セキュリティホール memo - 2011.03

Last modified: Wed Oct 26 18:06:22 2011 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2011.03.31


2011.03.30

Kingston製の安価なSSDにデータ消失のおそれ、ファームウェアのアップデートを呼びかけ
(gigazine, 2011.03.29)

 Kingston の SSDNow V100 シリーズのファームウェアに欠陥があり、データ消失が発生する恐れがあるそうで。ファームウェアの更新で対応できる。


2011.03.29


2011.03.28

いろいろ (2011.03.28)
(various)

Google Chrome Stable Channel Update
(Google Chrome Release blog, 2011.03.24)

 Google Chrome 10.0.648.204 登場。6 件の欠陥が修正されている。


2011.03.27


2011.03.25

SCADAシステムに未修整の脆弱性情報、34件公表
(ITmedia, 2011.03.24)

 この件: Vulnerabilities in some SCADA server softwares (Luigi Auriemma / bugtraq, 2011.03.22)。対象は Siemens Tecnomatix FactoryLink、Iconics GENESIS32 / GENESIS64、7-Technologies IGSS、DATAC RealWin。


2011.03.24

マイクロソフト セキュリティ アドバイザリ (2524375) 不正なデジタル証明書により、なりすましが行われる
(Microsoft, 2011.03.24)

 Firefox のセキュリティアップデート (3.6.16/3.5.18) を公開しました (Mozilla Japan ブログ, 2011.03.23) や Google Chrome Stable and Beta Channel Updates (Google Chrome Release blog, 2011.03.17) と同様の件と思われ。

2011 年 3 月 16 日、マイクロソフトは Comodo から、その身元を十分に確認せずに、あるサードパーティの代わりに 9 つの証明書に署名したとの報告を受けました。これらの証明書は、Internet Explorer のユーザーなど、すべての Web ブラウザーのユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行または中間者攻撃に悪用される可能性があります。

これらの証明書は次の Web プロパティに影響します。

Comodo はこれらの証明書を失効させており、これらの証明書は Comodo の現在の証明書失効リスト (CRL) に表示されています。さらに、オンライン証明書状態プロトコル (OCSP) を有効にしているブラウザーは、対話的にこれらの証明書を確認し、使用されないようにブロックします。

 こういうことだったのか……。しかし、強烈な内容だな。

 関連: 不正なデジタル証明書に関する新規アドバイザリ 2524375 を公開 (日本のセキュリティチーム, 2011.03.23)

既に Comodo 社は、不正なデジタル証明書が利用できなくなるよう、デジタル証明書を失効させていますが、コンピューターを利用するネットワーク環境によっては、デジタル証明書の失効処理が正常に動作しない可能性があります。そのため、デジタル証明書の失効確認が正常に動作しなくても、フィッシング詐欺などの被害に遭わないよう、更新プログラム 2524375 をインストールすることをお勧めします。

 さらに関連:

2011.04.15 追記:

 Apple 4 連発 (Mac OS X, Safari, iOS for iPhone 4, iOS for iPhone / iPod / iPad) で Comodo の件が修正された。

2011.04.21 追記:

 Comodo事件はどのようにして起こったのか? (セキュリティは楽しいかね?, 2011.04.15)

2011.05.11 追記:

 セキュリティ アドバイザリ (2524375) が 2011.04.20 / 2011.05.09 / 2011.05.11 付で更新されている。

 Microsoft Kin / Zune 用更新プログラムはまだない。


2011.03.23

Firefox のセキュリティアップデート (3.6.16/3.5.18) を公開しました
(Mozilla Japan ブログ, 2011.03.23)

 Firefox 3.6.16 / 3.5.18 登場。

Mozilla は、複数の不正な SSL 証明書が公開サイト用に発行されているとの知らせを受けました。それらの証明書の効力は、ユーザを保護すべき発行元によって取り消されました。これは Firefox 固有の問題ではありません。Mozilla では、安全な Web 体験をユーザへ提供する継続的な取り組みの一環として Firefox 4、3.6、3.5 の各バージョンを更新し、それらの証明書を認識して自動的にブロックするよう対応しました。

 Google Chrome Stable and Beta Channel Updates (Google Chrome Release blog, 2011.03.17) と同様の内容かな。

