セキュリティホール memo - 2012.09

Last modified: Fri Nov 2 17:56:05 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.09.30

追記

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 Tim Cook、マップの品質について謝罪。


2012.09.28

APSA12-01: Upcoming Revocation of Adobe code signing certificate
(adobe, 2012.09.27)

 Adobe の正当な電子署名が付いた PwDump7.exe (!!)、および myGeeksmail.dll という ISAPI フィルタが見つかったそうで。これを受けて、2012.10.04 に、2012.07.10 以降になされた電子署名を全て失効させるそうで。 新しい署名つきの Adobe ソフトは準備中。

Note: The revocation of the certificate affects the Windows platform and three Adobe AIR applications (Adobe Muse and Adobe Story AIR applications as well as Acrobat.com desktop services) that run on both Windows and Macintosh. The revocation does not impact any other Adobe software for Macintosh or other platforms.

2012.10.01 追記:

 関連:

2012.10.05 追記:

 実施されました。


2012.09.27

いろいろ (2012.09.27)
(various)

2012.10.01 追記:

 Samsung の件関連: Samsung TouchWizデバイスの脆弱性 (エフセキュアブログ, 2012.09.26)

追記

EUSecWest 2012 Mobile PWN2OWN

End of Days for MS-CHAPv2

 A death blow for PPTP: CloudCracker self-experimentation (H Security, 2012.09.26)。PPTP にとどめの一撃。ひでぶっ!

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 関連:

IEEE、会員10万人分のパスワードが「公開」されていたことを謝罪  Webサーバのログ保存先が不適切、FTP経由で誰でも平文パスワードにアクセスできた
(ComputerWorld.jp, 2012.09.27)

 この件:

 IEEE な方はパスワードの変更を。

Javaに新たな脆弱性、全バージョンに影響か
(ITmedia, 2012.09.27)

 この件:

 回避方法は CVE-2012-4681 のときと同じ。


2012.09.26

PostgreSQL Updates 2012-09-24 released
(PostgreSQL, 2012.09.24)

 PostgreSQL 9.2.1 / 9.1.6 / 9.0.10 / 8.4.14 / 8.3.21 登場。 PostgreSQL 9.1 / 9.2 ではデータ破損が発生する可能性があったそうで。

The update fixes two potential data corruption issues present in the PostgreSQL 9.1 and 9.2 for any server which has crashed, been shutdown with "immediate", or was failed over to a standby. First, the PostgreSQL development team has discovered a chance of corruption of BTREE and GIN indexes for databases. Second, there is a significant chance of corruption of the visibility map. This update fixes both issues.

We strongly advise users of 9.1 and 9.2 to run VACUUM and/or index rebuilds after applying the update. Please see the 2012-09-24 Update wiki page for detailed instructions.

 問題およびアップデート方法の詳細については、2012-09-24 更新リリースのデータ破損問題に関する詳細 を参照。 関連:

Google Chrome Stable Channel Update
(Google, 2012.09.25)

 Google Chrome 22.0.1229.79 登場。24 件の欠陥が修正されている。内 1 件は Chrome ではなく Windows の欠陥だそうで。

[$5000] [146254] Critical CVE-2012-2897: Windows kernel memory corruption. Credit to Eetu Luodemaa and Joni Vahamaki, both from Documill.

2012.09.25

追記

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 関連:

  • iOS6 の地図について駅などをもとに考えてみる (ssig33.com, 2012.09.24)

    そうした様々な問題が解決されたとしても
    ・データが明らかに古い (中略)
    ・鉄道関連の施設が軽んじられている
    という問題は解決しないでしょう。

    アメリカにおいては携帯電話にドライブナビゲーション機能を持たせることがどうやら重視されているようですが、日本の車は買えばカーナビ大抵ついてきます。携帯電話にドライブナビゲーションさせる必要がない。携帯電話の地図に必要なのは鉄道を中心とした公共交通機関を利用したナビゲーションです。

