セキュリティホール memo

》 Poderosa 3.0.0 が出たそうです。
》導入進むマネーロンダリング対策ソフト：一般人も監視対象に (WIRED NEWS, 4/28)
》 Panda Softwareアンチウイルス製品のデイリーアップデートについて (Panda, 4/28)
》スカイダイブしながら『ニンテンドーDS』ワイヤレス対戦 (WIRED NEWS, 4/27)。自由落下というものは、言葉で言うほど自由ではないのですね (C) シャア。 Bluesniper みたいなものを使えば、もっと長距離からできるかな。でもお互いに狙わないといけないので、自由落下中はかなりたいへんそう。街中でやると、おまわりさんが飛んできそうだし。
》「そふとはうす」名で大量のスパムメール、海賊版ソフト販売で摘発 (ACCS, 4/27)
》地方公共団体における個人情報保護条例の制定状況等（平成17年4月1日現在） (総務省, 4/22)。Ikegami さん情報ありがとうございます。
》「ウルトラマン」になって怪獣と戦う　新アトラクション (asahi.com, 4/28)。ライドものだそうです。

まず和歌山県白浜町の白浜エネルギーランドで２９日に公開される。

　第９回コンピュータ犯罪に関する白浜シンポジウムにお寄りの際は、ぜひご体験を。
》さきほど、尼崎・列車脱線事故で亡くなられた本学理工学部 1 回生・福田和樹さんの追悼法要が行われました。TV 局らしき、VTR 機材を持った人が 5～6 人来ていたのですが、喪服を着ていたのは NHK の腕章を持った人だけでした。NHK も、VTR の人は喪服だったのですが、マイクの人はそうではありませんでした。TV 局の人ってこんなものなのでしょうか。新聞社らしき、手持ちカメラを持った人も 7～8 人来ていたのですが、こちらはほとんど喪服でした。 (おがわさんの助言に従って用語を修正: ありがとうございます)
- 横に傾き片輪走行の後、横転脱線か (TBS, 4/28 11:16)。片輪走行……。マシンハヤブサじゃあるまいし、列車がやっていいことじゃない。
- 「片輪走行」説浮上にＪＲ西日本は (TBS, 4/28 11:53)。こんな事故自体が「通常ならあり得ない」ので……。
- 「カーブ外側に傾いて走行」　脱線事故で複数住民目撃 (asahi.com, 4/28 15:33)
  　県警が現場付近の住民から事故当時の事情を聴いたところ、「電車はカーブの外側に傾きながら走ってきた」という複数の目撃情報が得られたという。
  　現場付近は右カーブになっているため、左側のレールが右側に比べて９．７センチ高くなっており、本来なら内側に傾いて通過する形になる。
- ＪＲ西日本に安全向上計画を命令へ　国土交通省 (産経, 4/28 12:51)
- 【暴走快速　尼崎ＪＲ脱線事故】（１）焦り (産経, 4/28)。「日勤教育」は、「教育」の名に値するのか? JR 西日本という会社は、何か大きく勘違いしていないか?
- 【暴走快速　尼崎ＪＲ脱線事故】（２）曲芸的ダイヤ (産経, 4/28)
- 懲りぬＪＲ西の体質とはミスした運転士追い込む？再教育 (東京新聞, 4/27)
  　「旧国鉄時代は『安全は輸送業務の最大の使命である』で始まる安全綱領を毎日、唱えさせられた。現在のＪＲ綱領は『われわれはリーダーカンパニーを目指します』だ」とＪＲ東日本関係者はため息をつく。
  　「昔は見習い中『全責任は運転席にあり、総裁が乗ってきても運転士の判断が勝る』と同乗する先輩運転士に誇りをたたき込まれた。いまはマニュアル漬け。かつては想定外の事態にも冷静に対応できるよう先輩がわざとオーバーランをして、パニックからの回復を練習させた。いまではあり得ないことだ」
  　今回の事故について、自殺した運転士の父親は訴える。「背景には職場の余裕のなさがあるのではないか。これを運転士個人の責任に帰したり、『再発させません』という精神論だけで終わらせてはいけない」
- 尼崎・ＪＲ脱線　遅れ時加速　県内も (asahi.com マイタウン神奈川, 4/27)。神奈川県内の鉄道の状況。Mattun さん情報ありがとうございます。
》自動アップデートは電子署名検証が必須なのだが…… (高木浩光＠自宅の日記, 4/24)。どうなんでしょうねえ。

■ SYM05-007: Symantec AntiVirus RAR archive bypass
(Symantec, 2005.04.28)

　シマンテックの Windows 用アンチウイルスプロダクトに欠陥。具体的には、 Symantec Web Security, Symantec Mail Security for SMTP, Symantec AntiVirus Scan Engine, Symantec SAV/Filter for Domino NT, Symantec Mail Security for Exchange, Symantec Norton AntiVirus 2005, Symantec Norton Internet Security 2005 , Symantec Norton System Works 2005 に欠陥がある。 RAR ファイルの検査において、特殊な RAR を展開しようとすると展開コンポーネントがクラッシュしてしまう場合がある。この結果、当該 RAR ファイル内にウイルスが格納されていても検査されないままになってしまう。

　修正版がすでに存在する。LiveUpdate 等で最新の patch を適用してあれば、修正された版以降になっているはずのようだ。詳細については SYM05-007 を参照。手元の LiveUpdate してある Norton AntiVirus 2005 のバージョンは 11.0.9.16 になっており、本件の修正バージョン 11.0.9 を満足している。

2005.04.30 追記:

　SYM05-007: Symantec AntiVirus に RAR アーカイブをバイパスする脆弱性 (シマンテック)。

■ Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り
(ITmedia, 2005.04.28)

　問題のサイト Googkle.com をちょっと見てみたのですが、確かにいろいろ仕掛けられているようで。いやはや。仕掛けのひとつ counter.jpg の中身はこんな感じ:

% unzip -l counter.jpg 
Archive:  counter.jpg
  Length     Date   Time    Name
 --------    ----   ----    ----
    19952  07-09-04 18:03   Counter.class
      240  07-09-04 18:03   Gummy.class
        0  07-09-04 18:03   META-INF/
       71  07-09-04 18:03   META-INF/MANIFEST.MF
      902  07-09-04 18:03   VerifierBug.class
     3400  07-09-04 18:03   Worker.class
     1263  07-09-04 18:03   Xeyond.class
     8992  04-24-05 18:52   web.exe
 --------                   -------
    34820                   8 files

　このうち MANIFEST.MF は

Manifest-Version: 1.0
Created-By: 1.3.0_02 (Sun Microsystems Inc.)

というだけのファイルなのでいいのですが、他は全部アレなファイルです。 Gummy.class や web.exe をウイルス判定しないプロダクトがけっこうあるので注意。 web.exe については、AVG / Dr.Web / F-Prot / Kaspersky / mks_vir / VBA32 / McAfee は検出した。Norton AntiVirus 2005 (20050427.008) や Trendmicro (Virus Scanner v3.1, VSAPI v7.510-1002 / Pattern number 2.604.00) では検出しなかった。

2005.05.02 追記:

　Handler's Diary April 30th 2005 (SANS ISC) によると、当該ドメインの DNS エントリが削除された模様。 googkle.com の他にもいろいろあったみたいです。

■ 追記

Adobe Reader／Acrobatにセキュリティ・ホール，ハングアップさせられる恐れあり

　アドビシステムズ社Adobe Acrobat ReaderおよびAdobe Readerの脆弱性に関するお知らせ (富士通, 2005.04.21)。製品添付 CD-ROM 内の Acrobat Reader / Adobe Reader に関する文書。

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合

　ウイルスパターンファイルに関する問題について (トレンドマイクロ) というページができています。

ウイルスパターンファイルに関する問題について (トレンドマイクロ)
ウイルスパターンファイルの問題に関する、現時点までの調査結果と今後の対策について（エバ・チェン会見内容について） (トレンドマイクロ, 2005.04.26)
ウイルスパターンファイルの問題に関するお客様への対応について (トレンドマイクロ, 2005.04.27)。以下だそうです。
- 個人: 契約期間を無償で 1 か月延長。さらに、復旧が必要だった場合は:
  - 復旧費用の実費を負担 (最大 8,500 円/シリアル) するか
  - 契約期間を無償で 3 か月延長
- 法人: 契約期間を無償で 1 か月延長
- 月額版: 対応未定

いろいろ (2005.03.19)

　DSA-717-1 lsh-utils -- buffer overflow, typo (Debian GNU/Linux, 2005.04.27)

Stable CVS Version 1.11.20 Released! * Security Update *

Red Hat Linux ES 3: RHSA-2005:387-06 cvs security update
Turbolinux: TLSA-2005-51

■ 2005.04.27

》 qpopper 4.0.7 が出たそうです。なかのさん情報ありがとうございます。 Changes を見ると、from 4.0.5 to 4.0.6 にこんな記述がありますね。

 4.  poppassd now runs smbpasswd as user, not root, to avoid exploit
25.  Process user and spool config files as user, not as root (fix 
     security hole reported by Jens Steube)
27.  popauth now opens trace file as user, not root (fix security
     hole reported by Jens Steube); also umask now set.
33.  Added code to use mkstemp() instead of our perfectly safe usage
     of tempnam() because some compilers issue overly broad warnings
     implying that all uses of tempnam() are unsafe.  To bypass,
     use '--enable-tempnam' with ./configure.