いろいろ (2011.03.23)
(various)

脆弱性を修正したPHP 5.3.6リリース
(sourceforge.jp, 2011.03.22)

 PHP 5.3.6 登場。

Security Enhancements and Fixes in PHP 5.3.6:

 その他:

 あと、まだ直ってないもの。

追記

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 関連:

The OpenOffice.org Community Announces the Release of OpenOffice.org 3.3

 LibreOffice 3.3.2 Final (2011-03-22) (libreoffice.org, 2011.03.22)。OpenOffice.org 3.3 で修正された欠陥は LibreOffice 3.3.2 で対応されたようです。

About the security content of Mac OS X v10.6.7 and Security Update 2011-001
(Apple, 2011.03.21)

 Mac OS X 10.6.7 / Security Update 2011-001 (Mac OS X 10.8 用) 登場。計 57 種類のセキュリティ欠陥が修正されています。

Google Chrome 方面
(Google Chrome Release blog)


2011.03.22

追記

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 出ました。

 Mac 用 Flash Player が、ユニバーサルバイナリではなく Intel 専用になってますね。

Microsoft 2011 年 2 月のセキュリティ情報

 MS11-012 が改訂された。Windows 7 / Server 2008 R2 の SP1 も更新の対象だそうだ。

いろいろ (2011.03.22)
(various)


2011.03.21


2011.03.18

Windows Vista/7におけるISATAPルーター自動発見方式の脆弱性について
(JPRS, 2011.03.17)

 Windows Vista / 7 における ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) の実装に欠陥。 ISATAP は DNS を使って isatap という名前のホストを探すのだが、Windows Vista / 7 では自動的に第3レベルドメイン名まで検索してしまうため、自ドメイン外のサイトが参照されてしまう恐れがある。

 修正プログラムはない。クライアント側での設定による回避もできない。DNS サーバやドメイン名管理側で対応する必要がある。

追記

Microsoft 2011 年 3 月のセキュリティ情報

 MS11-015 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2510030) が 2011.03.17 付で改訂された。 XP Home Edition / Tablet PC Edition は欠陥の対象であり、配布されている修正プログラムにおいても当初から欠陥の対象となっていたと。cadz さんからの情報が裏付けられた形。

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 関連:

  • Adobeのゼロデイ脆弱性を悪用するExcelファイルを確認! (トレンドマイクロ セキュリティ blog, 2011.03.18)

  • 地震、津波、原発、節電などのファイル名の不正プログラムが国内で流通 (トレンドマイクロ セキュリティ blog, 2011.03.18)

  • A Technical Analysis on the CVE-2011-0609 Adobe Flash Player Vulnerability (Microsoft Malware Protection Center, 2011.03.17)

  • Blocking Exploit Attempts of the Recent Flash 0-Day (Microsoft Security Research & Defense, 2011.03.17)。EMET を使うと効果がある。Office <= 2007 の場合は特に効果があり、Office 2010 の場合も効果がある。

    For users who want additional protections as well as users of Microsoft Office prior to 2010, the Enhanced Mitigation Experience Toolkit (EMET) can help. Turning on EMET for the core Office applications will enable a number of security protections called security mitigations. The exploits we’ve seen so far are broken by three of these mitigations: DEP, Export Address Table Access filtering (EAF), and HeapSpray pre-allocation. EMET is of value even to Microsoft Office 2010 as it has the first of the three enabled by default, but does not have the second or third ones.

     また、Office 2007 の場合は、Office アプリからの Flash Player の起動を防止するよう設定することも効果がある。

    Beyond EMET, there is a workaround that Office 2007 users can use to prevent the Flash Player (as well as other ActiveX controls) from loading inside an Office application. This is done by changing the ActiveX setting in the Trusted Center to “Disable all controls without notification” as is shown in the screenshot below.