    そうした文化差を考慮せずインクリメント P のカーナビ用地図を採用し、公共交通機関の乗り継ぎ検索を外部に丸投げしているというどうしようもない問題は、半年や 1 年という単位では解決できない問題でしょう。

    これは結構根深い問題で、 Apple は技術力で大きな問題が発生しているというだけでなく、マーケティングや経営のパワーという点でも大きな問題が発生しているということになります。
  • 「傷付きやすい」iPhone 5に購入者から苦情続出 (WirelessWire News, 2012.09.25)

    iPhone 5購入者の間から、「箱から取り出した時点ですでに本体に傷が付いていた」などの苦情の声が多く上がっているようだ。(中略)
    また、これとは別にiPhone 5の仕上げに対する問題の報告も複数でてきているようだ。The Vergeの記事には、スクリーンの端や本体周縁部(ガード)の継ぎ目にへこみや欠けがみられる複数の例を撮影した写真が掲載されている。
  • iOS6から「韓国」が消え、代わりに「朝鮮民主主義人民共和国」が登場 (韓フルタイム / livedoor ニュース, 2012.09.24)

 ジョブズはもういないからね……。いや本当に、Apple の終焉が始まっているように思う。

APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開

 2012.09.24 付で APSB12-19: Security updates available for Adobe Flash Player (Adobe, 2012.08.21) が改訂され、CVE-2012-5054 の情報が追加された。このタイミングは…… Windows 8 / IE 10 の件を待っていたということか?


2012.09.24

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因
(横浜スローライフ, 2012.09.23)

 iOS6 の地図の件。

ここまでレベルの低い作業を見るに、およそプロの手がかかっているとは思われない。
 どういうことかというと、まず、Appleは、インクリメントPから提供された地図データの仕様を正しく理解できていない。都市部でのニーズが高い街区ベースの地図(1/2,500系)の存在がするっと抜け落ちている。そればかりか、測地系の間違いか何かはわからないが、地物(POI)の位置がずれているし、カテゴリの当てはめがデタラメである。
 次に、チェックが全くなされていない。地図作成に素人であっても、Googleマップとの比較は簡単にできる。もし、日本の主要都市を数カ所ずつサンプリングして比較を、ただの一度でもしていたのであれば、iOS6の地図が、とんでもない低レベルであることは「一目瞭然」である。つまり、そうした基本的な作業を怠っている。あり得ないエンジニアリングプロセスだ。
 ともあれ、お粗末さも極まれり・・というところだ。Appleも平気でこのような失態を演じるものなのだ・・

 ジョブズはもういないからね……。

2012.09.25 追記:

 関連:

 ジョブズはもういないからね……。いや本当に、Apple の終焉が始まっているように思う。

2012.09.27 追記:

 関連:

2012.09.30 追記:

 Tim Cook、マップの品質について謝罪。

2012.10.02 追記:

 関連:

2012.10.05 追記:

 スティーブ・ジョブズがGoogleを「嫌悪」したのはiOS版Googleマップのルート案内を保留したから(Bloomberg発) (techcrunch, 2012.10.04)。まぁそうなのかもしれんが、デキの悲惨さを見たら、ふつうは plan B に移行するであろ……。

2012.10.30 追記:

 iPhoneソフトウェア担当上級副社長が辞任、マップ問題による事実上の更迭か (gigazine, 2012.10.30)

2012.11.02 追記:

 iOS6マップに関するMapInfo視点からの考察 (MapInfo)。同じくインクリメントPの地図データを使用している MapInfo StreetPro との比較で見る、iOS6 地図の問題点。インクリメントPの地図データそれ自体には問題はないことがよくわかる。問題は、日本の地図文化が他国とは異なることを理解していない点、他国とは異なる手法 (1/2500 詳細地図をベースに開発する) を採用できなかった点にあるとする。

