セキュリティホール memo - 2012.08

Last modified: Wed Oct 10 11:07:13 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.08.31

いろいろ (2012.08.31)
(various)

SYM12-013: Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Security Issues
(Symantec, 2012.08.27)

 Symantec Messaging Gateway 9.5.x に 5 つの欠陥。

 Symantec Messaging Gateway 10.0 で修正されている。

Chrome Stable Channel Update
(Google, 2012.08.30)

 Chrome 21.0.1180.89 登場。8 件のセキュリティ欠陥が修正されている。

APSB12-20: Security update available for Adobe Photoshop CS6
(Adobe, 2012.08.30)

 Adobe Photoshop CS6 (13.0) に buffer overflow する欠陥があり、攻略ファイルを開くと任意のコードが実行される。この欠陥は Photoshop CS5.1 (12.1.1) 以前には存在しない。CVE-2012-4170

 Photoshop CS6 (13.0.1) で修正されている。Photoshop CS6 13.0.1 Update Now Available (Adobe, 2012.08.30) を参照。

 日本語抄訳版出てました: APSB12-20: Adobe Photoshop CS6 に関するセキュリティアップデート公開 (Adobe, 2012.08.30)

追記

Zero-Day Season is Not Over Yet

 関連:

 ……で、ようやく fix 出ました。Java SE 7 Update 7 / 6 Update 35。

 さらに関連:

Opera 12.02 security and stability release
(Opera, 2012.08.30)

 Opera 12.02 公開。Advisory: Truncated dialogs may be used to trick users が修正されている。


2012.08.30

追記

APSB12-16: Security update available for Adobe Reader and Acrobat


2012.08.29

Firefox / Thunderbird 15.0 / 10.0.7 ESR、SeaMonkey 2.12 登場
(mozilla.org, 2012.08.28)

 例によってセキュリティ修正多数です。

 関連:

追記

APSB12-16: Security update available for Adobe Reader and Acrobat

 Adobe Reader / Acrobat 9.5.2 / 10.1.4 に更新すると、不具合が発生することがあるそうで:

Zero-Day Season is Not Over Yet

 関連:

  • Oracle Java 7の脆弱性を狙った攻撃について (エフセキュアブログ, 2012.08.29)。LAC 岩井さんの記事。まずはこれを読もう。

  • Blackhole:パッチのスピードよりも高速 (エフセキュアブログ, 2012.08.29)

  • Javaランタイム環境 = 常に脆弱なマシン (エフセキュアブログ, 2012.08.28)。永久脆弱マシン。

  • 猛威を振る Java ゼロデイ攻撃コード (Sophos, 2012.08.28)

    私はこれまで可能であれば Java を削除するように推奨してきましたし、その考えは今も同じです。しかし、残念ながら多くのユーザーにとって Java は必要悪となっています。私も Java を使用する Libre/Open Office のユーザーです。

    この問題に対する良い解決策として、お気に入りの Web ブラウザで Java プラグインを無効にすることをお勧めします。
  • 【ゼロデイ攻撃】JREの未修整の脆弱性を悪用した攻撃発生 (so-net セキュリティ通信, 2012.08.29)。IE、Firefox、Google Chrome の Java 無効化方法がまとまっている。

    ■Internet Explorer
    1)[ツール]アイコンをクリックし[アドオンの管理]を選択、または[ツール]メニューの[アドオンの管理]を選択し、「アドオンの管理」画面を表示する。メニューに[アドオンの管理]がない場合は、[ツール]メニューの[インターネットオプション]で「インターネットオプション」画面を開き、[プログラム]タブの[アドオンの管理]ボタンをクリックすると、「アドオンの管理」画面が表示される。
    2)IE8/9は、「アドオンの管理」画面の「アドオンの種類」から[ツールバーと拡張機能]を選択し、[すべてのアドオン]を選択。IE6/7は、[Internet Explorerで使用されたアドオン]を選択し、すべてのアドオンを表示する。
    3)Javaプラグイン(「Java Plug-in…」など)を選択し、IE 8/9は、[無効にする]ボタンをクリックする。IE 6/7は、設定欄の[無効]を選択する。

    ■Firefox
    1)[Firefox]ボタンの[アドオン]、または[ツール]メニューの[アドオン]、またはキーボードの[Ctrl]+[Shift]+[A]を押し(3つのキーを同時に押す)、「アドオンマネージャ」ページを開く。
    2)アドオンマネージャの[プラグイン]パネルを選択する。
    3)Javaプラグイン(「Java Platform…」「Java Plug-in…」など)の[無効化]ボタンをクリックする。無効化されると、ボタンは[有効化]に変わる。

    ■Google Chrome
    1)アドレスバーに「chrome://plugins/」と入力し(「」は不要)、「プラグイン」ページを開く。
    2)Javaプラグイン(「Java…」)の「無効にする」をクリックする。無効化されると、リンクは「有効にする」に変わる。

     Opera 12 の場合はこうかな。

    1. アドレスバーに「opera:plugins」と入力し、「プラグイン」ページを開く。

    2. Java プラグイン (「Java Platform SE…」) の「無効にする」をクリックする。無効化されると、リンクは「有効にする」に変わる。

  • Java の新しいゼロデイ脆弱性(CVE-2012-4681) (シマンテック, 2012.08.29)