     設定方法 (Excel 2007 の例)

    1. [Office ボタン] → [Excel のオプション] をクリック。「Excel のオプション」ウィンドウが表示される。

    2. 「Excel のオプション」ウィンドウで、[セキュリティ センター] タブの [セキュリティ センターの設定] をクリック。「セキュリティ センター」ウィンドウが表示される。

    3. 「セキュリティ センター」ウィンドウで、[ActiveX の設定] タブの [すべての Office アプリケーションに適用する ActiveX の設定] において、「警告を表示せずにすべてのコントロールを無効にする」をチェックし、[OK] をクリック


2011.03.17

追記

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Google Chrome 内蔵の Flash Player は Google Chrome 10.0.648.134 で一足早く修正されました。Stable and Beta Channel Updates (Google Chrome Release Blog, 2011.03.15)

 マルウェア: Excel File Containing Adobe Zero-Day Exploit Found (trendmicro blog, 2011.03.16)


2011.03.16

追記

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat


2011.03.15

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
(Adobe, 2011.03.14)

 Windows / Mac / Linux / Solaris 用 Adobe Flash Player 10.2.152.33 以前 (Chrome の場合は 10.2.154.18 以前)、Android 用 Adobe Flash Player 10.1.106.16 以前、 および、 Windows / Mac 版の Adobe Reader / Acrobat 10.x / 9.x に含まれる Authplay.dll に致命的な欠陥があり、攻略 SWF ファイルによって任意のコードが実行される。 既に標的型攻撃に利用されており、判明している攻撃事例では、SWF ファイルを埋め込まれた Excel ファイルが電子メールに添付されている。CVE-2011-0609

 UNIX 版の Adobe Reader 9.x, Android 版の Adobe Reader、Adobe Reader / Acrobat 8.x にはこの欠陥はない。

 修正版は現在開発中であり、Flash Player、Acrobat、Mac 用 Adobe Reader X、Windows / Mac 用 Adobe Reader 9.x については 2011.03.21 の週に公開される予定。 Windows 用 Adobe Reader X については、Protected Mode によって攻撃を排除できると考えられることから、次回の 4 か月毎の定期更新 (2011.06.14) に含まれる予定。

 関連: Background on APSA11-01 Patch Schedule (Adobe blog, 2011.03.14)

2011.03.16 追記:

 日本語抄訳版が出ています: APSA11-01: Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報 (Adobe)

2011.03.17 追記:

 Google Chrome 内蔵の Flash Player は Google Chrome 10.0.648.134 で一足早く修正されました。Stable and Beta Channel Updates (Google Chrome Release Blog, 2011.03.15)

 マルウェア: Excel File Containing Adobe Zero-Day Exploit Found (trendmicro blog, 2011.03.16)

2011.03.18 追記:

 関連:

2011.03.22 追記:

 出ました。

 Mac 用 Flash Player が、ユニバーサルバイナリではなく Intel 専用になってますね。

2011.03.23 追記:

 関連:

2011.04.08 追記:

 Adobe Flash Player のauthplay.dllの脆弱性(CVE-2011-0609)に関する検証レポート (NTTデータ・セキュリティ, 2011.03.29)

2011.06.16 追記:

  APSB11-16: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.06.14)。Adobe Reader X 10.1 for Windows 出ました。

いろいろ (2011.03.15)
(various)


2011.03.14

追記

VU#555316: STARTTLS plaintext command injection vulnerability


2011.03.13


2011.03.12


2011.03.11

追記

Microsoft 2011 年 3 月のセキュリティ情報

 cadz さんから (情報ありがとうございます)

MS11-015 の記述ですが、私のXPHomeSP3環境ではWindowsUpdateで(KB2479943)として降りてきました。

リンク先の http://www.microsoft.com/japan/technet/security/bulletin/MS11-015.mspx の『影響を受けないソフトウェア』のリストが間違えているか、WindowsUpdateの方がミスしているのか?
どちらかだと思いますが、取り急ぎお知らせします。

2011.03.10

About the security content of Apple TV 4.2
(Apple, 2011.03.09)

 Apple TV 4.2 登場。4 件の欠陥が修正されている。

About the security content of Safari 5.0.4
(Apple, 2011.03.09)

 Safari 5.0.4 登場。62 件の欠陥が修正されている。

 Safari 5.0.3 / Mac OS X 10.6.6 は pwn2own day one: Safari, IE8 fall, Chrome unchallenged (arstechnica, 2011.03.09) で瞬殺だったようですが、Safari 5.0.4 ならどうったんでしょうね。

