セキュリティホール memo - 2013.03

Last modified: Thu May 22 15:46:08 2014 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2013.03.29

追記

CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる

 修正済パッケージ

 exploitが出るのは時間の問題だそうですので、早めの対応を。


2013.03.28

いろいろ (2013.03.28)
(various)


2013.03.27

いろいろ (2013.03.27)
(various)

セキュリティ アドバイザリ 2819682「Microsoft Windows ストア アプリケーション用のセキュリティ更新プログラム」を公開
(Microsoft, 2013.03.27)

 「Windows 8、Windows RT、および Windows Server 2012 上で稼働する Windows モダン メールの脆弱性を解決」するそうです。

Chrome Stable Channel Update
(Google, 2013.03.26)

 Chrome 26.0.1410.43 登場。11 件のセキュリティ欠陥が修正されている。

CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる
(ISC, 2013.03.26)

 BIND 9.7.x〜9.9.x の Unix 版に欠陥。libdns における正規表現の扱いに欠陥があり、 特定の状況において named に過大なメモリ消費をさせることができる。 その結果、異常動作や異常終了を招く。キャッシュ DNS サーバ、権威 DNS サーバ共に欠陥の影響を受ける。 この欠陥は Windows 版には影響しない。 CVE-2013-2266

 BIND 9.8.4-P2、9.9.2-P2 で修正されている。また正規表現サポートを無効化 (./configure が作成する config.h で #undef HAVE_REGEX_H を設定) してコンパイルすることにより、この欠陥を回避できる。

 関連: (緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開) - キャッシュ/権威DNSサーバーの双方が対象、即時の対応を強く推奨 - (JPRS, 2013.03.27)

2013.03.27 追記:

 ISC DHCP 4.2 でも libdns を使っているので、この欠陥の影響を受けるそうです: CVE-2013-2494: A Vulnerability in libdns Could Cause Excessive Memory Use in ISC DHCP 4.2 (ISC, 2013.03.26)。ISC DHCP 4.2.5-P1 で修正されています。 ISC DHCP 4.1.x 以前には、この欠陥の影響はありません。 CVE-2013-2494

2013.03.29 追記:

 修正済パッケージ

 exploitが出るのは時間の問題だそうですので、早めの対応を。

2013.04.01 追記:

 BIND 9.xの脆弱性は「悪用の容易さで突出」、近く攻撃発生の恐れも (ITmedia, 2013.04.01)


2013.03.26

いろいろ (2013.03.26)
(various)


2013.03.25

追記

#OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

Google の一部サイトに対して発行された不正な SSL 証明書の問題


2013.03.22

いろいろ (2013.03.22)
(various)


2013.03.21

About the security content of iOS 6.1.3
(Apple, 2013.03.19)

 パスコードロックの件 など、計 6 件のセキュリティ欠陥が修正されている。既存の jailbreak ツール evasi0n も無効になった模様。

いろいろ (2013.03.21)
(various)

Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性
(NEC, 2013.03.19)

 「WM3800Rを除くAterm WiMAXルータ全製品および2011年以前に発売開始したAterm無線LAN親機」に CSRF 欠陥。

機種 内容
AtermWR9300N, AtermWR8750N, AtermWR8175N, AtermWR8165N, AtermWM3800R 欠陥なし
AtermWR9500N, AtermWR8700N, AtermWR8600N, AtermWR8370N, AtermWR8170N, AtermWR8160N, AtermWM3600R, AtermWM3450RN 更新ファームウェアあり
その他 未対応。回避策を実施

 回避策として、「〔クイック設定Web〕を開いた場合は、設定終了後にブラウザを終了する」が示されている。また Safari では、それだけでは足りず、認証情報を保存しないことが必要。削除方法が述べられている

 関連:

2013.10.16 追記:

 AtermWR8700N と AtermWR8170N の更新ファームウェアが 2013.10.09 付で公開されていた。ダウンロード。やまぴ〜さん情報ありがとうございます。

2013.10.22 追記:

 Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (NEC) が 2013.10.22 付で改訂された。

対象となる製品のバージョンに影響のない製品(AtermWR8165N)を追加しました。
対処方法にファームウェアバージョンアップ対象となる製品(AtermWR8700N、AtermWR8170N)を追加しました。

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
(RealNetworks, 2013.03.15)

 Windows 版 RealPlayer 16.0.0.0 以前に 1 件の欠陥。MP4 ファイルの扱いに欠陥があり、攻略 MP4 ファイルを再生すると heap overflow が発生、任意のコードの実行を招く。 CVE-2013-1750

 Windows 版 RealPlayer 16.0.1.18 で修正されている。また Mac 版にはこの欠陥はないが、バージョン 12.0.1.1738 が公開されている。