》ＪＲ尼崎駅、１秒単位で遅れ報告　「負担過酷」指摘も (asahi.com, 4/26)。相対的に安全教育が軽視されたということか。伊丹駅から事故現場まで、平均１２０キロで走行 (読売, 4/27) という反応を引き起こしてしまうほどに。尼崎脱線事故：急ブレーキで「せり上がり脱線」か (毎日, 4/27)。

　「事故の教訓生かされず」信楽事故遺族会がＪＲ西非難 (読売, 4/27)。というか、JR 西日本には「信楽事故の教訓」という概念自体がもともと存在しないのでは。

　ＪＲ西日本・南谷会長、関経連副会長職続投の意向 (asahi.com, 4/27)。関電 + JR 西日本、死亡事故まみれのツートップが続投だそうです。関西の地盤沈下ここに極まれり、という感じでしょうか。
》侵入傾向分析レポート Vol.4 (LAC JSOC, 4/27) が出ています。
》ちいちゃんさんから情報をいただきました (ありがとうございます)

先ほどパターンが2.602.00に上がったようなので
せっせとTMCMからプッシュしていたら

「ちいちゃんさん　トレンドマイクロから電話です。」
何だろう？

「トレンドマイクロの○○です。先ほど配布した
2.602.00ですが　差分ダウンロードができないので
WANからの配信を停止してください。」
「え　すぐに改訂版が出るんですか？」
「今　準備しています。」
しかしすでにプッシュのボタンを押してしまい
普段なかなかTMCMからサーバーまで配布されないのに
こう言う日に限ってほとんどのサーバーがすんなり
あがってしまいました。うちは細い回線で繋がっている
のでとんでもないことになってしまった～

ちゃんとテストしているのかな～
すぐにまたパターンが公開されると思います。

　情報出ました: パターンファイル 2.600.00 から 2.602.00へのアップデート時における、フルサイズのパターンファイルのアップデートに関して (トレンドマイクロ)。約 7 MB ですか。「よわり目にたたり目」ですねえ……。
》セキュリティ更新プログラムの展開に関する頭痛の種進化した Windows Software Update Services (Microsoft)。WSUS の解説。WSUS は RC 版公開中。
》監視系の異常でホストがダウン ---UFJ銀行のATMが利用不可に，フェールオーバーするも処理継続できず (日経 IT Pro, 4/6)
》 SP1適用に関する互換性情報、不具合報告スレッド (hotfix.jp)。Windows Server 2003 SP1 に関する不具合情報がまとめられています。

　Windows Storage Server 2003 OS搭載のStorageWorks NAS/ProLiant Storage ServerへのWindows Server 2003 SP1はインストールしないでください (hp) だそうで……。こういう事例は多いのかなあ。
》明治安田生命の厚顔、「不祥事は語らず、業界団体トップには就任」 (日経 BP, 4/27)
》 DATアップデート実行時にエラー『ウイルス定義ファイルが無効です』が発生する (マカフィー, 4/27)。

初期バージョンのVirusScan Enterprise7.xではデフォルトのスキャンエンジンが4.2.60である為今回の現象が発生します。その為、現在弊社ライセンス版ダウンロードサイトに掲載されております新しいVirusScan Enterprise7.1（4.4.00エンジンバンドル版）をダウンロードし、こちらをインストールして下さい。

　お、4400 エンジン同梱版の VSE 7.1 パッケージがあるんだ。あとで入手しておこう。

■ 追記

mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ

　「ぼくはまちちゃん」 ――知られざるCSRF攻撃 (@IT, 2005.04.27)

Stable CVS Version 1.11.20 Released! * Security Update *

Debian GNU/Linux: DSA-715-1 cvs

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合

検証プロセス、情報伝達体制……事件がトレンドマイクロに突きつけた課題 (ITmedia, 4/27)

　トレンドマイクロでは今年2月より、土日を除く毎日、ウイルスパターンファイルをアップデートする体制をとっていた。だがそれと相前後して、ウイルスの誤検出などのトラブルが何度か報告されている。

　大三川氏はこの点について「過去に生じた誤検出の不具合は、テスト時の人為的ミスに起因する今回の問題とは別の問題」とし、連日更新によるスケジュールの過密化がこのトラブルに影響したとの見方は否定した。

　しかし、事件を踏まえたプロセス見直しの一環として、誤検出問題についても修正することにしたという。先のサイドエフェクトテストなどはその一環だ。「これまで、危ないものを検出できるかどうかはテストしていたが、既存のシステムにどういった影響を与えるかについてはテストしていなかった」（同氏）。
【続々報】「もう一度チャンスをください」とトレンドマイクロCEOが謝罪会見 (日経 IT Pro, 4/26)
トレンドマイクロのパターンファイル障害－チェンCEOが謝罪 (Enterprise Watch, 4/27)

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

　副作用情報:

セキュリティ更新プログラム MS05-019 または Windows Server 2003 Service Pack 1 のインストール後、クライアントとサーバー間のネットワーク接続が機能しないことがある (Microsoft)。 NTBugtraq で出ていた MS05-019 Breaks VPN の話のようです。MS05-019 を入れると、path MTU Discovery がうまく動かないことがあるみたい。サポートから patch を入手できるそうです。

この KB、英語版と日本語版とで情報量が違いますね……。

2005 年 4 月のセキュリティ情報

　Windows インストーラ 3.1 をインストールすると、修正プログラムによっては適用に失敗する可能性がある (updatecorp.co.jp)。

Windows インストーラの呼び出し時に完全サイレントインストールのためのオプションを指定すると、適用に失敗します。

　4 月の Windows Update の日に Windows インストーラ 3.1 も配布されていますが、互換性に少々難があるようです。

■ 2005.04.26

■ Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023)
(Microsoft, 2005.04.13)

　なんだか old news ですが……

　Microsoft Word 2000 (Office 2000), Word 2002 (Office XP), Word 2003 (Office 2003) に 2 つの欠陥。

Microsoft Word のバッファオーバーラン - CVE: CAN-2004-0963

Word 2000 / 2002 / 2003 に buffer overflow する欠陥があり、攻略 Word ファイルを読む込むことで任意のコードを実行させられる。 MS Wordに危険なセキュリティ・ホール，信頼できないファイルは開かないの話。
Microsoft Word のバッファオーバーラン - CVE: CAN-2005-0558

Word 2000 / 2002 / 2003 に buffer overflow する欠陥があり、攻略 Word ファイルを読む込むことで任意のコードを実行させられる。

　patch があるので適用すればよい。ふつうの人は Office Update を使うのがよいだろう。

■ 追記

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合

　今回の事象については、日経 IT Pro の一連の記事がいちばんまとまっている感じです。

「ウイルスバスター」のパターン・ファイルに不具合、大規模パソコン障害が発生 (日経 IT Pro, 4/23)
トレンドマイクロ事件、7時間超のロングラン会見も「テスト漏れ原因は不明」 (日経 IT Pro, 4/24)
トレンドマイクロが24日に再び緊急会見，「XP SP2環境ではテストせず」 (日経 IT Pro, 4/24)
「トレンドのリソースを100％使い対処」，ネギCFOが大規模障害を陳謝 (日経 IT Pro, 4/24)

　あと、こんな記事も:

経産次官、ウイルスバスター不具合で「適切な対応」求める (ITmedia, 4/25)

　日本政府ご用達、ですしねえ。

2005.04.26 深夜追記:

　エバ・チェン社長が日本に到着されたようです。

「最後の1台が直るまで私の報酬は594円に」トレンドマイクロのチェンCEO (Internet Watch, 4/26)
トレンドマイクロのチャン社長，「給与を594円にして責任を取る」 (日経 IT Pro, 4/26)

　一方、トレンドマイクロのサポート情報が大幅に更新されています。

ウイルスパターンファイル2.594.00（日本時間：午前7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ)

　Windows XP SP2、Windows Server 2003 gold / SP1 は欠陥が高い確率で発現するが、Windows Me や Microsoft Office XP (を塔載した PC) でも低い確率ではあるが発現する、とされています。 2ch.net では「Windows 2000 だけど発現した」という報告が出ていたけど、こういうことだったのかな。

　また、全国無料出張サポートと全国 CD 配布を行うそうです。

無料出張サポート (トレンドマイクロ)
問題修復ツール（CD-ROM）の配布 (トレンドマイクロ)

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

　副作用情報:

897656 - Windows XP Service Pack 1 が実行されているコンピュータにセキュリティ更新プログラム MS05-019 を適用すると、TCP パケットまたは UDP パケットを RAW IP ソケット経由で送信するネットワークプログラムが機能しなくなることがある (Microsoft)。タイトル長すぎ。

■ 2005.04.25

■ MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)
(Microsoft, 2005.04.13)

　なんだか old news ですが……。

　MSN Messenger 6.2 / MSN Messenger 7.0 βに欠陥。細工した GIF ファイルによって任意のコードを実行可能。MSN Messenger 7.0 正式版にはこの欠陥はない。

　修正版 MSN Messenger 6.2 が用意されているのでインストールすればよい。 MSN Messenger 7.0 正式版にアップグレードすることで対応するのもよいだろう。

　関連:

CVE: CAN-2005-0562

■ Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021)
(Microsoft, 2005.04.13)

　なんだか old news ですが……

　Exchange 2000 SP3, Exchange 2003 gold / SP1 に欠陥。 SMTP サービスにおける、特定の拡張コマンドを処理する部分 (xlsasink.dll) に buffer overflow する欠陥があるため、remote から任意のコードを実行可能。