About the security content of iOS 4.3
(Apple, 2011.03.09)

 iOS 4.3 登場。59 件の欠陥が修正されている。

VU#555316: STARTTLS plaintext command injection vulnerability
(US-CERT, 2011.03.07)

 複数の STARTTLS 実装に欠陥。平文プロトコル時に入力したコマンドが暗号化プロトコル時に実行されてしまう。平文から TLS への切替が、アプリケーションの IO バッファ処理とは別のレイヤーで行われてしまうのが原因。STARTTLS を実装する場合は、TLS への移行後直ちに IO バッファを破棄しなければならない。CVE-2011-0411

 全ての STARTTLS 実装にこの欠陥があるわけではないので注意。 Status: Unknown が多いが、Postfix や Qmail-TLS が該当している。

 関連: JVNVU#555316: 複数の STARTTLS 実装に脆弱性 (JVN)

2011.03.14 追記:

 Plaintext injection in STARTTLS (multiple implementations) (Wietse Venema, 2011.03.08)

いろいろ (2011.03.10)
(various)


2011.03.09

Microsoft 2011 年 3 月のセキュリティ情報
(Microsoft, 2011.03.09)

MS11-015 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2510030)

 Windows XP / Vista / 7 / Server 2008 R2 に 2 つの欠陥。 ただし XP Home Edition / Tablet PC Edition、 Server 2008 R2 for Itanium-based Systems は除く。

  • DirectShow の安全でないライブラリのロードの脆弱性 - CVE-2011-0032

    DirectShow に DLL 読み込みに関する脆弱性

  • DVR-MS の脆弱性 - CVE-2011-0042

    Windows Media Player / Windows Media Center における .dvr-ms ファイル (Microsoft Digital Video Recording ファイル) の処理に欠陥があり、攻略 .dvr-ms ファイルによって任意のコードが実行される。

MS11-016 - 重要: Microsoft Groove の脆弱性により、リモートでコードが実行される (2494047)

MS11-017 - 重要: リモート デスクトップ クライアントの脆弱性により、リモートでコードが実行される (2508062)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 Windows リモートデスクトップクライアント 5.2 / 6.0 / 6.1 / 7.0 に DLL 読み込みに関する脆弱性がある。CVE-2011-0029

 ただし、Windows XP x64、Server 2003 SP2、7 SP1、Server 2008 R2 SP1 にはこの欠陥はない。

 なお、更新プログラムを適用すると、スタートメニューのショートカットが英語表示になるなどの問題が発生することがある。KB2508062 参照。

2011.03.11 追記:

 cadz さんから (情報ありがとうございます)

MS11-015 の記述ですが、私のXPHomeSP3環境ではWindowsUpdateで(KB2479943)として降りてきました。

リンク先の http://www.microsoft.com/japan/technet/security/bulletin/MS11-015.mspx の『影響を受けないソフトウェア』のリストが間違えているか、WindowsUpdateの方がミスしているのか?
どちらかだと思いますが、取り急ぎお知らせします。

2011.03.18 追記:

 MS11-015 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2510030) が 2011.03.17 付で改訂された。 XP Home Edition / Tablet PC Edition は欠陥の対象であり、配布されている修正プログラムにおいても当初から欠陥の対象となっていたと。cadz さんからの情報が裏付けられた形。

追記

February 2011 Java SE and Java for Business Critical Patch Update Released

 Java SE 6 Update 24 に対応する Mac OS X 用 Java が登場:

 Mac OS X 利用者は更新しませう。

Google Chrome Stable Release
(Google Chrome Relase Blog, 2011.03.08)

 Google Chrome 10.0.648.127 登場。23 件の欠陥が修正されている。


2011.03.08


2011.03.07


2011.03.06

追記

Firefox 3.6.14 / 3.5.17、Thunderbird 3.1.8 公開 (セキュリティ更新)

 Firefox 3.6.14 / Thunderbird 3.1.18 には不具合があったそうで、Firefox 3.6.15 / Thunderbird 3.1.19 が出ています。Firefox 3.5.17 にはこの不具合はありません。


2011.03.04

追記

推測の困難なパスワードを設定してもWindowsのスクリーンロックが数十秒で強制解除される?