Appleマップは、このような地図の周辺にある文化の違いを十分に理解せず、欧米のロジックに従って、日本の道路を描いたのだと推測されます。
ちなみに、Googleマップで1/2500のスタイルで道路縁が描かれているのは、世界各国の中でも日本のみの特別仕様のようです。ニューヨークはもちろん、ロンドン、北京、バンコク、ソウルなどでも道路中心線から書き起こした道路データが採用されています。

実は、StreetPro Japanを製品化する際にも、この国際標準に関する議論が弊社内でもありました。第一案として海外チームから提案された地図デザインは1/25000の道路をベースとし、建物や駅舎が存在しないものでした。最終的には議論の末に日本仕様に落ち着いたという経緯があります。ローカライズには、以外に高い壁があるように思えます。

EUSecWest 2012 Mobile PWN2OWN
(various)

 死屍累々。

2012.09.27 追記:

 関連:

追記

高度なターゲット型マルウエア「Flame」、政府主導の攻撃か

 Flame の C&C サーバの解析レポート。「シマンテック、CERT-Bund/BSI、IMPACT、カスペルスキーの共同で」行われたそうで。

APSB12-19: Adobe Flash Player に関するセキュリティアップデート公開

Microsoft 2012 年 9 月のセキュリティ情報

 MS12-063 が定例外で公開されました。

MS12-063 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842)

 IE 6 / 7 / 8 / 9 に 5 つの欠陥。いずれも任意のコードの実行を招く。 なお IE 10 にはいずれも影響しない。

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

 MS12-063 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842) (Microsoft, 2012.09.22) で修正されました。 Fix it を適用した場合でも、そのまま更新プログラムをインストールしてよいそうです。


2012.09.22


2012.09.21

追記

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】

 ハッカー神Cosmo (エフセキュアブログ, 2012.09.14)

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開

 関連:

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

 Fix it が公開されています: KB 2757760。しかし明日には更新プログラムが公開されるわけで……。

 関連: More information on Security Advisory 2757760's Fix It (Microsoft Security Research & Defense, 2012.09.19)

いろいろ (2012.08.22)

 Apple Remote Desktop の "Encrypt all network data" 設定時の欠陥の件、

Apple Remote Desktop 3.5.1 以前には、この欠陥はないそうで。

 つまり Apple Remote Desktop 3.5.2 には影響していたわけですが、 ようやく 3.5.3 で修正された模様です。

APPLE-SA-2012-09-19-3 Safari 6.0.1
(Apple, 2012.09.19)

 Safari 6.0.1 登場。61 件の欠陥が修正されている。

2012.10.23 追記:

 関連:

APPLE-SA-2012-09-19-2 OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 and Security Update 2012-004
(Apple, 2012.09.19)

 Mac OS X 10.8.2 / 10.7.5 登場。また 10.6.8 用のセキュリティ更新 2012-004 も公開されている。33 件のセキュリティ欠陥が修正されている。

APPLE-SA-2012-09-19-1 iOS 6
(Apple, 2012.09.19)

 iOS 6 登場。197 件のセキュリティ欠陥が修正されている。 しかし、適用すると地図が極端に劣化するという問題があるからなあ……。


2012.09.20

いろいろ (2012.09.20)
(various)

2012.10.15 追記:

 JVNDB-2012-004436: Trend Micro InterScan Messaging Security Suite におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2012.09.19)、CVE-2012-2996 の件:

追記

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

 2012.09.22 に定例外で更新プログラムが公開されるようです: マイクロソフト セキュリティ情報の事前通知 - 2012 年 9 月 (Microsoft, 2012.09.20)


2012.09.19

追記

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

 Internet Explorer の脆弱性に関するセキュリティ アドバイザリ 2757760 を公開 (日本のセキュリティチーム, 2012.09.19 更新)

数日以内にアドバイザリ 2757760 で説明している Internet Explorer の脆弱性の悪用を防ぐ Fix it を提供予定です。

 Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution (Microsoft, 2012.09.18 更新)

For more information about configuring EMET, see the EMET User's Guide:

On 32-bit systems the EMET User's Guide is located in C:\Program Files\EMET\EMET User's Guide.pdf
On 64-bit systems the EMET User's Guide is located in C:\Program Files (x86)\EMET\EMET User's Guide.pdf