  • Protecting Users Against Java Security Vulnerability (Mozilla Security Blog, 2012.08.28)、 Java アプレットを無効にするには (Mozilla.org)

  • Java 0-Day Using Latest Dadong’s JS Obfuscator (Kahu Security, 2012.08.27)

  • The Current Web-Delivered Java 0day (Kaspersky, 2012.08.28)

  • Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor (Trendmicro, 2012.08.28)


2012.08.28

いろいろ (2012.08.28)
(various)

追記

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開

 関連:

ウイルス定義ファイルのアップデートにともなう不具合の発生について

 DAT6807/6808問題の解決方法 (マカフィー Community, 2012.08.28)

Zero-Day Season is Not Over Yet

 Java 0-day の件、関連:


2012.08.27

Zero-Day Season is Not Over Yet
(FireEye, 2012.08.26)

 Java 7 Update 6 (最新) に 0-day 欠陥。既に攻撃が観測されている。 http://pastie.org/4594319

2012.08.28 追記:

 Java 0-day の件、関連:

2012.08.29 追記:

 関連:

2012.08.31 追記:

 関連:

 ……で、ようやく fix 出ました。Java SE 7 Update 7 / 6 Update 35。

 さらに関連:

2012.09.02 追記:

 関連:

2012.09.03 追記:

 関連:

 ところで、Java 7 Update 7 には別の欠陥があり、これまた任意のコードを実行可能らしい。

2012.09.06 追記:

 Mac 用の Java 6 Update 35 出ました。Mac OS X 10.6 用もあります。

2012.09.08 追記:

 関連:

2012.09.11 追記:

 アップル、最新「Java」アップデートでプラグインを強制的に無効化  深刻な脆弱性対策の一環、専門家は「Appleの“Java離れ”」を指摘 (ComputerWorld.jp, 2012.09.10)

いろいろ (2012.08.27)
(various)


2012.08.26

RuggedCom.Rugged.OS.Backdoor.Unauthorized.Access.Vuln
(FortiGarud, 2012.08.17)

 RuggedCom - Backdoor Accounts in my SCADA network? You don't say... (bugtraq, 2012.04.24) の件。RuggedCom の RuggedOS 3.10.1 未満には、隠しアカウント factory が存在し、MAC アドレスから一意に決まるパスワードが設定されている。このアカウントは削除できない。CVE-2012-1803

 RuggedOS 3.10.1 で修正されている。また RuggedOS 3.3.x 以降では、rsh サービスを無効にし、許可する telnet コネクション数を 0 とすることで回避できる。RuggedOS 3.2.x 以前では、できることは何もない。

 関連:

2012.09.02 追記:

 関連:

追記

ウイルス定義ファイルのアップデートにともなう不具合の発生について

 Hotfix 793781 - Japanese OS (McAfee Community, 2012.08.24)。日本語 OS な XP + VSE 8.8 で Hotfix 793781 がうまく適用できない事例。 KB76048: 6807/6808 DAT issue Hotfix packages fail to run if AVDatVersion registry value is missing の状況が発生していた、という話。

 あと、KB76042: General FAQ for KB76004 - DAT 6807/6808 causing issues with VSE 8.8.x (McAfee)。


2012.08.25


2012.08.24

追記

ウイルス定義ファイルのアップデートにともなう不具合の発生について

 6807/6808 DAT issue Hotfix packages fail to run if AVDatVersion registry value is missing (McAfee, 2012.08.23)。レジストリの HKLM\Software\McAfee\AVEngine, AVDatVersion とか HKLM\Software\Wow6432Node\McAfee\AVEngine, AVDatVersion が存在しない場合に、Hotfix 793640 / 793781 がうまく適用できない模様。 レジストリ値を設定する Hotfix が添付されている。

いろいろ (2012.08.24)
(various)


2012.08.23

Google warns of using Adobe Reader - particularly on Linux
(H online, 2012.08.15)

 Google の Mateusz Jurczyk 氏と Gynvael Coldwind 氏が、Chrome の PDF エンジンに対するのと同じテストを Adobe Reader に行ったところ、crash を引き起こすものが 60 あった。そのうち 40 は 潜在的に攻略可能なものだった。Adobe に連絡したところ、直すよと言われたが、 APSB12-16: Security update available for Adobe Reader and Acrobat でリリースされた 9.5.2 / 10.1.4 でも直り切っていなかった。依然として 16 個もの穴が開いたまま。これらの修正予定はないという。

 60 件の詳細情報は、Adobe に連絡した時から 60 日後である 2012.08.27 に公開されるそうだ。Adobe Reader のかわりに Chrome で PDF を閲覧すれば、当該の欠陥は回避できる模様。

 Windows 上で Adobe Reader 9 を利用している場合は Adobe Reader X への移行が推奨されている。また Linux 上の Adobe Reader については、/path/to/Adobe/Reader9/Reader/intellinux/plug_ins ディレクトリから annots.api と PPKLite.api を削除することが推奨されている。

 詳細:

追記

End of Days for MS-CHAPv2

 関連:

McAfee Security Bulletin - EWS 5.5, 5.6, and MEG 7.0.1 hotfixes resolve multiple issues
(McAfee, 2012.08.22)