マイクロソフト セキュリティ情報の事前通知 - 2011 年 3 月
(Microsoft, 2011.03.04)

 今月は緊急 x 1、重要 x 2 が予定されています。Windows x 2、Office x 1 (Microsoft Groove 2007)。

qmail/netqmailにおける512バイトを超えるDNS応答の不適切な取り扱いについて
(JPRS, 2011.03.03)

 qmail/netqmail は 512 バイトを越える DNS 応答をきちんと扱えないので http://www.ckdhr.com/ckd/qmail-103.patch を適用してくださいね、という話。FreeBSD の ports/mail/qmail にはこの patch は含まれているようです。関連: qmail はオワコン (どさにっき 3D 〜2011年2月上旬〜, 2011.02.07)

つーことで、たいへん不本意ながら life with qmail の翻訳に訳注を追加。ほんとだったら「いいかげん捨てましょう」と一言だけ書いたページに差し替えたいところ。捨てられないのはしかたないとして、それならば 最低限必要なパッチを適用しているか確認して、まだだったらコンパイルしなおしてください。おれ qmail じゃなくて netqmail だもんねー、とかいう人もパッチ必須。なぜだか知らんが netqmail でも無視されてるパッチなので。qmail-1.03 が出て2ヶ月後にはすでに発覚してパッチが出てるバグなのに、なんでそれから10年以上たってもみんなまだ放置してるんかね。
最近では SPF がかなり普及して大きな TXT レコードを持つドメインも増えたし、何より決定的なのが DNSSEC。これに対応しているドメインに ANY で問い合わせると、(DNSSEC 非対応なキャッシュサーバからの問い合わせであっても)ほぼ確実に 512バイトを越えるサイズの応答が返る。つまり、DNSSEC に対応したドメインには素の qmail ではメールが送れない。512バイト超の応答を返す DNS と、それを扱えない qmail のどちらが悪いかというと、疑う余地もなく qmail。DNSSEC や SPF が普及したのは比較的最近だけど、DNS 応答が512バイト以上にはならない、なんてのは qmail が出た13年前ですらウソだったんだから。

2011.03.03

About the security content of iTunes 10.2
(Apple, 2011.03.02)

 iTunes 10.2 登場。


2011.03.02

Firefox 3.6.14 / 3.5.17、Thunderbird 3.1.8 公開 (セキュリティ更新)
(mozilla.jp, 2011.03.02)

 Firefox 3.6.14 / 3.5.17、Thunderbird 3.1.8 公開されています。

 複数の欠陥は SeaMonkey にも影響し、SeaMonkey 2.0.12 で修正されます。SeaMonkey 2.0.12 はまもなく公開されるものと思われます。

 なお、Thunderbird 3.0 系列のメンテナンスは終了しています。Thunderbird 3.1.8 にアップグレードしてください。

 Firefox 3.5 系列のメンテナンスっていつまで続くんだろう……。 http://mozilla.jp/firefox/download/older/ にはこんなふうに書かれているけど。

Firefox 3.5 のサポート (セキュリティアップデートの提供) は 2010 年 8 月で終了予定でした。現在の延長サポートは予告なく終了する可能性があります。すべてのユーザに Firefox 3.6.14 への更新を強く推奨します。

2011.03.06 追記:

 Firefox 3.6.14 / Thunderbird 3.1.18 には不具合があったそうで、Firefox 3.6.15 / Thunderbird 3.1.19 が出ています。Firefox 3.5.17 にはこの不具合はありません。


2011.03.01

いろいろ (2011.03.01)
(various)

[Announce] Samba 3.5.7, 3.4.12 and 3.3.15 Security Releases Available
(Samba.org, 2011.02.28)

 全てのリリース版 samba に欠陥。ファイル記述子の範囲チェックが行われていないため、remote からメモリ破壊による DoS 攻撃が可能。 CVE-2011-0719

 Samba 3.5.7 / 3.4.12 / 3.3.15 で修正されている。

Google Chrome Stable Channel Update
(Google Chrome Relase Blog, 2011.02.28)

 Google Chrome 9.0.597.107 登場。18 件の欠陥が修正されている。


[セキュリティホール memo]
[私について]