2012.09.18

CRIME Attack: TLS 1.2 以前 / SPDY 3 以前に欠陥
(various)

 正式発表はまだのようですが……

追記

WordPress 3.4.2 メンテナンスとセキュリティのリリース

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7
(Rapid7, 2012.09.17)

 IE の 0-day だそうです。関連: Zero-Day Season Is Really Not Over Yet (ERIC ROMANG Blog, 2012.09.16)

 ……アドバイザリ出ました: マイクロソフト セキュリティ アドバイザリ (2757760) Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft, 2012.09.18)

 関連:

2012.09.19 追記:

 Internet Explorer の脆弱性に関するセキュリティ アドバイザリ 2757760 を公開 (日本のセキュリティチーム, 2012.09.19 更新)

数日以内にアドバイザリ 2757760 で説明している Internet Explorer の脆弱性の悪用を防ぐ Fix it を提供予定です。

 Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution (Microsoft, 2012.09.18 更新)

For more information about configuring EMET, see the EMET User's Guide:

On 32-bit systems the EMET User's Guide is located in C:\Program Files\EMET\EMET User's Guide.pdf
On 64-bit systems the EMET User's Guide is located in C:\Program Files (x86)\EMET\EMET User's Guide.pdf

2012.09.20 追記:

 2012.09.22 に定例外で更新プログラムが公開されるようです: マイクロソフト セキュリティ情報の事前通知 - 2012 年 9 月 (Microsoft, 2012.09.20)

2012.09.21 追記:

 Fix it が公開されています: KB 2757760。しかし明日には更新プログラムが公開されるわけで……。

 関連: More information on Security Advisory 2757760's Fix It (Microsoft Security Research & Defense, 2012.09.19)

2012.09.24 追記:

 MS12-063 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842) (Microsoft, 2012.09.22) で修正されました。 Fix it を適用した場合でも、そのまま更新プログラムをインストールしてよいそうです。

2012.10.05 追記:

 関連:

Microsoft 2012 年 9 月のセキュリティ情報
(Microsoft, 2012.09.12)

 2 件、いずれも XSS 欠陥の修正。

MS12-061 - 重要: Visual Studio Team Foundation Server の脆弱性により、特権が昇格される (2719584)

 Visual Studio Team Foundation Server 2010 に XSS 欠陥。 CVE-2012-1892。Exploitability Index: 1

MS12-062 - 重要: System Center Configuration Manager の脆弱性により、特権が昇格される (2741528)

 Systems Management Server 2003 / System Center Configuration Manager 2007 に XSS 欠陥。 CVE-2012-2536 。Exploitability Index: 1

 関連:

2012.09.24 追記:

 MS12-063 が定例外で公開されました。

MS12-063 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842)

 IE 6 / 7 / 8 / 9 に 5 つの欠陥。いずれも任意のコードの実行を招く。 なお IE 10 にはいずれも影響しない。


2012.09.17


2012.09.16


2012.09.14

Chrome for Android Update
(Google, 2012.09.12)

 Android 版限定みたい。

Apache HTTP Server 2.2.23 Released
(Apache, 2012.09.13)

 Apache 2.2.23 登場。2 件のセキュリティ欠陥が修正されている。 LD_LIBRARY_PATH の処理がマズい件、特定の条件で XSS が発生する件。