 McAfee Email and Web Security (EWS) 5.5 patch 6 以前 / 5.6 patch 3 以前、 McAfee Email Gateway (MEG) 7.0.0 / 7.0.1 に 3 つの欠陥 (認証回避、ディレクトリトラバーサル、XSS)。MEG 6.7.x にはこれらの欠陥はない。 CVE-2012-4595 CVE-2012-4596 CVE-2012-4597

 EWS 5.6 は Patch 4 + Hotfix EWS-5.6p4-2201.111.zip で対応されている。 MEG 7.0.1 は Patch 2 + Hotfix で対応される予定 (まだ出ていない)。 EWS 5.5 は対応予定なし。


2012.08.22

いろいろ (2012.08.22)
(various)

2012.09.21 追記:

 Apple Remote Desktop の "Encrypt all network data" 設定時の欠陥の件、

Apple Remote Desktop 3.5.1 以前には、この欠陥はないそうで。

 つまり Apple Remote Desktop 3.5.2 には影響していたわけですが、 ようやく 3.5.3 で修正された模様です。

Apache HTTP Server 2.4.3 Released
(Apache.org, 2012.08.21)

 Apache 2.4.3 登場。2 件のセキュリティ欠陥が修正されている。

APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開
(Adobe, 2012.08.21)

 Flash Player 11.4.402.265 for Windows / Mac、 11.2.202.238 for Linux、 11.1.115.17 for Android 4.x、 11.1.111.16 for Android 3.x / 2.x および AIR 3.4.0.2540 for Windows / Mac / SDK (含 iOS) / Android 登場。 6 件の欠陥 (任意のコードの実行 x 5、クロスドメイン情報漏洩 x 1) が修正されている。 CVE-2012-4163 CVE-2012-4164 CVE-2012-4165 CVE-2012-4166 CVE-2012-4167 CVE-2012-4168

 Google Chrome は 21.0.1180.81 for Linux, 21.0.1180.83 for Windows, 21.0.1180.82 for Mac で対応している。

 Flash Player 10.x の更新版 10.3.183.23 も用意されている。 11.3 の更新版は用意されていないので、11.3.300.271 で終了の模様。

 関連:

2012.09.24 追記:

 Windows 8 / IE 10 の内蔵 Flash Player でも、ようやくこれ相当の修正が行われたようです:

2012.09.25 追記:

 2012.09.24 付で APSB12-19: Security updates available for Adobe Flash Player (Adobe, 2012.08.21) が改訂され、CVE-2012-5054 の情報が追加された。このタイミングは…… Windows 8 / IE 10 の件を待っていたということか?

追記

End of Days for MS-CHAPv2

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開

ウイルス定義ファイルのアップデートにともなう不具合の発生について
(マカフィー, 2012.08.22)

 マカフィーのアンチウイルス製品、DAT6807 / 6808 で機能不全の件。

2012.08.23 追記:

 【臨時配信】 DAT 6807/6808 問題に対する Hotfixリリースのお知らせ (続報 ) − 2012/08/22 (マカフィー, 2012.08.22)。サイズ縮小版の Hotfix 793781 の件。

2012.08.24 追記:

 6807/6808 DAT issue Hotfix packages fail to run if AVDatVersion registry value is missing (McAfee, 2012.08.23)。レジストリの HKLM\Software\McAfee\AVEngine, AVDatVersion とか HKLM\Software\Wow6432Node\McAfee\AVEngine, AVDatVersion が存在しない場合に、Hotfix 793640 / 793781 がうまく適用できない模様。 レジストリ値を設定する Hotfix が添付されている。

2012.08.26 追記:

 Hotfix 793781 - Japanese OS (McAfee Community, 2012.08.24)。日本語 OS な XP + VSE 8.8 で Hotfix 793781 がうまく適用できない事例。 KB76048: 6807/6808 DAT issue Hotfix packages fail to run if AVDatVersion registry value is missing の状況が発生していた、という話。

 あと、KB76042: General FAQ for KB76004 - DAT 6807/6808 causing issues with VSE 8.8.x (McAfee)。

2012.08.28 追記:

 DAT6807/6808問題の解決方法 (マカフィー Community, 2012.08.28)


2012.08.21

追記

End of Days for MS-CHAPv2

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開


2012.08.20

SSL/TLS, SSH で利用されている公開鍵の多くが意図せず他のサイトと秘密鍵を共有している問題
(IIJ-SECT, 2012.08.20)

 プリインストールされたものをそのまま使ったり、鍵生成時のエントロピーが不足していたりすると、同じ秘密鍵が使われてしまうという話。インターネットには、そんなサイトがたくさんあるそうで。

SSL/TLS に呼応する 1280 万 IP アドレスのうち 61% が、SSH に呼応する 1020 万 IP アドレスのうち 65% が、他のいずれかの IP アドレスと同じ公開鍵・秘密鍵 (このような状況の鍵を Repeated keys と呼んでいます) を利用しているとのことです。もちろんこれらのすべてに問題があるわけではなく、意図的に複数 IP アドレスで同じ鍵を利用しているケースもあります。(中略)