追記

#OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

Microsoft 2013 年 3 月のセキュリティ情報

iPhone(iOS6.1)でパスコードを入力せずに電話アプリを起動し連絡先や写真などにアクセスする手順がYouTubeにて公開中

 修正版出ました: APPLE-SA-2013-03-19-1 iOS 6.1.3 (Apple, 2013.03.19)

 しかし早速、別の問題が発見された模様です: iOS6.1.3で早速パスコード入力画面を回避して機能にアクセスできるバグが発覚 (gigazine, 2013.03.21)。よく思いつくなあこんなの……。


2013.03.18

いろいろ (2013.03.18)
(various)

RC4 終了のお知らせ
(various)

 BGM: The Doors - The End (YouTube)

 BEAST 攻撃Lucky Thirteen 攻撃 への回避策として RC4 を使っている場合があると思うけど、もう駄目みたい。 AES-GCM など AEAD 暗号群への移行 (→ TLS 1.2 への移行) がいよいよ急務になったようで。

追記

いろいろ (2013.03.11)

 Kaspersky fixes IPv6 problem in Internet Security Suite (H Security, 2013.03.14)。カスペの件、修正されたそうです。


2013.03.17

About the security content of Safari 6.0.3
(Apple, 2013.03.14)

 Mac OS X 10.7.5 および 10.8.2 用 Safari 6.0.3 公開。 17 件のセキュリティ欠陥が修正されている。 また Mac OS X 10.8.3 には Safari 6.0.3 が同梱されている。 CVE-2012-2824 CVE-2012-2857 CVE-2013-0948 CVE-2013-0949 CVE-2013-0950 CVE-2013-0951 CVE-2013-0952 CVE-2013-0953 CVE-2013-0954 CVE-2013-0955 CVE-2013-0956 CVE-2013-0958 CVE-2013-0959 CVE-2013-0960 CVE-2013-0961 CVE-2012-2889 CVE-2013-0962

About the security content of OS X Mountain Lion v10.8.3 and Security Update 2013-001
(Apple, 2013.03.14)

 Mac OS X 10.6.8 および 10.7.5 用のセキュリティアップデート 2013-001、および Mac OS X 10.8.3 公開。21 件のセキュリティ欠陥が修正されている。 中には CVE-2011-3058 なんて古いものも。 またCVE-2013-0967 は Mac OS X 10.7、10.8 において、Java プラグインが無効な場合でも Java Web Start アプリが動いてしまう欠陥。

Description: Java Web Start applications would run even if the Java plug-in was disabled. This issue was addressed by removing JNLP files from the CoreTypes safe file type list, so the Web Start application will not be run unless the user opens it in the Downloads directory.

 関連:

2013.04.26 追記:

 Apple の Snow Leopard 用Safari 5.1.8 にセキュリティ業界もビックリ (intego, 2013.03.21)。Mac OS X 10.6.8 用のセキュリティアップデート 2013-001 には Safari 5.1.8 が含まれていたのだそうで。しかし、

ところが、Appleはこのアップデートの詳細をAppleセキュリティアップデートのページに公開していません。セキュリティアップデート 2013-001 の記事あるいは Safari 6.0.3 の記事でもSafari 5.1.8 に触れておらず、Safari 5.1.8 に関する単独の記事もありません。そのため、Safari 6.0 から 6.0.3 の間にパッチされた 201 の脆弱性が、5.1.8 でも修正されたのかは不明です。

 安全側に倒れるなら、使わないほうがよさげ。

ClamAV 0.97.7 has been released!
(ClamAV, 2013.03.15)

 ClamAV 0.97.7 公開。複数のセキュリティ修正が含まれているそうです。

#OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!
(0day.jp, 2013.03.15)

 だそうです。サイト一覧ありますので、対応を。関連:

2013.03.21 追記:

 国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害 (トレンドマイクロ セキュリティ blog, 2013.03.18)

 DarkLeech Apache Moduleマルウェアのリバースエンジニアリング調査 (#OCJP-098について) (0day.jp, 2013.03.20)

2013.03.25 追記:

 BHEK2を悪用した国内改ざん事件の続報 (IIJ-SECT, 2013.03.22)

2013.04.08 追記:

 この手の事例を調べてみたら、古い Parallels Plesk Panel を使っていることが多かったそうで: 旧バージョンの Parallels Plesk Panel の利用に関する注意喚起 (JPCERT/CC, 2013.04.08)。 いろいろ (2012.07.16) で紹介した件 + αなかんじ。

2013.04.10 追記:

 BHEK2を悪用した国内改ざん事件の続報 (IIJ-SECT, 2013.04.10 追記)。新しい URL パターン /[a-f0-9]{16}/ff\.php を確認したそうで。

2013.07.09 追記:

 継続する Web 改ざんと Exploit Kit によるドライブバイダウンロード (IIJ-SECT, 2013.07.05)