About the security content of iTunes 10.7
(Apple, 2012.09.12)

 iTunes 10.7 登場。Windows 版については、163 件ものセキュリティ欠陥が修正されている。全て WebKit の欠陥。 CVE-2011-3016 CVE-2011-3021 CVE-2011-3027 CVE-2011-3032 CVE-2011-3034 CVE-2011-3035 CVE-2011-3036 CVE-2011-3037 CVE-2011-3038 CVE-2011-3039 CVE-2011-3040 CVE-2011-3041 CVE-2011-3042 CVE-2011-3043 CVE-2011-3044 CVE-2011-3050 CVE-2011-3053 CVE-2011-3059 CVE-2011-3060 CVE-2011-3064 CVE-2011-3068 CVE-2011-3069 CVE-2011-3071 CVE-2011-3073 CVE-2011-3074 CVE-2011-3075 CVE-2011-3076 CVE-2011-3078 CVE-2011-3081 CVE-2011-3086 CVE-2011-3089 CVE-2011-3090 CVE-2011-3105 CVE-2011-3913 CVE-2011-3924 CVE-2011-3926 CVE-2011-3958 CVE-2011-3966 CVE-2011-3968 CVE-2011-3969 CVE-2011-3971 CVE-2012-0682 CVE-2012-0683 CVE-2012-1520 CVE-2012-1521 CVE-2012-2817 CVE-2012-2818 CVE-2012-2829 CVE-2012-2831 CVE-2012-2842 CVE-2012-2843 CVE-2012-3589 CVE-2012-3590 CVE-2012-3591 CVE-2012-3592 CVE-2012-3593 CVE-2012-3594 CVE-2012-3595 CVE-2012-3596 CVE-2012-3597 CVE-2012-3598 CVE-2012-3599 CVE-2012-3600 CVE-2012-3601 CVE-2012-3602 CVE-2012-3603 CVE-2012-3604 CVE-2012-3605 CVE-2012-3606 CVE-2012-3607 CVE-2012-3608 CVE-2012-3609 CVE-2012-3610 CVE-2012-3611 CVE-2012-3612 CVE-2012-3613 CVE-2012-3614 CVE-2012-3615 CVE-2012-3616 CVE-2012-3617 CVE-2012-3618 CVE-2012-3620 CVE-2012-3621 CVE-2012-3622 CVE-2012-3623 CVE-2012-3624 CVE-2012-3625 CVE-2012-3626 CVE-2012-3627 CVE-2012-3628 CVE-2012-3629 CVE-2012-3630 CVE-2012-3631 CVE-2012-3632 CVE-2012-3633 CVE-2012-3634 CVE-2012-3635 CVE-2012-3636 CVE-2012-3637 CVE-2012-3638 CVE-2012-3639 CVE-2012-3640 CVE-2012-3641 CVE-2012-3642 CVE-2012-3643 CVE-2012-3644 CVE-2012-3645 CVE-2012-3646 CVE-2012-3647 CVE-2012-3648 CVE-2012-3649 CVE-2012-3651 CVE-2012-3652 CVE-2012-3653 CVE-2012-3654 CVE-2012-3655 CVE-2012-3656 CVE-2012-3657 CVE-2012-3658 CVE-2012-3659 CVE-2012-3660 CVE-2012-3661 CVE-2012-3663 CVE-2012-3664 CVE-2012-3665 CVE-2012-3666 CVE-2012-3667 CVE-2012-3668 CVE-2012-3669 CVE-2012-3670 CVE-2012-3671 CVE-2012-3672 CVE-2012-3673 CVE-2012-3674 CVE-2012-3675 CVE-2012-3676 CVE-2012-3677 CVE-2012-3678 CVE-2012-3679 CVE-2012-3680 CVE-2012-3681 CVE-2012-3682 CVE-2012-3683 CVE-2012-3684 CVE-2012-3685 CVE-2012-3686 CVE-2012-3687 CVE-2012-3688 CVE-2012-3692 CVE-2012-3699 CVE-2012-3700 CVE-2012-3701 CVE-2012-3702 CVE-2012-3703 CVE-2012-3704 CVE-2012-3705 CVE-2012-3706 CVE-2012-3707 CVE-2012-3708 CVE-2012-3709 CVE-2012-3710 CVE-2012-3711 CVE-2012-3712

 Mac 版については、上記項目は OS 本体の修正に含まれていると思われ。

(緊急)BIND 9.xの脆弱性(サービス停止)について - キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
(JPRS, 2012.09.13)