他のいずれかの IP アドレスと同じ鍵を利用している IP アドレスのうち、SSL/TLS では 5.57% (714,243 アドレス) が、SSH では 9.60% (981,166 アドレス) が危険な状態に置かれていると報告されています。これらの脆弱鍵 (Vulnerable repeated keys) を利用しているために危険に晒されているサイトのうち、機器出荷時のデフォルト鍵を SSL/TLS において利用していると思われるケースが、少なくとも 5.23% (670,391 アドレス) も見つかっています。(中略) 前述の SSL/TLS において脆弱鍵を利用している 5.57% のホストのうち、出荷時デフォルト鍵利用の 5.23% を除く 0.34% (43,852 アドレス) のサイトが、鍵生成時に擬似乱数生成モジュールのエントロピー不足が原因であると報告されています。

 ヤバいものかどうか、https://factorable.net/ でチェックできるそうで。

SMSの脆弱性がさらされたアップル、ユーザーに注意喚起  SMSは成熟した技術だが、近年は攻撃対象となるケースが増えていると研究者ら
(ComputerWorld.jp, 2012.08.20)

 Never trust SMS: iOS text spoofing (pod2g's iOS blog, 2012.08.17) の件。iPhone の SMS は一切信用しちゃ駄目だそうで。

Now you are alerted. Never trust any SMS you received on your iPhone at first sight.

 で、Apple responds to iPhone text message spoofing, reminds us how secure iMessage is (Engadget, 2012.08.18) によると、Apple 的には「SMS が駄目なら iMessage を使えばよいではないか」なマリー・アントワネット風味みたい。

追記

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

 Tポイント曰く「あらかじめご了承ください」 (高木浩光@自宅の日記, 2012.08.18)。比べてわかる、Tポイント ツールバーの異様さ。Tポイント ツールバー、SSL 対応版をしれっと配布してたりもしてたのですか。

このように、他のツールバーが何らかの対策を打って、落とし所を探ってきている中で、Tポイントツールバーは、何の対策をすることもなく土足でこの領域に踏み込んできたわけだ。

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開

 脆弱性「CVE-2012-1535」、バックドア型不正プログラムをもたらす (トレンドマイクロ セキュリティ blog, 2012.08.17)

いろいろ (2012.08.20)
(various)


2012.08.16

Microsoft 2012 年 8 月のセキュリティ情報
(Microsoft, 2012.08.15)

MS12-052 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2722913)

 IE 6 / 7 / 8 / 9 に 4 件の欠陥。いずれも任意のコードが実行される。

  • レイアウトのメモリ破損の脆弱性 - CVE-2012-1526

    IE 6 / 7 の欠陥。Exploitability Index: 1

  • 非同期の NULL オブジェクト アクセスにより、リモートでコードが実行される脆弱性 - CVE-2012-2521

    Exploitability Index: 1

  • 仮想関数テーブルの破損により、リモートでコードが実行される脆弱性 - CVE-2012-2522

    Exploitability Index: 1

  • JavaScript 整数オーバーフローのリモートでコードが実行される脆弱性 - CVE-2012-2523

    64bit 版 Windows での IE 8 / 9 の欠陥。 また、IE 8 については MS12-056 更新プログラム KB2706045 が必要。 Exploitability Index: 2

MS12-053 - 緊急: リモート デスクトップの脆弱性により、リモートでコードが実行される (2723135)

 Windows XP のリモートデスクトッププロトコル (RDP) 実装に欠陥があり、攻略 RDP パケットによってリモートから任意のコードを実行し、管理者権限を奪取できる。CVE-2012-2526。 Exploitability Index: 2

MS12-054 - 緊急: Windows ネットワーク コンポーネントの脆弱性により、リモートでコードが実行される (2733594)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 のネットワーク コンポーネントに 4 つの欠陥。 Windows XP / Server 2003 は「緊急」、Vista は「重要」、他は「警告」にランクされている。

 「深刻度および脆弱性識別番号」の項の記述がなんだかアレなのだが、 更新プログラムが 2 種類あり (KB2705219, KB2712808)、それぞれ対象が異なる、 ということかな。 KB2705219 の対象は Browser.dll と Netapi32.dll、 KB2712808 の対象は Localspl.dll みたい。

  • リモート管理プロトコルのサービス拒否の脆弱性 - CVE-2012-1850

    Windows ネットワークコンポーネントにおけるリモート管理プロトコル (RAP) の処理に欠陥があり、remote から攻略 RAP パケットによってサービスが一時的に応答しなくなる。さらに、ドメインコントローラーが応答を停止する。 Exploitability Index: 3

  • 印刷スプーラー サービスのフォーマット文字列の脆弱性 - CVE-2012-1851

    印刷スプーラーサービスに欠陥があり、remote から攻略応答パケットによって無認証で任意のコードを実行できる。 Exploitability Index: 1

  • リモート管理プロトコルのヒープ オーバーフローの脆弱性 - CVE-2012-1852

    Windows ネットワークコンポーネントにおけるリモート管理プロトコル (RAP) の処理に欠陥があり、remote から攻略 RAP パケットによって無認証で任意のコードを実行できる。 Exploitability Index: 1

  • リモート管理プロトコルのスタック オーバーフローの脆弱性 - CVE-2012-1853

    Windows ネットワークコンポーネントにおけるリモート管理プロトコル (RAP) の処理に欠陥があり、remote から攻略 RAP パケットによって無認証で任意のコードを実行できる。 Exploitability Index: 1

 関連:

MS12-055 - 重要: Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2731847)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 のWindows カーネルモードドライバー (win32k.sys) に欠陥。 local user による権限上昇が可能。 CVE-2012-2527。Exploitability Index: 1

MS12-056 - 重要: JScript および VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (2706045)

 64 ビット版の JScript および VBScript スクリプトエンジンに integer overflow する欠陥があり、 メモリ破損が発生。 攻略 Web ページによって任意のコードが実行される。 CVE-2012-2523。 Exploitability Index: 2

MS12-057 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2731879)

 Office 2007 / 2010 に欠陥。 Computer Graphics Metafile (CGM) 画像ファイルの処理に欠陥があり、 「攻略 Office ファイルを開く」あるいは「攻略 CGM 画像ファイルを Office ファイルに埋め込む」と任意のコードが実行される。 CVE-2012-2524。 Exploitability Index: 3

MS12-058 - 緊急: Microsoft Exchange Server WebReady ドキュメント表示の脆弱性により、リモートでコードが実行される (2740358)

 マイクロソフト セキュリティ アドバイザリ (2737111) Microsoft Exchange および FAST Search Server 2010 for SharePoint の解析の脆弱性により、リモートでコードが実行される (Microsoft, 2012.07.25) の件。これは Oracle 製品の欠陥だが、Microsoft から更新が提供される。

これらは、サード パーティ コードである Oracle Outside In ライブラリの 脆弱性です。なぜ マイクロソフトがセキュリティ更新プログラムをリリースしているのですか?

マイクロソフトは、Oracle Outside In ライブラリのカスタム実装のライセンスを許可されており、これはサード パーティ コードが使用される製品に固有のものです。マイクロソフトは、このサード パーティのコードを Microsoft Exchange で使用するすべてのお客様をこれらの脆弱性から保護するためにこのセキュリティ更新プログラムをリリースします。

CVE-2012-1766 CVE-2012-1767 CVE-2012-1768 CVE-2012-1769 CVE-2012-1770 CVE-2012-1771 CVE-2012-1772 CVE-2012-1773 CVE-2012-3106 CVE-2012-3107 CVE-2012-3108 CVE-2012-3109 CVE-2012-3110。 Exploitability Index: 1

MS12-059 - 重要: Microsoft Visio の脆弱性により、リモートでコードが実行される (2733918)

 Visio 2010 に欠陥。Visio DXF ファイルの処理に欠陥があり buffer overflow が発生、攻略 DXF ファイルを開くと任意のコードが実行される。 CVE-2012-1888。Exploitability Index: 1

MS12-060 - 緊急: Windows コモン コントロールの脆弱性により、リモートでコードが実行される (2720573)

 MSCOMCTL.OCX に含まれる ActiveX コントロール「Windows コモンコントロール」(具体的には TabStrip コントロール) に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2012-1856。Exploitability Index: 1。 影響範囲がとても広い。

このセキュリティ更新プログラムは、Windows コモン コントロールを含むサポートされるすべてのマイクロソフトのソフトウェアの既定のインストールについて深刻度を「緊急」に評価しています。これらのソフトウェアには、Microsoft Office 2003、Microsoft Office 2007、Microsoft Office 2010 (x64-based エディションを除く)、Microsoft SQL Server 2000 Analysis Services、Microsoft SQL Server 2000 (Itanium-based エディションを除く)、Microsoft SQL Server 2005 (Microsoft SQL Server 2005 Express Edition を除くが Microsoft SQL Server 2005 Express Edition with Advanced Services は含む)、Microsoft SQL Server 2008、Microsoft SQL Server 2008 R2、Microsoft Commerce Server 2002、Microsoft Commerce Server 2007、Microsoft Commerce Server 2009、Microsoft Commerce Server 2009 R2、Microsoft Host Integration Server 2004 Service Pack 1、Microsoft Visual FoxPro 8.0、Microsoft Visual FoxPro 9.0、および Visual Basic 6.0 ランタイムのすべてのサポートされるエディションが含まれます。

 関連:

 関連:

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開
(Adobe, 2012.08.14)

 Flash Player Windows 版 / Mac 版 11.3.300.271、Linux 版 11.2.202.238 登場。 当該システムの制御を奪われる欠陥 CVE-2012-1535 が修正されている。既に、攻略 Word 文書を使って IE 版 (ActiveX 版) Flash Player を狙う攻撃事例が確認されている (つまり 0-day)。Priority Rating は、Windows 版だけ 1 になっている。

 これにあわせて、Google Chrome も 21.0.1180.79 がリリースされている。

2012.08.20 追記:

 脆弱性「CVE-2012-1535」、バックドア型不正プログラムをもたらす (トレンドマイクロ セキュリティ blog, 2012.08.17)

2012.08.21 追記:

 Adobe Flash Player Exploit CVE-2012-1535 Now Available for Metasploit (Rapid7, 2012.08.17)

2012.08.22 追記:

 関連:

2012.08.28 追記:

 関連:

2012.09.21 追記:

 関連:

2012.10.01 追記:

 CVE-2012-1535と核弾頭 (エフセキュアブログ, 2012.09.28)。攻略ファイルに添付されたおとり文書を読んでみると、

 デコイドキュメント中に名が挙げられている人びとをLinkedInで検索すると、今度は英国にあるAWEという別の組織に到達する:
 AWEは「Atomic Weapons Establishment」を表しているようだ。