Exchange 2000 の場合は、無認証ユーザが、細工した SMTP 拡張コマンドを使って local SYSTEM 権限を奪取できてしまう。極めて危険。
Exchange 2003 の場合は、Exchange Enterprise Servers または Exchange Domain Server グループに所属するアカウントで認証された攻撃者が、細工した SMTP 拡張コマンドを使って local SYSTEM 権限を奪取できてしまう。まず認証されることが必要なので、Exchange 2000 と比べると危険性は低い。

　patch があるので適用すればよい。ただし、Exchange 2000 用の patch をインストールするには、 SP3 の他、2004 年 8 月公開の Exchange 2000 Server Service Pack 3 以降の更新プログラムのロールアップをあらかじめインストールしておく必要がある。また patch をインストールすると、Exchange 2000 の場合でも、Exchange 2003 と同様の認証が事前に必要となる。

　nProtect:Netizen Ver.2005.4.20.1 より前に欠陥。nProtect:Netizen のアップデート機能に欠陥があり、任意のファイルを任意の場所に保存させるなどの悪業が可能となる。Ver.2005.4.20.1 以降で修正されている。nProtect:Netizen を起動することにより、自動的に更新される。関連:

JVN#AF02FB4B (JVN)
nProtect Netizenに脆弱性（neti-05-001）発見、並びに対応完了のご報告 (npro-shop.jp, 2005.04.25)

　nProtect:Netizen については以下も参照:

[memo:8284] フィッシング詐欺対策用ActiveX 以下のスレッド。
セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ (高木浩光＠自宅の日記, 2005.04.08)

　SAISON CARDホームページにてnProtect Netizenサービス開始 (npro-shop.jp) ですか……。

■ いろいろ
(various)

KDE 関連。KDE 3.3.2 / 3.4.0 用の patch が公開されている。 KDE 3.2 にも欠陥があるとされているけれど patch はない。
- [KDE Security Advisory]: kimgio input validation errors
  CVE: CAN-2005-1046
- [KDE Security Advisory]: Kommander untrusted code execution
  CVE: CAN-2005-0754
gzip directory traversal vulnerability。細工した gzip 圧縮ファイルを gunzip -N で伸張すると、意図しない場所に保存される場合がある模様。 CVE: CAN-2005-1228
cpio directory traversal vulnerability。
Security Update 2005-004 (Apple)。欠陥を修正された iSync 1.5 登場。CVE: CAN-2005-0193。 [harden-mac:0717] も参照。
JVN#A7DA6818: WebUD における任意のプログラムが実行される脆弱性 (JVN)。WebUD に含まれる ActiveX に欠陥があった模様。関連:
- ウェブ・アクセシビリティ支援ツール「WebUD」の不具合への対応について (富士通, 2005.04.22)
- 他社製品は「欠陥」と報道、自社のことは「不具合」とぼかす朝日新聞社 (高木浩光＠自宅の日記, 2005.04.23)

■ 追記

mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ

　大量の「はまちちゃん」を生み出したCSRFの脆弱性とは？ (ITmedia, 2005.04.23)

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合

　続報など:

ウイルスパターンファイル2.594.00（日本時間：4月23日午前7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ, 最終更新 2005.04.24 23:40)。
0120 な電話番号と、大阪・九州の電話番号が用意されています。
ウイルスバスター不具合による121コンタクトセンターの混雑について（お詫び） (NEC, 2005.04.24)
ＪＲ北海道もシステム障害 (北海道新聞, 2005.04.24 07:03)
問い合わせは30万件に達する勢い～トレンドマイクロの定義ファイル障害 (Internet Watch, 2005.04.25 12:59)
都庁の端末１３００台も障害問い合わせ２９万件 (中日, 2005.04.25)
大きなトラブル報告なし　週明け、トレンドマイクロ社に (産経, 2005.04.25 16:33)

Stable CVS Version 1.11.20 Released! * Security Update *

Fedora Core: [SECURITY] Fedora Core 3 Update: cvs-1.11.17-6.FC3
FreeBSD: FreeBSD Security Advisory FreeBSD-SA-05:05.cvs - Multiple vulnerabilities in CVS

■ 2005.04.24

■ 追記

メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合

　続報など。@IT の記事が詳しい。

ウイルスバスター原因でシステムダウン、月曜朝は注意を (@IT, 2005.04.23)
トレンドマイクロ、PCを守るはずのパターンファイルに不具合 (ITmedia, 2005.04.23 23:52)
ウイルスバスター不具合　ユーザー苦情にＰＣ会社悲鳴 (asahi.com, 2005.04.23 23:40)。思いあまって初期化してしまった人は、少なくないようですね。
共同通信ニュース速報
【00:20】　ウイルス対策ソフト販売元のトレンドマイクロ社は２３日夜の記者会見で、ＬＡＮや端末の障害を起こしたウイルス定義ファイルの公開前に必要なテストをしなかったことを明らかにした。
ウイルスソフト更新ＰＣ障害 (NHK, 2005.04.23 20:57)

　ウイルスパターンファイル2.594.00（日本時間：AM7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ) は随時改訂されている。事象は、ウイルス検索エンジンが 7.5xx の場合にのみ発生していたようだ。まあ、ふつうは 7.510 を使っているはずなわけなのだが。

原因
Ultra Protect圧縮ファイルを解凍、検索するためのパターンファイルの問題
※原因については、引き続き調査中です。

　Ultra Protect というのは、これのことか?

　さらに続報:

ウイルスバスター、発売元がテスト怠り障害 (asahi.com, 2005.04.24 02:00)
「ウイルスバスター」でＰＣ障害、原因はチェックミス (読売, 2005.04.24 01:36)

　さらに続報 (22:53):

トレンドマイクロのパターンファイル問題、ダブルチェックの不備が最大の原因 (CNET, 2005.04.24 18:56)

　しかし一番の問題は、テスト工程に不備があったことだ。通常、パターンファイルを公開する前には製品とOSの組み合わせを確認するため複数のOS上で動作確認を行う。しかし今回はWindows XP Service Pack 2環境におけるテストが人為的ミスにより行われなかった。

　また、同社のウイルス対策ソフトには現在7.5.0または7.5.1と呼ばれる検索エンジンが搭載されているが、テストでは7.5.0以前の検索エンジンを利用した。このため、Ultra Protectの圧縮、解凍に関する部分のテストが行われなかった。

あり得ね～～～～。唖然、愕然。
原因は「二重の人為的ミス」　ウイルスバスター不具合で謝罪 (ITmedia, 2005.04.24 21:06)。一問一答記録あり。

――問題のパターンファイルはどういう体制で開発しているのか。チェックに関するルールはあったのか。

大三川執行役員　十数人のチームで、交代制で動いている。誰がチェックミスしたのかはまだ聞いていない。チェックには厳格なルールを適用しており、ISO9002（国際品質保証規格）にも認定されている。

十数人しかいないのか……。「トレンドマイクロは最近トラブル続きでしたが、品質管理体制のどこかに問題があるのでは、と認識した人はいなかったのか」という質問をした人は、誰もいなかった模様。
【会見速報】「トレンドのリソースを100％使い対処」，ネギCFOが大規模障害を陳謝 (日経 IT Pro, 2005.04.24)

　今回の障害は，ウイルスバスターがOS上のファイルをUltraProtectによる圧縮が施されているかどうか判定するプログラムで発生した。特定の条件がそろったOS上のファイルへの検索が無限ループとなってしまうのである。Windows XPのService Pack2で，他のOSより大きな障害が起きる理由については「Windows XPのService Pack2には条件に該当するファイルが多い」（同）という。

「特定の条件」に合致するようなファイルを持つアプリケーションがインストールされている、といった場合には、Windows XP SP2 / Server 2003 でなくても発現するのでしょうね。また、 #727330 (slashodot.jp) が指摘しているように、デュアルブート環境でも該当しそうです。
Handler's Diary April 23rd 2005 (SANS ISC)
ウイルス対策ソフト不具合で謝罪会見 (TBS, 2005.04.24 16:31)。映像あり。
ウイルス対策ソフト不具合によるシステム障害　販売元の会社に17万件を上回る問い合わせ (FNN, 2005.04.24 18:08)。映像あり。
ウイルスバスター不具合、６１社で被害確認 (asahi.com, 2005.04.24 21:01)
トレンドマイクロ製品をご使用のお客様へウイルスパターンファイルに関する問題のご報告とお詫び (トレンドマイクロ, 2005.04.24)

■ 2005.04.23

■ メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合
(読売, 2005.04.23)

　Windows XP SP 2 / Server 2003 + トレンドマイクロウイルスバスター + パターンファイル 2.594.00 の組み合わせで CPU 100% 状態になってしまうため、いくつもの組織で大規模な障害が発生した模様。パターンファイル 2.596.00 で修正されている。

ウイルスパターンファイル2.594.00（日本時間：AM7:30頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ, 2005.04.23)
Windows XP Service Pack 2 machines with critical patches and OfficeScan Corporate Edition (OSCE) starts to experience high CPU utilization after updating to Pattern 594 (Trendmicro OfficeScan Corporate Edition, 2005.04.23)

　報道によると、少なくとも共同通信、朝日新聞、読売新聞、日本経済新聞、産経新聞、信濃毎日新聞、JR 東日本、佐川急便、大阪市営地下鉄、富山市 (期日前投票所) で障害が発生していた模様。

システム障害：トレンドマイクロのウイルスソフトが原因 (毎日, 2005.04.23)
共同・朝日などシステム障害　ウイルス対策ソフト原因 (asahi.com, 2005.04.23)
ＬＡＮトラブル相次ぐウイルス対策ソフト原因か　ＪＲ東日本やメディア各社 (中日新聞, 2005.04.23)
JR東日本や大手新聞社などでシステム障害相次ぐ　ウイルス対策ソフトが原因か (FNN, 2005.04.23 18:30)。映像あり。
トレンドマイクロ社が謝罪会見　ウイルス対策ソフト不具合 (産経新聞, 2005.04.23 20:06)
共同通信ニュース速報