 BIND 9.x に欠陥。リソースレコード (RR) の扱いに欠陥があり、RDATA フィールドの長さが 65,535 バイトを超える RR を読み込むと、その後 crash する可能性がある。 CVE-2012-4244

 BIND 9.9.1-P3 / 9.8.3-P3 / 9.7.6-P3 / 9.6-ESV-R7-P3 で修正されている。

追記

JVNVU#788478: Webmin の入力値検証に脆弱性

 Webmin 1.590 が 2012.06.30 付で出てました。これが最新です。

 で、JVNVU#788478 では「影響を受けるシステム: Webmin 1.580」となっているのですが、CVE-2012-2981 CVE-2012-2982 CVE-2012-2983 の最新版では「Webmin 1.590 and earlier」になっています。

 Webmin 1.590 以前には、加えて、CVE-2012-4893 (JVNDB-2012-004318: Webmin の file/show.cgi におけるクロスサイトリクエストフォージェリの脆弱性) という欠陥もあるそうで。


2012.09.13


2012.09.12

マイクロソフト セキュリティ アドバイザリ (2736233) ActiveX の Kill Bit 更新プログラムのロールアップ
(Microsoft, 2012.09.12)

 今回の対象は「Cisco Secure Desktop」「Cisco Hostscan」「Cisco AnyConnect セキュア モビリティ クライアント」だそうです。

APSB12-21: Security update: Hotfix available for ColdFusion 10 and earlier
(Adobe, 2012.09.11)

 ColdFusion 10 以前に DoS 攻撃を受ける欠陥 CVE-2012-2048Hotfix が用意されているので適用すればよい。 既に Hotfix APSB12-15 を適用している場合とそうでない場合とでは手順が異なるので注意。

 日本語版: APSB12-21: セキュリティアップデート:ColdFusion 10 以前用のホットフィックス公開(日本語抄訳) (Adobe, 2012.09.11)


2012.09.11

いろいろ (2012.09.11)
(various)

追記

Zero-Day Season is Not Over Yet

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2012.09.07)

 RealPlayer の欠陥 9 種類 CVE-2011-4253 CVE-2012-0923 CVE-2012-0925 CVE-2012-0928 CVE-2012-2407 CVE-2012-2408 CVE-2012-2409 CVE-2012-2410 CVE-2012-3234 が公開された。RealPlayer 15.0.2.72 以前 / Mac 用 RealPlayer 12.0.0.1701 以前に影響する。

 最新の RealPlayer 15.0.6.14 / Mac 用 RealPlayer 12.0.1.1750 にはこれらの欠陥はない。また、 2012.06.29 のアップデート (CVE-2012-3235 を修正) 時点での Windows 用最新版、RealPlayer 15.0.5.109 にも、これらの欠陥はない。 CVE 番号から見ても、この時点で既に修正されていたのだろう。

 一方 Mac 用 RealPlayer 12.0.0.1725 の状況は不明確。 CVE を見ると、CVE-2011-4253CVE-2012-0928 で「Mac RealPlayer 12.x before 12.0.0.1703」という記述があるので、 12.0.0.1725 で既に直っているのか?


2012.09.10

Firefox 15.0.1 がリリースされた
(MozillaZine, 2012.09.08)

 Firefox 15.0.1 登場。

Firefox 15.0.1 ではプライベートブラウジングモード中に記録されたキャッシュを手作業で調べたときに発見される可能性がある問題が修正されている。プライベートブラウジングモードをサポートしていない Android 版ではこの問題の影響を受けないため、このリリースはスキップされる。

 リリースノート

WordPress 3.4.2 メンテナンスとセキュリティのリリース
(WordPress, 2012.09.09)

 WordPress 3.4.2 登場。複数のセキュリティ欠陥 (詳細不明) が修正されている。

2012.09.18 追記:

 CVE-2012-4421 CVE-2012-4422

2012.10.01 追記:

 WordPress 3.4.2 に CSRF 脆弱性。patch はまだない。

JVNVU#788478: Webmin の入力値検証に脆弱性
(JVN, 2012.09.07)

