよう。 ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか? (星澤裕二メモ, 2005.11.16) より:

アクセスしたWebサイトのURLをトレンドマイクロに送信していることは間違いない。この仕様にケチをつけるつもりはない。問題は、多くのユーザがこの仕様について知らないということだ。前回も書いたが、このことについてマニュアルに明確な記述はないし、インストール時に説明もない。これではスパイウェアやアドウェアと同じではないか。

 ユーザのアクセス先 URL 情報を第三者 (トレンドマイクロ) に無断で送信しているのは「スパイウェアやアドウェアと同じではないか」という指摘だ。こういうことを行うのであれば、通常は、製品のインストール時や実行時に同意を求めるものだ。たとえば最近 Antinny 方面で話題になった、Microsoft の悪意のあるソフトウェアの削除ツールの EULA にはこうある (画像。実際に見たい場合は、IE でアクセスし、削除ツールを web 上で実行すればよい):

プライバシーに関する通知 本ソフトウェアがお客様のデバイスで悪意のあるプログラムの存在を確認するとき、お客様のデバイスで悪意のあるプログラムが発見および除去されたかどうかをお客様に報告するためにのみ、お客様のデバイスから情報が収集されます。しかし、マイクロソフトは、本ソフトウェアの使用に関する統計データを収集、公開する場合があります。お客様のご希望により、本ソフトウェアの報告機能を http://go.microsoft.com/fwlink/?LinkID=39987 の指示に従って無効にすることができます。

同意を求め、また Microsoft への情報提供を無効にする方法も提供している (実際に無効にする方法を発見するにはリンクを何度もたどった上に中身をよく読まなければならないのがアレではあるが……。KB891716FAQ の Q3 がそれ)。

 繰り返しになるが、トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思う。 サポート情報が出ているものの、ほとんどのユーザは気がついていないのが現状だろう。 最低でも、このサポート情報の存在を全登録ユーザにメールで知らせる、くらいのことはした方がいいと思う。

 TTFOXZの日記 では、2005-11-28

ねぇ星澤さん。PhishWallではどんな情報を送信しているんですか?
私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた(今後、改良更新されるかもしれないが・・)。

と書いているが、セキュアブレインホームページPhishWall をたどると現れるページの左メニューにある PhishWall サーバ にある説明を見る限りでは、何をどこに送っているかは明確だし、第三者たるセキュアブレインにユーザの情報が送られるようにもなっていない。 このページは昨日今日できたものではないはずだが、 どのあたりを見ると「私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた」という記述が生まれるのか、私にはよくわからない。

 ちなみに、PhishWall のダウンロードページは ここ (kddi.ne.jp)、 EULA はここ (kddi.ne.jp) にある。ダウンロードページも EULA も securebrain.co.jp にはない……というあたりはツッコミどころのように思うのだが、TTFOXZ 氏はそういうところには興味はないようだ。

2005.12.04 追記 2:

 関連情報:

2005.12.27 追記:

 関連記事:

 さて、ウイルスバスタークラブ会員宛に、2005.12.21 付で「ウイルスバスタークラブニュース2005年 12月」が届いた。登録ユーザ宛のニュースレターなのだから、今回のような事案に関する案内にはもってこいのはずだ。だから何が書かれているか (書かれていないか) には興味が湧いた。その中身は……

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 【1】ウイルスバスター2006の新機能:フィッシング詐欺対策/スパイウェア対策
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■手口が多様化・巧妙化し、総合的な対策を求められるフィッシング詐欺。
 ウイルスバスター2006では、新たに「フィッシング詐欺対策」機能を搭載
 しました。
 http://www.trendmicro.co.jp/consumer/products/vb/goodnews/security/phishing/

 ★フィッシング詐欺とは?
 金融機関やショッピングサイトなどを装ったメールを送り、そこにリンクを
 貼り付けてニセのサイトに誘い出し、クレジットカード番号やパスワード
 などをだまし取るという詐欺行為です。
 http://www.trendmicro.com/jp/support/vbc/monthly/sclass/backnumber/sclass0502.htm