　Windows XP SP2 / Server 2003 を採用し、かつパターンファイルも即刻更新しているような組織でだけ影響が発現しているのは、なんとも皮肉な話ではある。

首相官邸や内閣府、外務省などにはトラブルはなく、金融機関の現金自動預払機（ＡＴＭ）への障害報告もないという。

　これらでは XP SP2 / Server 2003 を使っていないのか、あるいはパターンファイルを即刻更新しているわけではないのか。少なくとも ATM 方面はまだまだ NT 4.0 が多いと思うけど。

　土曜日だったため、土曜日でも稼働しているような組織 (インフラ系) でしか表立った障害が発現しなかったようだが、平日であればもっと大規模な状況になっていたと考えられる。正直、このところのトレンドマイクロ方面は不具合が多すぎるように思うのだが、トレンドマイクロ製品を導入・運用している組織の中の人はどのように考えているんだろう。

　関連:

ウイルスバスター、パターンファイル更新でCPU使用率100％になるトラブル (Internet Watch, 2005.04.23)
ウイルスバスター2005 Part19 (2ch.net)。479 以降か。
from: 553

会社のコンプライアンスマニュアルに、

「いかなる場合であってもアンチウィルスソフトを解除してパソコンを操作してはならない」

という項目があるのでね。意外にこの項目ってみなさんの会社でもあるんじゃないかな？って老婆心から申し上げたわけですよ。
これで解除して、ウィルスにでも感染したら、懲罰ものですよ。

こういう組織は少なくないと思われるが、今回のような事態にはどのように対処することになっているのか、確認した方がよいだろう。
ウイルスバスター2005 Part20 (2ch.net)
ウイルスバスター2005 Part21 (2ch.net)
ウイルスバスター2005 Part22 (2ch.net)
ウイルスバスター2005 Part23 (2ch.net)
【CPU】ウイルスバスターで不具合発生【100%】 (2ch.net)
【社会】「ウイルスソフトの不具合で」新聞社、JR東日本などで大規模なＬＡＮ障害発生 (2ch.net)
[memo:8305] 以下のスレッド
ウイルスバスターの定義ファイル更新で、CPU使用率が100%になる不具合 (slashdot.jp)
トレンドマイクロ社製ウイルス対策ソフトウェアを使用している場合、コンピュータの動作が著しく低下する現象について (マイクロソフトトラブル・メンテナンス速報, 2005.04.23)

2005.04.24 追記:

　続報など。@IT の記事が詳しい。

ウイルスバスター原因でシステムダウン、月曜朝は注意を (@IT, 2005.04.23)
トレンドマイクロ、PCを守るはずのパターンファイルに不具合 (ITmedia, 2005.04.23 23:52)
ウイルスバスター不具合　ユーザー苦情にＰＣ会社悲鳴 (asahi.com, 2005.04.23 23:40)。思いあまって初期化してしまった人は、少なくないようですね。
共同通信ニュース速報
【00:20】　ウイルス対策ソフト販売元のトレンドマイクロ社は２３日夜の記者会見で、ＬＡＮや端末の障害を起こしたウイルス定義ファイルの公開前に必要なテストをしなかったことを明らかにした。
ウイルスソフト更新ＰＣ障害 (NHK, 2005.04.23 20:57)

原因
Ultra Protect圧縮ファイルを解凍、検索するためのパターンファイルの問題
※原因については、引き続き調査中です。

　Ultra Protect というのは、これのことか?

　さらに続報:

ウイルスバスター、発売元がテスト怠り障害 (asahi.com, 2005.04.24 02:00)
「ウイルスバスター」でＰＣ障害、原因はチェックミス (読売, 2005.04.24 01:36)

2005.04.24 22:53 追記:

　さらに続報:

トレンドマイクロのパターンファイル問題、ダブルチェックの不備が最大の原因 (CNET, 2005.04.24 18:56)

　しかし一番の問題は、テスト工程に不備があったことだ。通常、パターンファイルを公開する前には製品とOSの組み合わせを確認するため複数のOS上で動作確認を行う。しかし今回はWindows XP Service Pack 2環境におけるテストが人為的ミスにより行われなかった。

　また、同社のウイルス対策ソフトには現在7.5.0または7.5.1と呼ばれる検索エンジンが搭載されているが、テストでは7.5.0以前の検索エンジンを利用した。このため、Ultra Protectの圧縮、解凍に関する部分のテストが行われなかった。

あり得ね～～～～。唖然、愕然。
原因は「二重の人為的ミス」　ウイルスバスター不具合で謝罪 (ITmedia, 2005.04.24 21:06)。一問一答記録あり。

――問題のパターンファイルはどういう体制で開発しているのか。チェックに関するルールはあったのか。

大三川執行役員　十数人のチームで、交代制で動いている。誰がチェックミスしたのかはまだ聞いていない。チェックには厳格なルールを適用しており、ISO9002（国際品質保証規格）にも認定されている。

十数人しかいないのか……。「トレンドマイクロは最近トラブル続きでしたが、品質管理体制のどこかに問題があるのでは、と認識した人はいなかったのか」という質問をした人は、誰もいなかった模様。
【会見速報】「トレンドのリソースを100％使い対処」，ネギCFOが大規模障害を陳謝 (日経 IT Pro, 2005.04.24)

　今回の障害は，ウイルスバスターがOS上のファイルをUltraProtectによる圧縮が施されているかどうか判定するプログラムで発生した。特定の条件がそろったOS上のファイルへの検索が無限ループとなってしまうのである。Windows XPのService Pack2で，他のOSより大きな障害が起きる理由については「Windows XPのService Pack2には条件に該当するファイルが多い」（同）という。

「特定の条件」に合致するようなファイルを持つアプリケーションがインストールされている、といった場合には、Windows XP SP2 / Server 2003 でなくても発現するのでしょうね。また、 #727330 (slashodot.jp) が指摘しているように、デュアルブート環境でも該当しそうです。
Handler's Diary April 23rd 2005 (SANS ISC)
ウイルス対策ソフト不具合で謝罪会見 (TBS, 2005.04.24 16:31)。映像あり。
ウイルス対策ソフト不具合によるシステム障害　販売元の会社に17万件を上回る問い合わせ (FNN, 2005.04.24 18:08)。映像あり。
ウイルスバスター不具合、６１社で被害確認 (asahi.com, 2005.04.24 21:01)
トレンドマイクロ製品をご使用のお客様へウイルスパターンファイルに関する問題のご報告とお詫び (トレンドマイクロ, 2005.04.24)

2005.04.25 追記:

　続報など:

ウイルスパターンファイル2.594.00（日本時間：4月23日午前7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ, 最終更新 2005.04.24 23:40)。
0120 な電話番号と、大阪・九州の電話番号が用意されています。
ウイルスバスター不具合による121コンタクトセンターの混雑について（お詫び） (NEC, 2005.04.24)
ＪＲ北海道もシステム障害 (北海道新聞, 2005.04.24 07:03)
問い合わせは30万件に達する勢い～トレンドマイクロの定義ファイル障害 (Internet Watch, 2005.04.25 12:59)
都庁の端末１３００台も障害問い合わせ２９万件 (中日, 2005.04.25)
大きなトラブル報告なし　週明け、トレンドマイクロ社に (産経, 2005.04.25 16:33)

2005.04.26 追記:

　今回の事象については、日経 IT Pro の一連の記事がいちばんまとまっている感じです。

「ウイルスバスター」のパターン・ファイルに不具合、大規模パソコン障害が発生 (日経 IT Pro, 2005.04.23)
トレンドマイクロ事件、7時間超のロングラン会見も「テスト漏れ原因は不明」 (日経 IT Pro, 4/24)
トレンドマイクロが24日に再び緊急会見，「XP SP2環境ではテストせず」 (日経 IT Pro, 2005.04.24)
「トレンドのリソースを100％使い対処」，ネギCFOが大規模障害を陳謝 (日経 IT Pro, 2005.04.24)

　あと、こんな記事も:

経産次官、ウイルスバスター不具合で「適切な対応」求める (ITmedia, 2005.04.25)

　日本政府ご用達、ですしねえ。

2005.04.26 深夜追記:

　エバ・チェン社長が日本に到着されたようです。

「最後の1台が直るまで私の報酬は594円に」トレンドマイクロのチェンCEO (Internet Watch, 2005.04.26)
トレンドマイクロのチャン社長，「給与を594円にして責任を取る」 (日経 IT Pro, 2005.04.26)

　一方、トレンドマイクロのサポート情報が大幅に更新されています。

ウイルスパターンファイル2.594.00（日本時間：午前7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して (トレンドマイクロ)

　また、全国無料出張サポートと全国 CD 配布を行うそうです。

無料出張サポート (トレンドマイクロ)
問題修復ツール（CD-ROM）の配布 (トレンドマイクロ)

2005.04.27 追記:

検証プロセス、情報伝達体制……事件がトレンドマイクロに突きつけた課題 (ITmedia, 2005.04.27)

　トレンドマイクロでは今年2月より、土日を除く毎日、ウイルスパターンファイルをアップデートする体制をとっていた。だがそれと相前後して、ウイルスの誤検出などのトラブルが何度か報告されている。

　大三川氏はこの点について「過去に生じた誤検出の不具合は、テスト時の人為的ミスに起因する今回の問題とは別の問題」とし、連日更新によるスケジュールの過密化がこのトラブルに影響したとの見方は否定した。