 Webmin 1.580 (最新) 以前に 3 つの欠陥。入力値の検証に欠陥があり、認証済みユーザによって任意のコマンドが実行される。 CVE-2012-2981 CVE-2012-2982 CVE-2012-2983

 patch が提供されているので適用すればよい。

2012.09.14 追記:

 Webmin 1.590 が 2012.06.30 付で出てました。これが最新です。

 で、JVNVU#788478 では「影響を受けるシステム: Webmin 1.580」となっているのですが、CVE-2012-2981 CVE-2012-2982 CVE-2012-2983 の最新版では「Webmin 1.590 and earlier」になっています。

 Webmin 1.590 以前には、加えて、CVE-2012-4893 (JVNDB-2012-004318: Webmin の file/show.cgi におけるクロスサイトリクエストフォージェリの脆弱性) という欠陥もあるそうで。

いろいろ (2012.09.10)
(various)


2012.09.08

追記

Zero-Day Season is Not Over Yet


2012.09.07

マイクロソフト セキュリティ情報の事前通知 - 2012 年 9 月
(Microsoft, 2012.09.07)

 重要 x 2。Visual FoxPro と System Center Configuration Manager。

 そういえば 8 月分って書いてなかった orz ……ので書いた


2012.09.06

jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作ります
(Masato Kinugawa Security Blog, 2012.09.06)

 jQuery Mobile 利用者は 1.2 Beta に移行するのが吉のようです。

2012.10.05 追記:

 jQuery Mobile 1.2 正式リリースされました: jQuery Mobileの新たな安定版「jQuery Mobile 1.2」リリース (sourceforge.jp, 2012.10.04)

追記

Zero-Day Season is Not Over Yet

 Mac 用の Java 6 Update 35 出ました。Mac OS X 10.6 用もあります。

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

 永久不滅プラス (ツールバー) 方面:


2012.09.05


2012.09.04

追記

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

 永久不滅プラスの件について、岩浅さんから (ありがとうございます)

ダイアモンド社のダイアモンドオンライン というページに、 2011年8月22日の記事として、
 【第2回】 永久不滅.comを日本一のアフィリエイト・モールに育てたクレディセゾン 
 「ネットビジネスの両輪は、良いビジネスモデルと優良な会員」
というものがありました。

「永久不滅プラス ツールバー」で、 「日本で最も精緻なマーケティングデータ」を目指していたそうです。

1年以上も運用していれば、「まずいことをやっている」と気づいても良さそうだなぁ と思いました。

 これですね: 永久不滅.comを日本一のアフィリエイト・モールに育てたクレディセゾン  「ネットビジネスの両輪は、良いビジネスモデルと優良な会員」 (ダイアモンドオンライン, 2011.08.22)。 4 ページ目に興味深い記述が:

 今年4月からは、「永久不滅プラス」というツールバー(ブラウザに付加機能を追加するプログラム)の提供も始め、既に12万人が利用しています。このツールバーを使ってショッピングすれば、その都度ログインしなくても永久不滅.comを経由したことになります。会員にとって面倒な手間が省けて便利なだけでなく、もちろん会員の許可を取った上でですが、行動履歴の情報も蓄積することができます。
 こうした購買履歴や行動履歴と会員の属性情報が紐つけられると、日本で最も精緻なマーケティングデータになります。マーケティングデータ販売、オーディエンス・ターゲティングネット広告などの事業も、大きな可能性があると考えています。
 今年度のネット事業の利益はアフィリエイトによる約30億円ですが、今後はマーケティングデータ事業、ターゲティング広告と半々くらいにしたいですね。収益全体も、4、5年以内に数倍に伸ばすことを目標にしています。

 「もちろん会員の許可を取った上で」の実態が問題になるわけですが……。岩浅さんからのつづき:

あと、永久不滅プラスで問題となっているツールのダウンロードページを再び眺めてみたのですが、
https://www.a-q-f.com/saison/plus/lp/c11.html