 まず第一に機能の宣伝 (だけ) ですか……。 ここで solutionId=12478 に触れるという手段もあったと思うのだが。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 【7】ウイルスバスター よくあるご質問(製品Q&A)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 トレンドマイクロでは、製品に関する情報や、トラブル発生時に参考となる
 情報、ウイルスバスタークラブセンターに多く寄せられるお問い合わせを
 「製品Q&A」として公開しています。情報は常に更新されています。
 最近追加された製品Q&Aの中から、特にお問い合わせの多いものをご紹介
 します。

◆手動スパイウェア検索にて手動検索実行後、「次回から放置」を設定した
 場合に、元の設定に戻すには
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12470

◆[URLフィルタ]ならびに[フィッシング対策ツールバー]によってトレンド
 マイクロへ送信される情報と扱いについて
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12478

 これでは、ふつうのユーザは見逃してしまうだろう。 せっかくきちんと告知するチャンスだったのに。 solutionId=12478 を独立させて大項目にすれば、多くの人に気づいてもらえるはずなのになあ。

2006.02.07 追記:

 閲覧しているページのURLを送信するツールバー類のリスクとその機能説明 (高木浩光@自宅の日記, 2006.02.05) のうしろの方に、関連情報がある。 ウイルスバスター 2006 に、いつのまにか、記述が少し追加されたようだ。 しかしこれでは、販売当初から使っている人には伝わらないし……。

2006.09.04 追記:

 ウイルスバスター2007 ファースト・インプレッション (MYCOM ジャーナル, 2006.09.02)。ウイルスバスター2007 では、きちんと説明されるようになっているようです。

追記

いろいろ (2005.11.11)

 JVN#25106961: Kent Web PostMail におけるメール第三者中継の脆弱性 (JVN) の件だが、匿名希望さん (情報ありがとうございます) によると、 2.x なども含む 3.1 以前には、開発元が 3.3 で対応したものとは別の欠陥があるそうだ。 PostMail のページでは Ver: 2.41 【旧版】が配布されているが、これは使わず、最新の 3.3 を使うのがよい模様。 JVN では確かに「影響を受けるシステム - Kent Web PostMail 3.2 及びそれ以前」となっているが、そういうことだったのか。

The "Sony rootkit" case

 関連記事:


2005.11.16

UNICODE バグ
(Sanaki's Private Home Page, 2005.11.15)

 最近再び脚光を浴びつつある (?) UNICODE バグに関する、佐名木さんのまとめ。 こういうのは見逃されやすいと思うので注意が必要。一読しておきましょう。

 関連: [connect24h:10021]


2005.11.14

追記

The "Sony rootkit" case

 関連記事:


2005.11.12

いろいろ
(various)

追記

The "Sony rootkit" case

 関連記事:

Macromedia Flash Player不正メモリアクセス脆弱性

 マイクロソフト セキュリティ アドバイザリ (910550): Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性 (Microsoft, 2005.11.10)。


2005.11.11

いろいろ (2005.11.11)
(various)

2005.11.17 追記:

 JVN#25106961: Kent Web PostMail におけるメール第三者中継の脆弱性 (JVN) の件だが、匿名希望さん (情報ありがとうございます) によると、 2.x なども含む 3.1 以前には別の欠陥があるそうだ。 PostMail のページでは Ver: 2.41 【旧版】が配布されているが、これは使わず、最新の 3.3 を使うのがよい模様。 JVN では確かに「影響を受けるシステム - Kent Web PostMail 3.2 及びそれ以前」となっているが、そういうことだったのか。

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2005.11.10)

 RealPlayer 8 / 10 / 10.5, RealOne Player v1 / v2, RealPlayer Enterprise, Helix Player に欠陥。

 RealPlayer 10.5 / Mac OS X 用 RealPlayer 10 / Linux 用 RealPlayer 10 / Linux 用 Helix Player / RealPlayer Enterprise については修正版が用意されているようだ。その他のバージョンについては、最新版の RealPlayer に移行する必要があるようだ。