　しかし、事件を踏まえたプロセス見直しの一環として、誤検出問題についても修正することにしたという。先のサイドエフェクトテストなどはその一環だ。「これまで、危ないものを検出できるかどうかはテストしていたが、既存のシステムにどういった影響を与えるかについてはテストしていなかった」（同氏）。
【続々報】「もう一度チャンスをください」とトレンドマイクロCEOが謝罪会見 (日経 IT Pro, 2005.04.26)
トレンドマイクロのパターンファイル障害－チェンCEOが謝罪 (Enterprise Watch, 2005.04.27)

2005.04.28 追記:

　ウイルスパターンファイルに関する問題について (トレンドマイクロ) というページができています。

ウイルスパターンファイルに関する問題について (トレンドマイクロ)
ウイルスパターンファイルの問題に関する、現時点までの調査結果と今後の対策について（エバ・チェン会見内容について） (トレンドマイクロ, 2005.04.26)
ウイルスパターンファイルの問題に関するお客様への対応について (トレンドマイクロ, 2005.04.27)。以下だそうです。
- 個人: 契約期間を無償で 1 か月延長。さらに、復旧が必要だった場合は:
  - 復旧費用の実費を負担 (最大 8,500 円/シリアル) するか
  - 契約期間を無償で 3 か月延長
- 法人: 契約期間を無償で 1 か月延長
- 月額版: 対応未定

2005.05.01 追記:

「今後のビジネスに影響」は3割強、トレンドマイクロの認定パートナーに緊急調査 (日経 IT Pro, 2005.04.28)

パートナーの間からは「迅速な対応で被害を最小限に止めた」などと、障害発生後のトレンドマイクロの一連の対応に対して評価するコメントが目立った。

今回の状況が平日に発生してもなお「迅速な対応で被害を最小限に止めた」と言えたのかどうか、パートナーの中の人はよく考えた方がいいと思うのだが……。
ウイルス対策ソフト、それでも自動更新は継続すべきか否か？ (ITmedia, 2005.04.28)。

少なくとも私の半径 50m 以内については、自動更新を止めるつもりはないです。

2005.06.27 追記:

ウイルスパターンファイルに関する問題のご報告と、今後の取り組みについて（エバ・チェン会見内容について） (トレンドマイクロ, 2005.06.23)
安全なデジタル情報を交換できる世界の実現に向けて (トレンドマイクロ)
【緊急連載　今本当に必要なセキュリティ対策】（4）トレンド問題が残した教訓──単一ソフトに依存する危険性 (日経 IT Pro, 2005.06.15)
【緊急インタビュー】トレンドマイクロに聞く「いったい何を間違えてしまったのか」 (日経 IT Pro, 2005.06.23)
トレンドマイクロ，デイリーでのパターン・アップデート・サービスを7月11日に再開 (日経 IT Pro, 2005.06.23)

■ 2005.04.22

■ 2005.04.21

》「内閣官房情報セキュリティセンター」設立，セキュリティ政策／対策の中核的役割を担う (日経 IT Pro, 4/21)
》 Fwd: (KAME-snap 9012) racoon in the kame project (freebsd-security ML)。 racoon はこれから ipsec-tools の方で保守されるのだそうです。
》ネット自殺：志願者特定の手続き明確化　対策会議が提言 (毎日, 4/21)
》ウイルスバスターコーポレートエディション 6.5 patch 3 というものが 4/25 に出る予定、という情報を匿名希望さんからいただきました (ありがとうございます)。 US のページを見ると、 OfficeScan Corporate Edition v6.5 Patch 3 というのが 2/4 に出ていますね。 README。
》 Microsoft Windows Server 2003 Service Pack 1へのトレンドマイクロ製品の対応に関して (トレンドマイクロ, 4/21)。トレンドマイクロ的には対応製品なしだそうです。
》 Kaspersky Lab begins beta testing of three new versions of Kaspersky Anti-Virus for Linux, FreeBSD and OpenBSD (kaspersky.com) だそうです。
》チェック・ポイント、2つのエンドポイント・セキュリティ技術で特許認定を取得 (CheckPoint, 4/20)
》大型連休期間（4/29～5/8）における、トレンドマイクロ製品のパターンファイルアップデート時の注意 (トレンドマイクロ)。もう来週なんですね。

大型連休中にクライアントコンピュータやサーバコンピュータを停止しているお客さま

2005年4月15日時点において、差分パターンファイルの数は7世代分となっており、最新のパターンファイルより7世代古いパターンファイルを使用している場合には、差分パターンファイルによるアップデートの対象外となります。
この場合、フルサイズのパターンファイルによるアップデートが行われ、ネットワークトラフィックに影響を及ぼす可能性があります。

　負荷話ですか……。
》急増するウイルス感染のゾンビPC、中国が20％以上を占める～米CipherTrust (Internet Watch, 4/21)。誤解を招く題名だなあ。元ネタ CipherTrust Study Reveals More Than 20 Percent Of New Zombies Originate In China より:

Throughout the month of March and first half of April 2005, (中略) an average of 157,000 new zombies are identified each day, with more than 20 percent originating in China.

　最近の中国では 31,400 台/day 以上の割合でゾンビ PC が増えているわけですか……。本当なのかなあ。
》ＮＴＴドコモの顧客情報流出、容疑の元契約社員逮捕 (asahi.com, 4/21)。内部犯行だった模様。これの話だそうです:
- ドコモ顧客情報、３００人分流出　システム端末から？ (asahi.com, 2/10)
- ドコモ、顧客２万人超す情報流出　９割が地震被災者 (asahi.com, 2/14)
》 892211 - Web フォルダ用のソフトウェア更新プログラム (2005 年 1 月 25 日) について (Microsoft)。 2005.04.18 付で日本語版の修正プログラムが登場しています。 WebDAV な方はどうぞ。セキュリティ方面はこのあたり:

この更新プログラムを適用することで、Web フォルダのセキュリティが強化され、SSL (Security Sockets Layer) を使用した Web サイトの URL のサポートも追加されます。
》イベントもの
- IAjapan 迷惑メール対策カンファレンス (インターネット協会) ……は、満員御礼になってました。(T_T)
- [selinux-users:00744] Frank Mayer氏と語る会のお知らせ。 2005.05.11、東京都品川区、無料 (予定)。 SELinux に感心がある方はどうぞ。根津さん情報ありがとうございます。
》 Express5800シリーズおよびiStorage NSシリーズへの「Microsoft Windows Server 2003 Service Pack 1」の適用にあたって (NEC) (typo fixed: 135 さん感謝)

Express5800シリーズ、および iStorage NSシリーズにサービスパックを適用いただくには、Express5800差分モジュールも合わせて適用いただく必要があります。只今、Express5800差分モジュールを準備しておりますので、今暫くお待ちください。 Express5800差分モジュールは、本ページにて6月上旬より順次公開する予定です。
》セキュリティの本来の目的は「コアビジネスを動かし続けること」――ISSセミナー (ITmedia, 4/21)

高橋氏はこれまでの監査の経験を踏まえ、「『ISMSを取得したから大丈夫』『IPSを入れたから大丈夫』といった具合に、何かをすればセキュリティは大丈夫、と考えるケースが多すぎるのではないか」と指摘。それ以上に大事なのは、「セキュリティ施策に対する全体観」と「現状や効果を検証する仕組み」だと述べた。

　うーむ。 Plan や Check がないと PDCA ぐるぐるができないじゃないか。 ISMSは生かし続けてこそ意味がある (@IT) わけで。
》 [AML 1218] [key] 辺野古から電話メッセージ ( ４月２０日 )。事象継続中です。というか、防衛施設庁は「隙あらば」という活動を継続しているようですね。
》 utf8 patch for sleuthkit and autopsy (チームチドリ) が出ています。

■ Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)
(Microsoft, 2005.04.13)

　IE 5.01 / 5.5 / 6 に、新たな 3 つの欠陥。

DHTML オブジェクトメモリの破損の脆弱性 - CVE: CAN-2005-0553

IE 5.01 / 5.5 / 6 に欠陥。 DHTML におけるオブジェクトやメソッドの実装に欠陥があり、競合状態が発生。これを利用すると、攻略 web ページや攻略 HTML メールに設置した JavaScript を利用して、IE 上で任意のコードを実行できる。

関連:
- iDEFENSE Security Advisory 04.12.05: Microsoft Internet Explorer DHTML Engine Race Condition Vulnerability
- Technical details for DHTML Object memory corruption vulnerability (MS05-20) (Berend-Jan Wever)。PoC コードも掲載されている。
URL 解析メモリの破損の脆弱性 - CVE: CAN-2005-0554

IE 5.01 / 5.5 / 6 に欠陥。 URL 中に長大なホスト名を記述するとヒープ破壊が発生。これを利用すると、攻略 web ページや攻略 HTML メールを利用して、IE 上で任意のコードを実行できる。

関連:
- iDEFENSE Security Advisory 04.12.05: Microsoft Windows Internet Explorer Long Hostname Heap Corruption Vulnerability
- [Full-disclosure] Internet Explorer wininet.dll URL parsing memory corruption technical details
コンテンツアドバイザメモリの破損の脆弱性 - CVE: CAN-2005-0555

IE 5.01 / 5.5 / 6 に欠陥。コンテンツの規制ファイル (.rat ファイル) の処理において buffer overflow する欠陥が存在。このため、攻略 .rat ファイルを通じて、任意のコードを実行可能となる。

　修正プログラムがあるので適用すればよい。ちなみに修正プログラムには、セキュリティ修正だけではなく、非セキュリティの修正も含まれている。非セキュリティ修正も適用したい場合は、897225 - Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラムに含まれる修正プログラムをインストールする方法 (Microsoft) に従って作業すること。含まれている非セキュリティ修正の一覧はこちら: 890923 - [MS05-020] Internet Explorer 用の累積的なセキュリティ更新プログラム (Microsoft)