HTMLファイルは、ダウンロード用リンクがコメントアウトされているだけの状態で、URLを直接指定すればダウンロードが出来る状態でした。
これで「永久不滅プラスの新規ダウンロードを停止しております。」というのはぬるいなぁと思いました。

 システムの都合上、消せなかったりするのかなあ。


2012.09.03

追記

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

 関連:

  • クレディセゾンへの信頼、明日、正念場 (高木浩光@自宅の日記, 2012.08.28)。「永久不滅プラス」の件。

    ところが、8月18日の日記の翌日、Twitterで、「モニター登録」を拒否して当該ツールバーをインストールした場合でも、閲覧する全てのWebサイトのURLが aqfts.naver.com に送信されているとの指摘が出た。私はその場合のテストをしていなかったので、改めてそのテストをしたところ、確かに送信されていた。

    な、なんだってーーー

    デ:確認したところ、先ほどの私の答えが間違っており、「本ソフトウェアを利用して」頂く情報の意味について、私は「ツールバーを利用して検索とか『かんたん経由』とかを使って」というふうに答えましたが、これは間違いでした。

    私:はあ。

    デ:本ソフトウェアをダウンロードしているブラウザでのご利用に対して情報を取得するということであり、私が規約の言葉の意味を単純に捉えてしまったことが、間違ったご案内をすることになってしまったが、実際には、ツールバーをインストールしているIEについての情報を頂くという、広い意味の解釈です。

    私:そういうふうには読めませんよ。だって、「本ソフトウェアを利用し会員がアクセスした」ですからね。「本ソフトウェアを利用し」というのはどこに係るのですか?

    デ:それ自体がツールバーをインストールしている状態を指すという解釈になります。

    それなんて虚偽説明……。マルウェア扱いすべきレベルであろ。

  • 企業秘密を含み得るメールの件名がNAVERへ送信されている (高木浩光@自宅の日記, 2012.08.30)。結局、利用規約の変更で押し通した模様。あんびりーばぶる。

    永久不滅プラスの「インターネット行動履歴」送信機能は、Tポイントツールバーとは違って、URLだけでなく、HTMLの中身であるところのタイトル要素の文字列まで naver.com に送信するものである。これは、Googleツールバーも、Alexaツールバーもやっていないことで、おそらく、他にやっていて許されているものはないのではないか*5と思う。

    タイトル要素が抜き取られることのヤバさはどのくらいのものか。 (中略) 明らかに言える具体例は、GmailなどのWebメールがタイトルにメールのSubject:(件名)を表示している場合、それを naver.com へ持って行かれるという事実である。
  • 情報収集ツールバー、「履歴提供」に苦情相次ぐ (読売, 2012.09.03)

     CCCは8月15日、これまで収集した情報を消去し、新規のURL情報の取得とツールバーのダウンロードを休止することを決定。同社は「ツールバーのダウンロード件数は明らかにしていない。サービス内容は精査している」としている。
     昨年4月から同様のサービスを始めていたクレジット大手「クレディセゾン」も8月31日、新規のサービス提供を休止した。ツールバーでネット検索すると商品などと交換できる「永久不滅ポイント」がもらえる仕組みだが、一部の利用者が「URL履歴が収集されることの説明が不十分」などと抗議したためだという。
  • 情報収集ツールバー、「履歴提供」に苦情相次ぐ (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 2012.09.03)

Zero-Day Season is Not Over Yet

 Java 7 Update 7 には別の欠陥があり、これまた任意のコードを実行可能らしい。

いろいろ (2012.08.07)

 Black Hat - Don't stand so close to me: An analysis of the NFC attack surface (Sophos, 2012.08.01) の件関連。

いろいろ (2012.09.03)
(various)


2012.09.02

追記

Zero-Day Season is Not Over Yet

 関連:

RuggedCom.Rugged.OS.Backdoor.Unauthorized.Access.Vuln

 関連:

いろいろ (2012.09.02)
(various)


[セキュリティホール memo]
[私について]