追記

SYM05-024: Exploitation of a buffer overflow vulnerability in VERITAS NetBackup (tm) Enterprise Server/Server 5.0 and 5.1 could potentially lead to a remote Denial Of Service or remote code

 関連: [Full-disclosure] iDEFENSE Security Advisory 11.10.05: Stack Overflow in Veritas Netbackup Enterprise Server

[memo:8855] KB896424 (MS05-053) patch が SUS に流れてこない

 関連記事:

The "Sony rootkit" case

 マルウェアまとめ:

 関連記事:


2005.11.10

追記

The "Sony rootkit" case

 関連記事:

  • SONY BMG、DRMソフトのrootkit問題で新パッチ、批判は収まらず (ITmedia, 2005.11.09)

     「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」とSONY BMGのグローバルデジタルビジネス担当社長トーマス・ヘス氏は4日、National Public Radio(NPR)の取材に対して語った。

     火に油を注いでいるようにしか聞こえないのだが、何が問題とされているのか、この人は理解しているのだろうか……。

     SONY BMGは、まずCDにrootkit機能を搭載してしくじり、このプログラムに対する批判への対応で傷口を広げたと、CAのeTrust Security Management担当副社長サム・カリー氏は語る。
     「いい加減に目を覚ましてもらいたい。SONY BMGは個人ユーザーと企業ユーザーの権利に対する理解が一貫して欠けている」(同氏)

     SONY の中の人には聞こえているのだろうか。

  • SONY BMG、rootkit的DRMめぐり訴えられる (ITmedia, 2005.11.10)

  • ついに、SONY rootkit を利用するマルウェアが登場したようです。

[memo:8855] KB896424 (MS05-053) patch が SUS に流れてこない

 2005.11.10 10:45 AM 現在、まだ直ってないですね…… orz。 関連:

 2005.11.10 21:00 現在、まだ直ってないですね…… orz

  • なぜ対応がここまで遅れるのか?
  • そもそもなぜこのような状況になったのか? (なぜ未然に防げなかったのか?)

に関する説明が必要だよなあ。いや、直ってからでいいけど。

 2005.11.10 21:55、ついに直ったようです。SUS で patch が流れてきています。(^^)

いろいろ
(various)

Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)
(Microsoft, 2005.11.09)

 Windows 2000 / XP / Server 2003 に 3 つの欠陥。

 修正プログラムがあるので適用すればよい。ただし SUS では今だに配布されていないようなので注意。関連:


2005.11.09

[memo:8855] KB896424 (MS05-053) patch が SUS に流れてこない
(memo ML, Wed, 09 Nov 2005 18:17:26 +0900)

 SUS にはなぜか KB896424 (MS05-053) patch が流れてきていないようです。 何度同期をかけても「Software Update Services は最新の状態です。同期中に変更する必要はありません。」と言われてしまいます (匿名希望さん情報ありがとうございます)。♪なんでだろ〜

 WSUS には問題なく流れてきていることを確認しています。うーむむむ……。

 ……この件ですが、信頼できる筋からの情報によると、Microsoft でも状況を把握しており、現在対応作業中のようです。 (信頼できる筋の方、情報ありがとうございます)

2005.11.10 追記:

 2005.11.10 10:45 AM 現在、まだ直ってないですね…… orz。 関連:

 2005.11.10 21:00 現在、まだ直ってないですね…… orz

に関する説明が必要だよなあ。いや、直ってからでいいけど。

 2005.11.10 21:55、ついに直ったようです。SUS で patch が流れてきています。(^^)

2005.11.11 追記:

 関連記事:

2005 年 11 月のセキュリティ情報
(Microsoft, 2005.11.09)

 セキュリティ関係:

 「セキュリティ以外の優先度の高い 2 つの更新プログラム」はこれか?