 ファイルのコンテンツには関係なく、誰が標的とされたのか、我々には分からないし、VirusTotalにこれらのドキュメントを提出したのが誰なのかも分からない。

APSB12-17: Adobe Shockwave Player に関するセキュリティアップデート公開
(Adobe, 2012.08.14)

 Shockwave Player Windows 版 / Mac 版 11.6.6.636 登場。 任意のコードの実行を招く 5 つの欠陥が修正されている。 CVE-2012-2043 CVE-2012-2044 CVE-2012-2045 CVE-2012-2046 CVE-2012-2047


2012.08.15

APSB12-16: Security update available for Adobe Reader and Acrobat
(Adobe, 2012.08.14)

 Adobe Reader / Acrobat Windows 版 / Mac 版 9.5.2 / 10.1.4 登場。 任意のコードの実行を招く 20 件の欠陥が修正されている。 CVE-2012-1525 CVE-2012-2049 CVE-2012-2050 CVE-2012-2051 CVE-2012-4147 CVE-2012-4148 CVE-2012-4149 CVE-2012-4150 CVE-2012-4151 CVE-2012-4152 CVE-2012-4153 CVE-2012-4154 CVE-2012-4155 CVE-2012-4156 CVE-2012-4157 CVE-2012-4158 CVE-2012-4159 CVE-2012-4160 CVE-2012-4161 CVE-2012-4162

2012.08.29 追記:

 Adobe Reader / Acrobat 9.5.2 / 10.1.4 に更新すると、不具合が発生することがあるそうで:

2012.08.30 追記:

 PDF ファイルを開くと「画像のデータに不足があります」エラーが表示される(Acrobat/Adobe Reader) (Adobe)。回避方法まとめ。

追記

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

 Tポイントツールバーに関する重要なお知らせ (T-SITE, 2012.08.15)

皆様によりよいサービスをご提供するために新規のダウンロードを一旦停止をさせていただいております。
ご迷惑をおかけして申し訳ございません。

また、既にインストール済みのお客様のWEB閲覧履歴の取得に関しては一旦停止とさせていただき、
これまで取得したWEB閲覧履歴は2012年8月31日をもって削除させていただきます。
なお、上記を除いたTポイントツールバーサービスは、引き続きご利用いただけます。

新規ダウンロードの再開、及び新バージョンのリリースは2012年8月下旬を予定しております。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】

Microsoft 2012 年 7 月のセキュリティ情報

 MS12-043 - 緊急: XML コアサービスの脆弱性により、リモートでコードが実行される (2722479) が更新された。MSXML 5 用の更新プログラムが公開されたため。

 Office 2003/2007 利用者は、更新プログラムを適用し、その後 Fix It 50909 を適用 (Fix It 50908 を解除) してください。

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開

 出ました。

国家関与の情報収集マルウェア Gauss
(various)

 高度なマルウェア。Flame と同様に、Gauss も Operation Olympic Games の一環らしい。

2012.08.20 追記:

 カスペルスキー、国家主導型マルウエア「Gauss」の暗号化データ解読協力者を募集 (日経 IT Pro, 2012.08.17)


2012.08.14


2012.08.12


2012.08.11


2012.08.10

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
(徳丸浩の日記, 2012.08.10)

 Tポイントツールバーを導入すると、【第3者が】SSL通信の履歴までも盗聴可能になる、という話。原因:

log.opt.ne.jpというホストに、閲覧履歴が平文で(HTTPSではなくHTTPで)送信されています。

 平文……。さらに、POST データに「固有の利用番号」が含まれるため、

TポイントツールバーのPOST値を監視できる立場の人は、「固有の利用番号」がついていることにより、特定ユーザの挙動把握が容易になります。

 関連: TポイントツールバーによるWeb閲覧履歴について (NetAgent, 2012.08.10)

このツールバーを使用する事で、下記情報が社外に送信されます。

・従業員のWebアクセス履歴 (SSLの暗号化通信のリクエストを含む)
・社内イントラサイトのファイル名やアクセス日時
・URLにセッション情報やIDパスワードが入っていた場合にアカウント乗っ取られる可能性

特筆すべきは、通常ネットワークには暗号化されていない状態で流れることのない、 SSLによる暗号化通信の一部がネットワークの経路上で判別できることです。

 個人的には、インストールしない事を強くお勧めします。これが月給 15 円の代償ではねえ。

2012.08.16 追記:

 Tポイントツールバーに関する重要なお知らせ (T-SITE, 2012.08.15)

皆様によりよいサービスをご提供するために新規のダウンロードを一旦停止をさせていただいております。
ご迷惑をおかけして申し訳ございません。

また、既にインストール済みのお客様のWEB閲覧履歴の取得に関しては一旦停止とさせていただき、
これまで取得したWEB閲覧履歴は2012年8月31日をもって削除させていただきます。
なお、上記を除いたTポイントツールバーサービスは、引き続きご利用いただけます。

新規ダウンロードの再開、及び新バージョンのリリースは2012年8月下旬を予定しております。

2012.08.20 追記:

 Tポイント曰く「あらかじめご了承ください」 (高木浩光@自宅の日記, 2012.08.18)。比べてわかる、Tポイント ツールバーの異様さ。Tポイント ツールバー、SSL 対応版をしれっと配布してたりもしてたのですか。