2013.03.15

追記

Microsoft 2013 年 3 月のセキュリティ情報

 3月の月例パッチに適用漏れの可能性、Windows 7/8ユーザーは再確認を (so-net セキュリティ通信, 2013.03.15)

適用されていない可能性があるのは、「MS13-027」のカーネルモードドライバーで特権の昇格が起こる脆弱性を修正するセキュリティ更新プログラム(KB2807986)だ。これがダウンロード保留状態のまま残ってしまう現象が、Windows 7とWindows 8のパソコンで確認されている。(中略) マイクロソフトのサポート技術情報(2807986)によると、ドライバーを含んだこの更新プログラムは、インストールされなかったり、ダウンロード保留中になったりすることがあるという。(中略) なお、サポート技術情報では、Windows 7の場合は「KB2807986」を適用する前に、「Windows 7用更新プログラム (KB2552343)」をインストールするよう勧めている。

 関連:


2013.03.14

Microsoft 2013 年 3 月のセキュリティ情報
(Microsoft, 2013.03.13)

 予定どおり出ました。

MS13-021 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2809289)

 IE 6〜10 に 9 件の欠陥。Exploitability Index は全て 1。

  • Internet Explorer OnResize の解放後使用の脆弱性 - CVE-2013-0087

  • Internet Explorer saveHistory の解放後使用の脆弱性 - CVE-2013-0088

  • Internet Explorer CMarkupBehaviorContext の解放後使用の脆弱性 - CVE-2013-0089

  • Internet Explorer CCaret の解放後使用の脆弱性 - CVE-2013-0090

  • Internet Explorer CElement の解放後使用の脆弱性 - CVE-2013-0091

  • Internet Explorer GetMarkupPtr の解放後使用の脆弱性 - CVE-2013-0092

  • Internet Explorer onBeforeCopy の解放後使用の脆弱性 - CVE-2013-0093

  • Internet Explorer removeChild の解放後使用の脆弱性 - CVE-2013-0094

  • Internet Explorer CTreeNode の解放後使用の脆弱性 - CVE-2013-1288

MS13-022 - 緊急: Silverlight の脆弱性により、リモートでコードが実行される (2814124)

 Windows 版および Mac 版の Silverlight 5 に欠陥、攻略 Web ページを閲覧すると任意のコードが実行される。ビルド 5.1.20125.0 で修正されている。 CVE-2013-0074。Exploitability Index: 1

MS13-023 - 緊急: Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2801261)

 Visio Viewer 2010 に欠陥、攻略 Visio ファイルによって任意のコードが実行される。 CVE-2013-0079 。Exploitability Index: 2

 欠陥はないが、Visio 2010 と Office 2010 Filter Pack SP1 にも修正が用意されている。

MS13-024 - 緊急: SharePoint の脆弱性により、特権が昇格される (2780176)

 SharePoint Server 2010 SP1、SharePoint Foundation 2010 SP1 に 4 つの欠陥。

  • コールバック関数の脆弱性 - CVE-2013-0080。Exploitability Index: 1

  • SharePoint XSS の脆弱性 - CVE-2013-0083。Exploitability Index: 1

  • SharePoint ディレクトリ トラバーサルの脆弱性 - CVE-2013-0084。Exploitability Index: 1

  • バッファー オーバーフローの脆弱性 - CVE-2013-0085。Exploitability Index: 3

MS13-025 - 重要: Microsoft OneNote の脆弱性により、情報の漏えいが起こる (2816264)

 OneNote 2010 SP1 に欠陥。 OneNote (.ONE) ファイルの処理に欠陥があり、ユーザー名やパスワードといった情報が漏洩する。 CVE-2013-0086。Exploitability Index: 3

MS13-026 - 重要: Office Outlook for Mac の脆弱性により、情報漏えいが起こる (2813682)

 Office 2008 for Mac、Office for Mac 2011 に欠陥。 Outlook for Mac 2008、Outlook for Mac 2011 に欠陥があり、攻略 HTML 5 メールによってユーザーの情報が漏洩する。 CVE-2013-0095。Exploitability Index: 3

MS13-027 - 重要: カーネルモード ドライバーの脆弱性により、特権の昇格が起こる (2807986)

 Windows カーネルモードドライバーに 3 件の欠陥があり、local user による権限上昇が可能。Exploitability Index はいずれも 1。

 関連:

2013.03.15 追記:

 3月の月例パッチに適用漏れの可能性、Windows 7/8ユーザーは再確認を (so-net セキュリティ通信, 2013.03.15)

適用されていない可能性があるのは、「MS13-027」のカーネルモードドライバーで特権の昇格が起こる脆弱性を修正するセキュリティ更新プログラム(KB2807986)だ。これがダウンロード保留状態のまま残ってしまう現象が、Windows 7とWindows 8のパソコンで確認されている。(中略) マイクロソフトのサポート技術情報(2807986)によると、ドライバーを含んだこの更新プログラムは、インストールされなかったり、ダウンロード保留中になったりすることがあるという。(中略) なお、サポート技術情報では、Windows 7の場合は「KB2807986」を適用する前に、「Windows 7用更新プログラム (KB2552343)」をインストールするよう勧めている。