 Office 2003 の アップデート (Microsoft) を見ると、 「Microsoft IME 2003 最新語辞書更新 2005 年 11 月版」 とか 「Content Management Server 2002 Service Pack 2」 とかも出てますね。

 あと、.NET Framework 2.0 とか WMDRM 対応 Media Player 用の更新プログラム (KB891122) も出ているようですね。

 関連記事:

SYM05-024: Exploitation of a buffer overflow vulnerability in VERITAS NetBackup (tm) Enterprise Server/Server 5.0 and 5.1 could potentially lead to a remote Denial Of Service or remote code
(Symantec, 2005.11.08)

 VERITAS NetBackup 5.0 / 5.1 に欠陥。 NetBackup 5.0 / 5.1 の volume manager daemon (vmd) に buffer overflow する欠陥があり、 任意のコードを実行可能。NetBackup 4.5 / 6.0 にこの欠陥はない。

 NetBackup 5.0 / 5.1 用の次期 Maintenance Pack (MP) (5.0 MP6 / 5.1 MP4) ではこの欠陥は修正されている。また最新の MP (5.0 MP5 / 5.1 MP3A) 用の Cumulative Security Pack (NB_50_5S2 / NB_51_3AS2) でも修正されている。

 ……日本語版出ました: SYM05-024: VERITAS NetBackup 5.x : Volume Manager Daemon が使用する共有ライブラリにバッファ・オーバーフローの脆弱性 (シマンテック)。

2005.11.11 追記:

 関連: [Full-disclosure] iDEFENSE Security Advisory 11.10.05: Stack Overflow in Veritas Netbackup Enterprise Server

追記

The "Sony rootkit" case

  ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? (@IT, 2005.11.09)。Mark Russinovich 氏による Sony, Rootkits and Digital Rights Management Gone Too Far (Mark's Sysinternals Blog, 2005.10.31) の翻訳版。

Oracle October 2005 CPU Problems
(NGSSoftware, 2005.11.09)

 Oracle 8.1.7.4 に対して Critical Patch Update - October 2005 を適用しても、インストールスクリプトの不備のために、Oracle Text (CTXSYS) コンポーネントに対してうまく patch があたらない、という話がある模様。

[sylpheed-jp:03221] [SECURITY] Sylpheed 2.0.4 / 1.0.6 released
(sylpheed-jp ML, Tue, 8 Nov 2005 16:27:23 +0900)

 Sylpheed 0.6.4 以降に欠陥。 LDIFファイルをインポートする際に buffer overflow が発生する。 山崎さん情報ありがとうございます。

 Sylpheed 2.0.4, 2.1.6, 1.0.6 において修正されている。 関連:


2005.11.08

追記

The "Sony rootkit" case

 関連記事:

  • SONY BMGのrootkit問題対策パッチに新たな問題 (slashdot.jp, 2005.11.07)

  • SONY BMGのコピー防止CD問題に新たな指摘 (ITmedia, 2005.11.07)

    Winternals Softwareのチーフソフトウェアアーキテクト、マーク・ルシノビッチ氏 (中略) によると、SONY BMGのパッチの設計上のミスにより、理論上、このパッチをインストールした時にコンピュータがクラッシュする可能性がある。クラッシュが起きる危険性は低いが、この問題はSONY BMGの評判をさらに損なうものだと同氏は言う。
  • SONY BMGのrootkit的手法、集団訴訟の可能性 (ITmedia, 2005.11.08)

    イタリアのプライバシー保護団体であるElectronic Frontiers Italy(ALCEI)は11月4日、SONY BMGがイタリア国内において「違法行為」を犯したとして、同社が消費者のコンピュータに秘密裏にソフトウェアを侵入させていることに対する刑事告発を求める文書を当局に提出した。
Macromedia Flash Player不正メモリアクセス脆弱性

 Macromedia Player Licensing (macromedia.com) でライセンスを取得すると、イントラネット等に再配布できる MSI 形式の Flash Player などを入手できます。(info from Handler's Diary November 8th 2005)

Black Hat Japan 2005 - Unicode制御文字によるDirectory Traversal攻撃

 伊原さんから (情報ありがとうございます):