このように、他のツールバーが何らかの対策を打って、落とし所を探ってきている中で、Tポイントツールバーは、何の対策をすることもなく土足でこの領域に踏み込んできたわけだ。

2012.09.03 追記:

 関連:

2012.09.04 追記:

 永久不滅プラスの件について、岩浅さんから (ありがとうございます)

ダイアモンド社のダイアモンドオンライン というページに、 2011年8月22日の記事として、
 【第2回】 永久不滅.comを日本一のアフィリエイト・モールに育てたクレディセゾン 
 「ネットビジネスの両輪は、良いビジネスモデルと優良な会員」
というものがありました。

「永久不滅プラス ツールバー」で、 「日本で最も精緻なマーケティングデータ」を目指していたそうです。

1年以上も運用していれば、「まずいことをやっている」と気づいても良さそうだなぁ と思いました。

 これですね: 永久不滅.comを日本一のアフィリエイト・モールに育てたクレディセゾン  「ネットビジネスの両輪は、良いビジネスモデルと優良な会員」 (ダイアモンドオンライン, 2011.08.22)。 4 ページ目に興味深い記述が:

 今年4月からは、「永久不滅プラス」というツールバー(ブラウザに付加機能を追加するプログラム)の提供も始め、既に12万人が利用しています。このツールバーを使ってショッピングすれば、その都度ログインしなくても永久不滅.comを経由したことになります。会員にとって面倒な手間が省けて便利なだけでなく、もちろん会員の許可を取った上でですが、行動履歴の情報も蓄積することができます。
 こうした購買履歴や行動履歴と会員の属性情報が紐つけられると、日本で最も精緻なマーケティングデータになります。マーケティングデータ販売、オーディエンス・ターゲティングネット広告などの事業も、大きな可能性があると考えています。
 今年度のネット事業の利益はアフィリエイトによる約30億円ですが、今後はマーケティングデータ事業、ターゲティング広告と半々くらいにしたいですね。収益全体も、4、5年以内に数倍に伸ばすことを目標にしています。

 「もちろん会員の許可を取った上で」の実態が問題になるわけですが……。岩浅さんからのつづき:

あと、永久不滅プラスで問題となっているツールのダウンロードページを再び眺めてみたのですが、
https://www.a-q-f.com/saison/plus/lp/c11.html

HTMLファイルは、ダウンロード用リンクがコメントアウトされているだけの状態で、URLを直接指定すればダウンロードが出来る状態でした。
これで「永久不滅プラスの新規ダウンロードを停止しております。」というのはぬるいなぁと思いました。

 システムの都合上、消せなかったりするのかなあ。

2012.09.06 追記:

 永久不滅プラス (ツールバー) 方面:

2012 年 8 月 15 日更新予告
(various)


2012.08.09

いろいろ (2012.08.09)
(various)

追記

Chrome Stable Channel Release

 Windows 版 Chrome は 21.0.1180.60 から、Flash プラグインの API が Netscape Plugin API から Google 独自の Pepper Plugin API に変更され、よりセキュアになっていた (Chrome のネイティブ sandbox と同等の強度になった) のだそうです。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】

 いくばくかの対応が行われたそうで: 「iCloud」ハック事件を受け、アップルがパスワードのリセット処理を停止  成りすましによるアカウント乗っ取りを防ぐため、システム全体をアップデート中 (ComputerWorld.jp, 2012.08.09)

 米国Appleのクラウド・サービス「iCloud」で、ジャーナリストのマット・ホーナン(Mat Honan)氏のアカウントが乗っ取られた事件を受け、同社は電話によるApple IDのパスワード・リセット操作を停止した。
 一方Amazonもこのハック事件の後、セキュリティに変更を加えたという。Amazonのアカウントには、名前、電子メールアドレス、住所の3つだけでアクセス可能だったが、現在はこの抜け穴をふさぐ変更措置を取ったようだ。

Microsoft 2012 年 4 月のセキュリティ情報

 Naughty nurse Sakura Shiratori tries to infect defence firm with malware (Sophos, 2012.08.08)。CVE-2012-0158 を狙うマルウェア事例。 なお、白鳥さくらさんは、今は藤原さくらと名乗っていらっしゃるようです。

Chrome Stable Channel Update
(Google, 2012.08.08)

 Chrome 21.0.1180.75 登場。2 件のセキュリティ欠陥が修正されている。 どちらも PDF viewer の High レーティングな欠陥。


2012.08.08


2012.08.07

追記

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】

 iCloudハック事件の手口がガード不能すぎてヤバイ (fladdict, 2012.08.07)。うわ、こんな手順だったのか。 本当にひどいのは Amazon だったのね。シャレにならんなあ。

いろいろ (2012.08.07)
(various)

2012.09.03 追記:

 Black Hat - Don't stand so close to me: An analysis of the NFC attack surface (Sophos, 2012.08.01) の件関連。