 関連:

2013.03.21 追記:

 2013 年 3 月のセキュリティ更新プログラムに関してリスクを評価する (日本のセキュリティチーム, 2013.03.21)

Wipe the drive! Stealthy Malware Persistence Mechanism - Part 1
(SANS ISC, 2013.03.13)

 BITS を使ってマルウェアをダウンロードし実行させることができるのですね。

SUMMARY:
Add checking the BITSADMIN queue to your incident response checklist.

追記

APSB13-04: Security updates available for Adobe Flash Player

 Flash Exploit Targets Uyghur Website (F-Secure blog, 2013.03.13)。 邦訳版: FlashエクスプロイトがウイグルのWebサイトを標的に (エフセキュアブログ, 2013.03.14)

Firefox 19.0.2 / 17.0.4 ESR 公開

 Thunderbird 17.0.4 / 17.0.4 ESR が公開されていたので、リンクを追加した。


2013.03.13

APSB13-09: Security updates available for Adobe Flash Player
(Adobe, 2013.03.12)

 任意のコードの実行を招く欠陥 4 つ CVE-2013-0646 CVE-2013-0650 CVE-2013-1371 CVE-2013-1375 が修正されています。0-day ではないようです。AIR も更新されてます。 関連:


2013.03.11

いろいろ (2013.03.11)
(various)

2013.03.18 追記:

 Kaspersky fixes IPv6 problem in Internet Security Suite (H Security, 2013.03.14)。カスペの件、修正されたそうです。

追記

Oracle Java SE Critical Patch Update Advisory - February 2013

Pwn2Own2013
(てっじーの丸出し, 2013.03.08)

 Java、IE 10、Firefox、Chrome、Flash、Adobe Reader 撃破さる。 ↓にも書いたように、Firefox と Chrome は修正版出ました。 IE 10 は次の Microsoft Update の日に直るのかなあ。

マイクロソフト セキュリティ情報の事前通知 - 2013 年 3 月
(Microsoft, 2013.03.08)

 緊急 x 4、重要 x 3。IE あり、Office あり (Visio 2010、OneNote 2010、for Mac)、 SharePoint 2010 あり。

 関連: 2013 年 3 月 13 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.03.08)

Firefox 19.0.2 / 17.0.4 ESR 公開
(mozilla.org, 2013.03.07)

 出ました。Pwn2Own で発表された件の修正だそうで: Google ChromeとMozilla Firefoxの更新版公開、ハッキングコンペで実証の脆弱性に対処 (ITmedia, 2013.03.11)、Mozilla and Pwn2Own Event (Mozilla Security Blog, 2013.03.07)

 Thunderbird 17.0.4 はまだ出てないみたい。

2013.03.14 追記:

 Thunderbird 17.0.4 / 17.0.4 ESR が公開されていたので、リンクを追加した。

Chrome Stable Channel Update
(Google, 2013.03.07)

 Chrome 25.0.1364.160 登場。WebKit に関する 1 件の欠陥が修正されている。 Pwn2Own で発表された件の修正だそうで: Google ChromeとMozilla Firefoxの更新版公開、ハッキングコンペで実証の脆弱性に対処 (ITmedia, 2013.03.11)


2013.03.10


2013.03.07

いろいろ (2013.03.07)
(various)


2013.03.06


2013.03.05

追記

[JS13001] 一太郎・花子の脆弱性を悪用した不正なプログラムの実行危険性について

 予定どおり、一太郎2010、一太郎ガバメント2010、ジャストスクール2010、 花子2011、花子Police3、花子2010、花子Police2010 用のアップデートモジュールが公開されました。

YAJ0: Yet Another Java Zero-Day

 Java 7 Update 17 および Java 6 Update 43 が公開されました。

Chrome Stable Channel Update
(Google, 2013.03.04)

 Chrome 25.0.1364.152 公開。Mac 版 25.0.1364.152 については 2013.03.01 に先行公開されていたそうで。10 件の欠陥が修正されている。


2013.03.04

追記

YAJ0: Yet Another Java Zero-Day


2013.03.03


2013.03.01

YAJ0: Yet Another Java Zero-Day
(FireEye, 2013.02.28)

 最新の Java 6 Update 41 および Java 7 Update 15 に撃ち込める 0-day 攻撃が早くも登場だそうで。 CVE-2013-1493

2013.03.04 追記:

 関連:

2013.03.05 追記:

 Java 7 Update 17 および Java 6 Update 43 が公開されました。


[セキュリティホール memo]
[私について]