Mycom が Unicode 制御文字と勘違いして、タイトルの付け方を間違えているのはさておき、"考案者”な Hasegawa さんが解説されていますので下記 URL を付記していただくとわかりやすいのではないかと思いご一報です。

http://d.hatena.ne.jp/hasegawayosuke/20051108#1131410804
ClamAV に複数の欠陥

 OLE2 unpacker で DoS になる欠陥 CAN-2005-3239 も修正されているそうです。ただし、ClamAV のデフォルト設定ではこの欠陥は発現しないそうです。

いろいろ
(various)


2005.11.07

Black Hat Japan 2005 - Unicode制御文字によるDirectory Traversal攻撃
(MYCOM PC WEB, 2005.11.07)

 先日の JVN#18282718: Hyper Estraier におけるディレクトリトラバーサル/サービス不能の脆弱性 のような事例はごろごろ転がっているってことなのかな……。

2005.11.08 追記:

 伊原さんから (情報ありがとうございます):

Mycom が Unicode 制御文字と勘違いして、タイトルの付け方を間違えているのはさておき、"考案者”な Hasegawa さんが解説されていますので下記 URL を付記していただくとわかりやすいのではないかと思いご一報です。

http://d.hatena.ne.jp/hasegawayosuke/20051108#1131410804

ClamAV に複数の欠陥
(various)

 ClamAV に複数の欠陥。

 いずれも ClamAV 0.87.1 で修正されている。

2005.11.08 追記:

 OLE2 unpacker で DoS になる欠陥 CAN-2005-3239 も修正されているそうです。ただし、ClamAV のデフォルト設定ではこの欠陥は発現しないそうです。

QuickTimeに複数のセキュリティ・ホール,Mac版とWindows版の両方が影響を受ける
(日経 IT Pro, 2005.11.04)

 QuickTime 7.0.2 以前に 4 つの欠陥。

 最新の QuickTime 7.0.3 で修正されている。ダウンロードページから入手できる。

Macromedia Flash Player不正メモリアクセス脆弱性
(eEye, 2005.11.05)

 Macromedia Flash Player 6, Flash Player 7 に欠陥。 攻略 swf ファイルによって任意のコードを実行可能。 CVE: CAN-2005-2628。高橋さん情報ありがとうございます。 eEye ではあくまで「Windows 版 Flash Player」の欠陥としているが、 対応する MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability (Macromedia) では、そのような制限事項は記されていないため、他の OS 用についても同様の欠陥が存在すると考えられる。

 MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability (Macromedia) によると、

においては、この欠陥は修正されているそうだ。 Flash Player 8 は ダウンロードページから、 Flash Player 7 update は Flash Player upgrade for operating systems that do not support Flash Player 8 から入手できる。 現在利用中の Flash Player のバージョンは http://www.macromedia.com/jp/software/flash/about/ で確認できる。

2005.11.08 追記:

 Macromedia Player Licensing (macromedia.com) でライセンスを取得すると、イントラネット等に再配布できる MSI 形式の Flash Player などを入手できます。(info from Handler's Diary November 8th 2005)

2005.11.12 追記:

 マイクロソフト セキュリティ アドバイザリ (910550): Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性 (Microsoft, 2005.11.10)。


2005.11.06

XML-RPC for PHP Vulnerability Attack
(SANS ISC, 2005.11.05)

 XML-RPC for PHP の欠陥 ([SA15852] XML-RPC for PHP Unspecified PHP Code Execution Vulnerability, CVE: CAN-2005-1921) を使って繁殖するワームが登場した模様。 攻略された事例: [memo:8842] ワームらしきものに襲われました。 XML-RPC for PHP はさまざまな PHP アプリで利用されているので注意が必要。

 この欠陥は

のだが、世の中的には、 XML-RPC for PHPPEAR XML_RPC の修正としてではなく、各 PHP アプリ自身の修正として対応されている場合が少なくないようなのでややこしい。たとえば上記の攻略された事例 (Debian / eGroupWare) の場合は、 [SECURITY] [DSA 747-1] New egroupware packages fix remote command execution が該当する修正と思われ。 欠陥あり PHP アプリのリストは、 OSVDB ID: 17793Bugtraq ID: 14088 が参考になる模様。 Bugtraq ID: 14088 では CAN-2005-2116 も参照されているけれど、これは CVE-2005-1921 と重複しているから使うな、とされている。