■ 追記

NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads

　ICMP attacks against TCP (Proof-of-Concept code) (MS05-019, CISCO:20050412)

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

　Windows Malformed IP Options DoS Exploit (MS05-019)。

メッセージキューの脆弱性により、コードが実行される (892944) (MS05-017)

　MS05-017／892944 メッセージ・キューの脆弱性により、コードが実行される (@IT, 2005.04.19) によると、

ただしDA Labで検証したところ、Windows XP SP1／SP1aでは、明示的にMSMQをインストールしていない場合でも、Windows UpdateでMSMQを構成するファイルの一部が検出され、MSMQをインストールしていない環境でも、Windows UpdateでMS05-017の適用が必要だと判定される場合がある。具体的な影響は不明だが、この場合は念のためMS05-017を適用しておいた方が安心だろう。

だそうです。Sugawara さん情報ありがとうございます。

mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ

　匿名希望さんから (情報ありがとうございます):

Ver.3 に対する対策はいちおうmixiでも取られたようですが、根本的な対策ではないため、 mixi内での他の箇所に関しては同様の攻撃が通用するとのこと。
http://d.hatena.ne.jp/mixi_love/20050420/p6

なお、mixi ではこれまでに何度も CSRF の脆弱性が発見および報告されていますが、都度、根本的な対策がなされておらず、その場しのぎの対応で終わっています。

私が知っているだけでも

2005年2月 mixi への招待機能で CSRF
http://yamagata.int21h.jp/d/?date=20050217#p04

2005年3月
マイミクシィの強制削除およびコミュニティの強制退会に関するCSRFをmixiに報告するも、中途半端な対策のみ。

2005年4月
マイミクシィのリクエストの強制送信に関するCSRFを mixiに報告するも返答なし。IPAへ連絡、受理。

というような状況です。

telnet クライアントに複数の欠陥

　Gentoo, Vine, Debian, Heimdal 追加。

MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開

　Exploit-MSJet.gen (マカフィー)

■ いろいろ
(various)

P.o.C Exploit Code for BitchX (g-0.org)。BitchX が suid root で入っている環境の方、ご注意を。
JVN#97757029: w3ml におけるクロスサイトスクリプティングの脆弱性 (JVN)。Subject: の除染が不十分だったそうで、 w3ml 0.4-20050413 で修正されています。
PosgreSQL <=8.0.1 Remote Reboot Exploit。 CAN-2005-0247 の攻略プログラムでしょうか。
Windows 2000のエクスプローラに任意のコードが実行される脆弱性 (Internet Watch)。 GreyMagic Security Advisory GM#015-IE の件。デモファイルも公開されています。Word ドキュメントの「作成者」にスクリプトが記載されており、Explorer 上でその Word ドキュメントを選択すると「作成者」のスクリプトが実行されてしまいます。トロイ系に使われてしまいそうなネタですね……。

　影響するのは Windows 2000 の Explorer のみ。Explorer の [フォルダオプション] で「従来の Windows フォルダを使う」にすれば回避できます。

2005.05.11 追記:

　Windows 2000 の Explorer の件は MS05-024 で修正されました。

■ 2005.04.20

》ＦＦ式石油温風機及び石油フラットラジアントヒーターをご愛用の皆様へ　お知らせとお願い (松下電機産業, 4/20)。ホースの経年劣化により亀裂が発生、排気ガスが室内に流入して一酸化炭素中毒事故が発生。死亡事故が発生している: 松下製温風機で中毒事故３件、小６死亡…ホースに亀裂 (読売, 4/20)。「無料で部品交換等の処置を行」っているそうなので、該当機種を利用している場合はフリーダイヤルに電話しましょう。
》サーバー攻撃： FF11、ラグナロクともに障害続く (毎日, 4/20)。事象継続中のようです。
》お客様情報が記録されたノートパソコンの盗難について (トヨタ, 4/20)。あいかわらず盗難事例は多いですね。
》 from WIRED NEWS:
》国内・海外におけるコンピュータウイルス被害状況調査[2004年] (IPA ISEC, 4/20)。「国内におけるコンピュータウイルス被害状況調査」報告書にこんな文章がある。

2004 年 1 月から 12 月の 1 年間におけるコンピュータウイルス遭遇経験の有無については、「感染はないが発見したことがある」が 48.0% になっており、「一度でも感染したことがある」(20.9%) と合わせると、68.9% がコンピュータウイルスに遭遇 (発見・感染) した経験があることとなる。

　「2004 年 1 月から 12 月の 1 年間」の中で、ウイルスに全く遭遇していないという回答が 31.1% もあるというのは、2004 年の爆発的なウイルス状況を考えるといささか信じがたいのだが……。これはもしかして、「管理外注先の SIer とか社内の IT 管理担当者はウイルスに遭遇してるかもしれないが、アンケートに答えている『私』は遭遇してない」とかいうケースがかなりある、ということだろうか。

民間企業と自治体の比較をみると、コンピュータウイルス遭遇率 (中略) は、自治体 (88.7%) が民間企業 (58.8%) よりも約 30 ポイント高くなっている。

　これは、自治体の回答者群の方が、民間企業の回答者群よりも現場に近い、ということだろうか。逆に言うと、民間企業回答者群の半数近くは現場とは遠い位置にいる、ということだろうか。

発見に使用したウイルス対策ソフトについては、「ウイルスバスター」が 50.8% と最も多く、他の項目を大きく上回っている、次いで「Symantec Norton Internet Security」(22.2%)、「McAfee VirusScan」(14.1%)、「InterScan VirusWall」(13.6%) 等が続いている。

　トレンドマイクロのシェアは高いですねえ。しかしそれにしては、「2.4.6 ウイルス対策ソフトの選択基準」では「価格」(54.9%) が最も高率、という回答状況は何なのか。トレンドマイクロはどちらかというと安売りしない部類の会社だと思うのだが。本当の選択基準は「昔からこのベンダーの製品を使ってるから」じゃないの? あと、組織 (企業、自治体) に聞いているのに「Symantec Norton Internet Security」とコンシューマ向け製品の名前が出てくるのはなぜなんだろう。
》ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期（1月～3月）] (IPA ISEC, 4/19)。web アプリ方面の「取扱い不能: 29 件」というのが問題だよなあ。
》ハッシュ関数に関する研究動向について (IPA ISEC, 4/20)。「ご報告」はいつごろに予定されているのだろう。
》 TechNet Security Home Page (Microsoft)。うわ、3 段組になってるし。
》 IPv6アドレスのサービス拡張に伴うJPNIC文書公開のお知らせ (JPNIC, 4/11)。v6 時代は確実に近づいてきている……んですかねえ。

■ TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
(Microsoft, 2005.04.13)

　Windows の TCP/IP 実装に 5 つの欠陥。

IP の検証の脆弱性 - CVE: CAN-2005-0048

Windows 2000 / XP SP1 に欠陥。TCPIP.SYS に欠陥があり、不正な IP オプションが設定された IP パケットによりメモリ破壊が発生。これにより、remote から DoS 攻撃が実施できる他、任意のコードの実行が可能となる可能性もあるという。ただし、当該パケットはふつうのルータなら破棄してしまうようなものであるため、通常はローカルサブネット内でのみ有効。

関連: Windows IP オプションによるリモートからのセキュリティ侵害 (ISSKK)
ICMP 接続リセットの脆弱性 - CVE: CAN-2004-0790

Windows 2000 / XP / Server 2003 gold に欠陥。 ICMP type 3 code 2～4 パケットを利用して TCP 接続をリセットすることが可能。

関連: NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads
ICMP のパス MTU の脆弱性 - CVE: CAN-2004-1060

Windows 2000 / XP / Server 2003 gold に欠陥。 Path MTU Discovery を悪用し、next-hop MTU が極端に小さいような ICMP Type 3 Code 4 パケットを送ることにより、転送効率を極端に悪化させることができる。

関連: NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads
TCP 接続リセットの脆弱性 - CVE: CAN-2004-0230

Windows 2000 / XP SP1 / Server 2003 gold に欠陥。 TCP ウィンドウサイズが大きい環境では、古典的な TCP リセット攻撃が、これまで考えられていたよりも容易に可能。 Windows XP SP2 にはこの欠陥はない。

関連: TCP プロトコルに潜在する信頼性の問題
詐称の接続要求の脆弱性 CVE: CAN-2005-0688

Windows XP SP2 / Server 2003 gold に欠陥。古典的な land アタックの影響を受けてしまう。

関連: Windows XP SP2とServer 2003、“古典的な攻撃”に脆弱性

　patch があるので適用すればよい。なお、Windows Server 2003 SP1 にはこの欠陥はない。

　また、patch を適用すると、その副作用として TCP のウインドウサイズが 64K から 17520 バイトに減少するので注意。参照: 890345 - セキュリティ更新プログラム 893066 は Windows 2000 で TCP 受信ウィンドウの既定のサイズを SP3 以前の既定のサイズ 17,520 バイトに戻す (Microsoft)。レジストリをいじることにより、SP3 以降のデフォルト値だった 64KB に戻すことが可能。

2005.04.21 追記:

　Windows Malformed IP Options DoS Exploit (MS05-019)。

2005.04.26 追記:

　副作用情報:

897656 - Windows XP Service Pack 1 が実行されているコンピュータにセキュリティ更新プログラム MS05-019 を適用すると、TCP パケットまたは UDP パケットを RAW IP ソケット経由で送信するネットワークプログラムが機能しなくなることがある (Microsoft)。タイトル長すぎ。