2012.08.06

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】
(iPhone マイスター, 2012.08.05)

 iCloud アカウントを乗っ取られ、そこから iPhone、iPad、MacBook Air をリモートワイプされた話。iCloud が単一障害点となってしまったということか。

 iPhone マイスターは

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

としているが、GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗 (ITmedia, 2012.08.06) によると、クラックされた原因は次のとおり:

iCloudのログイン情報は、ホナン氏がAppleに確認したところ、Appleのテクニカルサポートへの“ソーシャルエンジニアリング”によって盗まれたという。具体的な方法は説明されていないが、本人確認に必要なはずの質問を“バイパス”したとなっている。

 iCloud を管理する Apple がアカウント情報を漏洩したのが原因なので、ユーザーがどんなパスワードをつけたところで回避できません。グッドラック。

発端から約2日経った現在、ホナン氏のTwitterアカウントは本人の管理下に戻り、iPhoneとiPadはリストアされたが、MacBook AirとGmailアカウントは復旧していないという。また、削除されたGmailアカウントのGoogle Voiceと電話番号を関連付けていたため、SMSと電話が使えない。

 いやあ、怖い怖い。さあ、バックアップの時間だ!

2012.08.07 追記:

 iCloudハック事件の手口がガード不能すぎてヤバイ (fladdict, 2012.08.07)。うわ、こんな手順だったのか。 本当にひどいのは Amazon だったのね。シャレにならんなあ。

2012.08.09 追記:

 いくばくかの対応が行われたそうで: 「iCloud」ハック事件を受け、アップルがパスワードのリセット処理を停止  成りすましによるアカウント乗っ取りを防ぐため、システム全体をアップデート中 (ComputerWorld.jp, 2012.08.09)

 米国Appleのクラウド・サービス「iCloud」で、ジャーナリストのマット・ホーナン(Mat Honan)氏のアカウントが乗っ取られた事件を受け、同社は電話によるApple IDのパスワード・リセット操作を停止した。
 一方Amazonもこのハック事件の後、セキュリティに変更を加えたという。Amazonのアカウントには、名前、電子メールアドレス、住所の3つだけでアクセス可能だったが、現在はこの抜け穴をふさぐ変更措置を取ったようだ。

2012.08.15 追記:

 関連:

2012.09.21 追記:

 ハッカー神Cosmo (エフセキュアブログ, 2012.09.14)


2012.08.03

追記

いろいろ (2012.07.09)

 Symantec Message Filter の件、日本語版出てました: SYM12-010 - Symantec Message Filter にセキュリティの問題 (シマンテック, 2012.06.26)

いろいろ (2012.07.16)

 Plesk Panel の件: Blackhole 悪用ツールキットの入口になる脆弱性を回避する方法 (シマンテック, 2012.08.01)。

June 2012 Critical Patch Update for Java SE Released

 CVE-2012-1723 関連:

Opera 12.01 security and stability release

 前田さんから (情報ありがとうございます)

opera 11.66について。Apple Storeのみで公開されています。
つまり、11.66はMac版のみということになります。
以下changelogのurl貼っておきます。

http://jp.opera.com/docs/changelogs/mac/

いろいろ (2012.08.03)
(various)


2012.08.02

Opera 12.01 security and stability release
(Opera, 2012.08.01)

 Opera 12.01 登場。5 つのセキュリティ欠陥が修正されている。

2012.08.03 追記:

 前田さんから (情報ありがとうございます)

opera 11.66について。Apple Storeのみで公開されています。
つまり、11.66はMac版のみということになります。
以下changelogのurl貼っておきます。

http://jp.opera.com/docs/changelogs/mac/

追記

高度なターゲット型マルウエア「Flame」、政府主導の攻撃か

 Stuxnet への回帰:見逃された関連性 (viruslistjp, 2012.08.02)。Back to Stuxnet: the missing link (Kaspersky, 2012.06.11) の邦訳。

 2 か月遅れで邦訳が出たら、「ニュース」として扱ってるサイトがあった: 「Stuxnet」と「Flame」の開発チームはグルだった! カスペルスキー、両者の関係性を立証 (ComputerWorld.jp, 2012.08.02)。 ちゃんと 2 か月前にも記事出してるのにね: 「Stuxnet」と「Flame」に関係性−−カスペルスキーのセキュリティ研究者らが見つけ出す 初期のStuxnetにFlameのモジュールが使われていたとのこと (ComputerWorld.jp, 2012.06.12)


2012.08.01

End of Days for MS-CHAPv2
(SANS ISC, 2012.07.30)

 ご臨終です。Defcon 20 での発表、Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate だそうで。

2012.08.21 追記:

 関連:

2012.08.22 追記:

 セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開 (日本のセキュリティチーム, 2012.08.21)

2012.08.23 追記:

 関連:

2012.09.27 追記:

 A death blow for PPTP: CloudCracker self-experimentation (H Security, 2012.09.26)。PPTP にとどめの一撃。ひでぶっ!

いろいろ (2012.08.01)
(various)

Chrome Stable Channel Release
(Google, 2012.07.31)

 Chrome 21 が Stable に。Windows: 21.0.1180.60、Mac / Linux: 21.0.1180.57。 15 件のセキュリティ欠陥が修正されている。

2012.08.09 追記:

 Windows 版 Chrome は 21.0.1180.60 から、Flash プラグインの API が Netscape Plugin API から Google 独自の Pepper Plugin API に変更され、よりセキュアになっていた (Chrome のネイティブ sandbox と同等の強度になった) のだそうです。


[セキュリティホール memo]
[私について]