 手元の web サーバの log を grep してみたら、けっこうきてますね。 errorlog にこんな感じで残ってます:

[Sat Nov 5 12:44:23 2005] [error] [client 61.229.xxx.xxx] File does not exist: /(中略)/xmlrpc.php

2005.11.04

マイクロソフト セキュリティ情報の事前通知
(Microsoft, 2005.11.04)

 2005.11.09 は Windows が 1 件、最大深刻度は「緊急」、再起動が必要、の予定だそうです。

 また、非セキュリティな更新プログラムも複数存在するようです。

追記

The "Sony rootkit" case

 関連記事:


2005.11.02

いろいろ
(varous)

追記

多数のウイルス対策ソフトにファイルの中身をチェックしない脆弱性

 Kaspersky の対応: patch 準備中。

 関連記事: セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは (CNET, 2005.11.01)

The "Sony rootkit" case

 関連記事 (うえむらさん情報ありがとうございます):

【重要】秘文シリーズ: Norton AntiVirus 2006をはじめとするシマンテック社セキュリティ製品をインストールすると、暗号ファイルが扱えなくなる問題についてのお知らせ

 シマンテックから回避策が公開されたようです。

PHP 4.x / 5.x に、致命的なものを含む複数の欠陥
(Hardened-PHP Project, 2005.10.31)

 PHP 4.4.0 以下 / PHP 5.0.5 以下に複数の欠陥が発見されています。

 いずれも PHP 4.4.1 で修正されています。 また PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下) (yohgaki's blog) に、 Advisory 20/2005: PHP File-Upload $GLOBALS Overwrite Vulnerability の PHP 4.3.11 / 5.0.4 / 5.0.5 用の patch が掲載されています (大垣さん情報ありがとうございます)。PHP 5.x 用 patch は CVS からのもの、PHP 4.3.11 用 patch は 4.4.1 からの backport だそうです。

 なお、PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下) (yohgaki's blog) によると、

PHP4はPHP4.4.1にアップグレードすれば大丈夫です。PHP4.4.xはソースの埋め込み定数参照の仕様が変更されているためプログラムが動作しなくなることがあります。(念のため)
(中略)
PHP5.0.5にはPHP4.4.0と同様に埋め込み定数参照の仕様が変更されています。PHP 4.3 -> PHP 4.4と同じ互換性問題がPHP 5.0.4 -> PHP 5.0.5で発生します。この為PHP 5.0.4とPHP 5.0.5の両方を用意しました。

だそうです。

 関連:

Advisory 17/2005: phpBB Multiple Vulnerabilities
(Hardened-PHP Project, Mon, 31 Oct 2005 09:16:37 +0900)

 phpBB 2.0.17 以前に複数の欠陥があり、PHP で register_globals=on な場合に、 XSS や SQL インジェクション、任意のコードの実行が可能になるみたい。

 phpBB 2.0.18 で修正されているようだ。phpBB の ChangeLog を見てもいまいちよくわからないけど。


2005.11.01

The "Sony rootkit" case
(F-Secure blog, 2005.11.01)

Sony BMG is currently using a rootkit-based DRM system on some CD records sold in USA. As far as we know, this system has been in use since March 2005. We've made some test purchases for Sony BMG records from Amazon.com and can confirm that they contained this technology.