2005.04.27 追記:

　副作用情報:

898060 - セキュリティ更新プログラム MS05-019 または Windows Server 2003 Service Pack 1 のインストール後、クライアントとサーバー間のネットワーク接続が機能しないことがある (Microsoft)。 NTBugtraq で出ていた MS05-019 Breaks VPN の話のようです。MS05-019 を入れると、path MTU Discovery がうまく動かないことがあるみたい。サポートから patch を入手できるそうです。

この KB、英語版と日本語版とで情報量が違いますね……。

2005.05.17 追記:

　Windows (XP, 2k3, Longhorn) is vulnerable to IpV6 Land attack. (ntbugtraq)。 patch 適用後も、IPv6 については land アタックが有効である、という指摘。

2005.05.20 追記:

　MS05-019 patch には、Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value に対する修正も含まれているそうだ。

Microsoft Security Advisory (899480): Vulnerability in TCP Could Allow Connection Reset (Microsoft)

　また Microsoft Security Advisory (899480) には、MS05-019 patch が 6 月に再リリースされる予定である、とも記載されている。 KB898060 問題が修正されるようだ。

2005.05.26 追記:

　Microsoft Security Advisory (899480) の日本語版が出ました: マイクロソフトセキュリティアドバイザリ (899480) TCP の脆弱性により、接続がリセットされる (Microsoft)

2005.06.15 追記:

　改訂版 patch が出ています。適用しませう。

2005.06.17 追記:

　改訂版 patch を適用すると、ISS 製品の一部が動作を停止してしまうそうで:

901159 - セキュリティ更新プログラム MS05-019 の改訂版を Windows 2000 ベースのコンピュータにインストールした後、一部の Internet Security Systems 製品が動作を停止する (Microsoft)

　ISS 製品用の patch が出ているので、該当者は適用しませう。

■ 電子申請行政ソフトに不具合
(NHK, 2005.04.20)

法務省と岡山、山梨、大分の各県が去年から今年にかけて提供した電子申請用のソフトに欠陥があることがわかりました。

　ぐぐってみると、このあたりのお話のようです:

法務省オンライン申請システムインストーラのセキュリティ上の問題点およびその対策についてのお願い (法務省, 2005.03.14)
JAVA関連ソフトウェアのインストールによるセキュリティ上の問題について (岡山県, 2005.02.16, 最終更新 2005.02.19)
JAVA関連ソフトウェア（セキュリティ対応版）のインストールについて (岡山県, 2005.02.21)。
2005年2月16日以前に電子申請ユーザ設定ファイル組み込みを行ったパソコンで悪意のあるサイトを訪れた場合などにセキュリティ上問題が生じる可能性が発見されました (やまなし申請・予約ポータルサイト, 2005.02.22)。セキュリティ問題の詳細説明 (やまなし申請・予約ポータルサイト) も参照。

やまなし申請・予約ポータルサイトの「システム管理者からのお知らせ」の 3/22 のところに JRE 話もあります。
電子申請等受付システムポータル (大分県) の「システムからのお知らせ」。SSL サイト証明書が……。

　どうやらお話は 2 種類あるようですね。

指定している JRE のバージョンが古いので、 Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK に該当してしまうお話。対応としては、新しい JRE をインストールする。 J2SE JRE 1.4.2 の最新は 1.4.2_08 のようです。
Java セキュリティポリシーの独自設定に関する注意喚起 (IPA ISEC, 2005.02.28) に該当するような、不適切なポリシー設定がなされているお話。対応としては、適切なポリシーを設定する。

　NHK の報道は、後者についてのものだったようです。また、ぐぐってみると、NHK 報道にはないのですが、こんな話がみつかりました:

最新の「アプレット環境設定プログラム」の提供について (国土交通省, 2005.03.28)

2005.05.03 追記:

　電子申請システムの点検指示 (NHK, 2005.04.29)。すでに消えてしまっている (T_T) ので、以下に全文引用させていただきます。

総務省は行政が欠陥のあるソフトを配布していたことは問題だとして、全国の自治体に対し、同じような欠陥のあるソフトを配布していないかどうか来月１３日までに点検するよう指示しました。また、内閣官房情報セキュリティーセンターでも各省庁に対し、全国の出先機関が使っている電子申請ソフトの安全性を点検するよう指示しました。

　まだ全ての対応が終ったわけではない、ということなんでしょうか。その割には、いろんな自治体が勝手に情報を出してしまっていて、なかなかアレな気がします。インシデント対応手順が不明確 and/or 不徹底ということなんでしょうか。

　ところで、ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期（1月～3月）] (IPA ISEC) にこんな文章があるのですが、

2005年第1四半期の届出事例として、Javaアプリケーション（Javaアプレット）のインストールプログラム等がインストール時にクライアントPCのJava環境のセキュリティポリシーを書換えてしまい、結果として、クライアントPCのセキュリティレベルを低下させてしまう、というものが複数ありました。(7)
中略
(7) これらは、クライアントPCにインストールするソフトウエアですが、ウェブアプリケーションを使うためのものであり、そのウェブアプリケーションと独立して起動され、使用されるものではないため、ウェブアプリケーションの一部として捉え、ウェブアプリケーションの脆弱性関連情報の届出として取扱いました。

セキュリティ問題の詳細説明 (やまなし申請・予約ポータルサイト) に

　2005年2月16日の10時33分に、IPA（独立行政法人情報処理推進機構）のセキュリティセンタから、e-やまなしサポートセンタ宛に「やまなし申請・予約ポータルサイト」の「お使いのPCの設定」-「ユーザ設定ファイル」でファイルの組み込みを行った場合、セキュリティ上の問題が生じる可能性があるというご指摘を頂きました。
(中略)
セキュリティ問題
　電子申請サービスの電子署名を行う場合には、お使いのパソコン上にある資源（署名に必要なファイル等）の利用を行うために、ユーザ設定ファイルの組み込みを行っていただいています。
　そのユーザ設定ファイルの1つとして、「java.policy」ファイルの組み込みを行っていただいていますが、2005年2月16日以前の「java.policy」ファイルの記述内容に誤りがありました。
　2005年2月16日以前にユーザ設定ファイルの組み込みを行ったパソコンで、悪意のあるサイトを訪れた場合に、ユーザ名、ローカルファイルの盗み出し・破壊、任意コードの実行、ウィルスへの感染等が発生する可能性があることが判明しました。

とあるので、これがその話なんじゃないのかなーという気がします。

　しかしこの話の場合、影響範囲が当該 web サイトに限られるわけではないのですから、「ウェブアプリケーションの脆弱性関連情報の届出として取扱いました」というのはちょっとまずいのではないかと思います。

■ Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
(Microsoft, 2005.04.13)

　Windows 2000 / XP / Server 2003 に欠陥。 Windows Kernel に 4 つの欠陥がある。

フォントの脆弱性 - CVE: CAN-2005-0060

フォントの処理において buffer overflow する欠陥があり、 local user が local SYSTEM 権限を奪取できる。関連: Windows kernel overflow fixed (NGSSoftware)
Windows カーネルの脆弱性 - CVE: CAN-2005-0061

local user が local SYSTEM 権限を奪取できる。
オブジェクト管理の脆弱性 - CVE: CAN-2005-0550

local user が DoS 攻撃を実行できる。
CSRSS の脆弱性 - CVE: CAN-2005-0551

buffer overflow する欠陥があり、 local user が local SYSTEM 権限を奪取できる。関連: iDEFENSE Security Advisory 04.12.05: Microsoft Windows CSRSS.EXE Stack Overflow Vulnerability

　patch があるので適用すればよい。

2005.04.27 追記:

　そういえば、不具合情報があったのでした。

PRIMERGY FT モデル: Windows Updateに関する留意事項 (富士通)。 PRIMERGY TX200FT への MS05-018 適用で問題が発生するようで、「緊急修正プログラム」が公開されています。セキュリティ更新プログラム (890859) (MS05-018) 適用に関する留意事項 (富士通) も参照。(typo fixed: Shibuya さん感謝)

2005.05.27 追記:

　You receive a "STOP 0x0000001E" error after you install security update MS05-018 on a Windows 2000-based computer (Microsoft)。サポート経由で hotfix を入手可能らしい。

■ Mac OS X 10.3.9 Update のセキュリティコンテンツについて
(Apple, 2005.04.12)

　Mac OS X 10.3.9 Update には複数のセキュリティ修正が含まれている、という話。

Kernel - CAN-2005-0969 CAN-2005-0970 CAN-2005-0971 CAN-2005-0972 CAN-2005-0973 CAN-2005-0974 CAN-2005-0975
Safari - CAN-2005-0976。
詳細情報: AppleWebKit XMLHttpRequest arbitrary file disclosure vulnerability。該当するのは Safari 1.2.x のみ。1.2 より小さいバージョン、1.3 より大きいバージョンにはこの欠陥はない。

　Mac OS X 10.3.x 利用者は Mac OS X 10.3.9 にアップグレードすればよい。

Mac OS X Combined Update 10.3.9 (Apple)
Mac OS X Server Update 10.3.9 (Combo) (Apple)

なお、Mac OS X 10.3.9 をインストールすると、Java がうまく動かなくなる事例が発生している模様。該当する場合は Java and Safari issues after updating to Mac OS X v10.3.9 (Apple) を参照して対応されたい。 Java Update 1.4.2 Update 2 および / または Security Update 2005-002 の適用により解決する模様。

■ メッセージキューの脆弱性により、コードが実行される (892944) (MS05-017)
(Microsoft, 2005.04.14)