 うひゃあ……。XCP DRM Software だそうです。

2005.11.02 追記:

 関連記事 (うえむらさん情報ありがとうございます):

2005.11.04 追記:

 関連記事:

2005.11.08 追記:

 関連記事:

2005.11.09 追記:

  ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? (@IT, 2005.11.09)。Mark Russinovich 氏による Sony, Rootkits and Digital Rights Management Gone Too Far (Mark's Sysinternals Blog, 2005.10.31) の翻訳版。

2005.11.10 追記:

 関連記事:

2005.11.11 追記:

 マルウェアまとめ:

 関連記事:

2005.11.12 追記:

 関連記事:

2005.11.14 追記:

 関連記事:

2005.11.17 追記:

 関連記事:

2005.11.18 追記:

 関連記事:

2005.11.21 追記:

 関連記事:

2005.11.22 追記:

 関連記事:

2005.11.26 追記:

 関連記事:

2005.12.01 追記:

 関連記事:

2005.12.06 追記:

 ソニーBMG,“ルートキット”を削除するツールの新版をリリース (日経 IT Pro, 2005.12.05)。今度こそまともなのかな。

2005.12.22 追記:

 関連記事:

2006.01.10 追記:

 関連記事:

2006.05.23 追記:

 SONY BMGのrootkit CD訴訟、和解を最終承認 (ITmedia, 2006.05.23)

2006.12.20 追記:

 「スパイ的DRM」訴訟でSONY BMGが和解 (ITmedia, 2006.12.20)。カリフォルニア州およびテキサス州と合意、だそうです。

2007.01.31 追記:

 SONY BMG、rootkit問題でFTCと和解へ (ITmedia, 2007.01.31)。FTC と和解だそうです。

2010.11.04 追記:

 「ほとんどの人は、ルートキットが何なのかさえ知らない」 (エフセキュアブログ, 2010.11.01)

追記

DSA-870-1 sudo -- missing input sanitising

 sudo 1.6.8p10 で対応されています。最新は sudo 1.6.8p11 です。

脆弱性情報の取扱い - JPCERT/CCとオープンソースソフト開発者が意見交換
(MYCOM PC WEB, 2005.10.31)

特にDebianの関係者からは「JVNで情報が公開されていてもCERT/CCからAdvisoryが出ていない場合に、セキュリティチームから『我々はCERT/CCに連動して動いているので、それ以外には対応できない』と言われてリリースを拒否される場合があるので、せめてJVNとCERT/CCで脆弱性番号は統一して欲しい」との意見があり、これにJPCERT/CC側は「我々も統一に向けて努力はしているが、今のところはCVE番号で対応していただくしかない」と返答していた。

 というか、そのための CVE なわけで……。JPCERT/CC は CERT/CC 日本支部ではないので、「JVNとCERT/CCで脆弱性番号は統一」というのはあり得ないと思うけどなあ。 それよりも、「CVE 番号をちゃんとつけてくれ!」「CVE に JVN へのリファレンスがきちんとつくようにしてくれ!」「英語版を用意してくれ!」といった要求の方が現実的だと思うのだけど、そういう要求はその場ではなかったのだろうか。

「既に自分たちのところではCERT/CCと直接情報をやり取りしているので、JPCERT/CCにPoCを登録するとむしろ情報ルートが複数になりかえって混乱する」

 同じ話が違うルートから時差つきで入ってきて、それぞれに個別に対応する必要が生じる可能性がありますよね……。CC 同士の連携が不十分ということなのかな。

Mac OS X Update 10.4.3
(Apple, 2005.11.01)

 Mac OS X 10.4.3 が出ています。

 セキュリティ修正が含まれています: APPLE-SA-2005-10-31 Mac OS X v10.4.3 (apple)。kernel の修正を除いては、Mac OS X 10.4 特有の欠陥の修正だそうです。

多数のウイルス対策ソフトにファイルの中身をチェックしない脆弱性
(日経 IT Pro, 2005.10.29)

 Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through forged magic byte (securityelf.org) の話。.bat / .htm / .eml ファイル冒頭にちょっとした偽情報をつけるだけで、既存のウイルスが検出されなくなり、しかもウイルス自体はそのまま動くみたい。そのまま動くというその仕様はどうよ > Microsoft、という気もしないではないが……。

 対応:

2005.11.02 追記:

 Kaspersky の対応: patch 準備中。

 関連記事: セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは (CNET, 2005.11.01)


[セキュリティホール memo]
私について