　Windows 2000、Windows XP SP1 に欠陥。 Microsoft Message Queuing (デフォルトではインストールされていない) に buffer overflow する欠陥があり、remote から任意のコードを local SYSTEM 権限で実行可能。ただし、「MSMQ HTTP メッセージの配信のコンポーネント」にはこの欠陥はない。攻略可能なのは RPC 経由のみ。なお、Windows XP SP SP1 や Windows Server 2003 にはこの欠陥はない。

　patch があるので適用すればよい。

　関連:

CVE: CAN-2005-0059
[Dailydave] mqsvc fun (immunitysec.com)。CANVAS というのはこういうものだそうです。Metasploit Framework みたいなものなんですかねえ。

2005.04.21 追記:

　MS05-017／892944 メッセージ・キューの脆弱性により、コードが実行される (@IT, 2005.04.19) によると、

ただしDA Labで検証したところ、Windows XP SP1／SP1aでは、明示的にMSMQをインストールしていない場合でも、Windows UpdateでMSMQを構成するファイルの一部が検出され、MSMQをインストールしていない環境でも、Windows UpdateでMS05-017の適用が必要だと判定される場合がある。具体的な影響は不明だが、この場合は念のためMS05-017を適用しておいた方が安心だろう。

だそうです。Sugawara さん情報ありがとうございます。

■ mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ
(interrupted train, 2005.04.20)

　ソーシャルネットワーク mixi に Cross-Site Request Forgeries (CSRF; クロスサイト・リクエスト偽造) 欠陥があった模様。輪王さん情報ありがとうございます。現在は「はまちちゃん ver 3.0」を含め対応されているようです。

　ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期（1月～3月）] (IPA ISEC) に「クロス・サイト・リクエスト・フォージェリ」という言葉が出ていて、個人的には「それは何?」状態だったのですが、こういうものだそうです:

CSRF - クロスサイトリクエストフォージェリ (てけとうなWeb開発者の雑記)
CSRF - クロスサイトリクエストフォージェリ (hoshikuzu | star_dust の書斎)

　世の中いろいろあるんですね。

2005.04.21 追記:

　匿名希望さんから (情報ありがとうございます):

Ver.3 に対する対策はいちおうmixiでも取られたようですが、根本的な対策ではないため、 mixi内での他の箇所に関しては同様の攻撃が通用するとのこと。
http://d.hatena.ne.jp/mixi_love/20050420/p6

なお、mixi ではこれまでに何度も CSRF の脆弱性が発見および報告されていますが、都度、根本的な対策がなされておらず、その場しのぎの対応で終わっています。

私が知っているだけでも

2005年2月 mixi への招待機能で CSRF
http://yamagata.int21h.jp/d/?date=20050217#p04

2005年3月
マイミクシィの強制削除およびコミュニティの強制退会に関するCSRFをmixiに報告するも、中途半端な対策のみ。

2005年4月
マイミクシィのリクエストの強制送信に関するCSRFを mixiに報告するも返答なし。IPAへ連絡、受理。

というような状況です。

　RealPlayer、RealOne Player、RealPlayer Enterprise、Helix Player に欠陥。Ram ファイルの処理において buffer overflow が発生、攻略 Ram ファイルにより任意のコードを実行可能。ハンドヘルドデバイス用の RealPlayer / RealOne Player にはこの欠陥はない。

　RealPlayer 10 系列と Linux 用の Helix Player 10 および Realplayer Enterprise については修正プログラムが用意されている。 RealOne Player や RealPlayer 8 については、最新の RealPlayer 10 系列へのアップグレードが必要となる。詳細は RealNetworks による文書を参照されたい。

■ 追記

2005 年 4 月のセキュリティ情報: 　Windows Update実行後WebScanX.exeのアプリケーションエラーが発生します (マカフィー, 2005.04.15)。VirusScan for Client 4.5.1 SP1 と Windows Installer 3.1 が喧嘩をするそうです。VirusScan Enterprise へアップグレードすれば解決するそうです。

■ 2005.04.19

■ 追記

OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)

　896648 - セキュリティ更新プログラム 873333 （MS05-012）のインストール後 svchost.exe エラーが発生することがあります (Microsoft) が更新されました。 895200 - Availability of Windows XP COM+ Hotfix Rollup Package 9 (Microsoft) を適用することで解決するそうです。フロートさん情報ありがとうございます。

iDEFENSE Security Advisory 03.31.05: PHP getimagesize() Multiple Denial of Service Vulnerabilities

　[SECURITY] [DSA 708-1] New PHP3 packages fix denial of service。Debian さすがです。いまだに PHP3 がメンテナンスされています。

Critical Patch Update - April 2005

■ [Full-disclosure] iDEFENSE Security Advisory 04.18.05: McAfee Internet Security Suite 2005 Insecure File Permission Vulnerability
(iDEFENSE, Tue, 19 Apr 2005 07:08:20 +0900)

　マカフィーインターネットセキュリティスイート 2005 に欠陥。インストールされた状態における、マカフィーインターネットセキュリティスイート 2005 のファイルのパーミッションに欠陥があり、管理者でなくてもファイルを改変できてしまう。改変できるファイルの中には local SYSTEM 権限で動作するものもあるため、結果として local user が SYSTEM 権限を取得できる。

　マカフィーインターネットセキュリティスイート 2005 の自動更新機能において修正されているそうだ。が、日本でもそうなのかはいまいち不明。

　CVE: CAN-2005-1107

2005.04.19 追記:

　青木さんから (ありがとうございます)

これですが、TrendMicro VirusBuster も似たようなもののように思えます。

以下はバスター 2004 の話ですが 2005 も同様だったような。

C:\Program Files\Trend Micro\Virus Buster 2004
これ以下のファイル、フォルダは Everyone: Full になっています。そこには Tmntsrv.exe, tmproxy.exe がありますが、それらは LocalSystem にて動くサービスです。またこれらのサービスは、制限ユーザーで停止、開始が可能に設定されています。

そうしないと管理権限のないユーザーがログオンしているときにパターンファイル等のアップデートが出来ないため、そのような「仕様」になっているのではないかと思われます。

　手元のウイルスバスター 2004 を見てみました。……確かに Everyone: Full ですねえ。もし「そうしないと……出来ない」としたら、それはプログラムの組み方が悪いだけだろうと思いますが。

■ いろいろ
(various)

[postgrey] ANNOUNCE: Postgrey 1.21 (SECURITY)。 Postgrey 1.20 以前に format バグがあり、remote から DoS 攻撃を実施可能。 postgrey 1.21 で修正されている。
RSA Authentication Agent for Web - IISWebAgentIF.dll - Cross Site Scripting Vulnerability (oliverkarow.de)。 RSA Authentication Agent for Web for IIS 5.2 に XSS 欠陥があり、 RSA Authentication Agent for Web for IIS 5.3 で修正されたそうです。
CA BrightStor ARCServe Backup でのリモートからのセキュリティ侵害 (ISSKK)。BrightStor ARCServe Backup r9.01 ～ r11.1 が該当。 iDEFENSE Security Advisory 04.11.05: Computer Associates BrightStor ARCserve Backup UniversalAgent Buffer Overflow と同じ話ですね。CVE: CAN-2005-1018
0098-01　概要：Xsun、Xprt Server Font Handling の脆弱性について (CTC)。Solaris 7～9 の話。
0096-01　概要：libgss(3LIB) の脆弱性について (CTC)。Solaris 7～9 の話。
[SECURITY] Fedora Core 3 Update: vixie-cron-4.1-33_FC3。 crontab from vixie-cron allows read other users crontabs の fix だそうだ。CVE: CAN-2005-1038
Dameware NT Utilities and MiniRemote Control <= 4.9 vulnerability
Overflow.pl Security Advisory #2: Libsafe - Safety Check Bypass Vulnerability。 Libsafe 2.0.16 (以前?) はマルチスレッドな環境ではうまく働かないという指摘。
iDEFENSE Security Advisory 04.08.05: Microsoft Multiple E-Mail Client Address Spoofing Vulnerability。 Outlook 2002 / 2003 および Exchange 2003 の Outlook Web Access において、From: に複数のアドレスが記載されていても 1 つしか表示されない、という指摘。
iDEFENSE Security Advisory 04.06.05: IBM Lotus Domino Server Web Service DoS Vulnerability。 Lotus製品に欠陥--セキュリティ調査会社とIBMの見解に食い違い (CNET, 2005.04.08) の話。iDEFENSE は Domino 6.5.1 / 6.0.3 に欠陥があり、 6.5.3 では修正されている、としているのだが、IBM は問題を再現できなかった模様。
Remote Buffer Overflow in Lotus Domino (NGSSoftware)。 Domino 6.0.5 / 6.5.4 に buffer overflow する欠陥があり、修正プログラムが公開されている。
XV multiple buffer overflows (update)。 SUSE や Gentoo などの xv の修正は不完全だ、という指摘。これを受けて、Gentoo からは新しい fix が出ている: [ GLSA 200504-17 ] XV: Multiple vulnerabilities
[SA14551] GNU Sharutils unshar Insecure Temporary File Creation

■ FreeBSD-SA-05:04.ifconf - Kernel memory disclosure in ifconf()
(FreeBSD-announce-jp, 2005.04.15)

　FreeBSD 4.x / 5.x に欠陥。SIOCGIFCONF ioctl においてバッファが初期化されないまま使用されてしまうため、カーネルメモリの内容 (12 バイト) が漏曳してしまう。

　最新の RELENG_4 / RELENG_4_10 / RELENG_4_11 / RELENG_5 / RELENG_5_3 / RELENG_5_4 に更新するか、あるいは FreeBSD 4.x / 5.3 用の patch を適用し、kernel を再構築してインストールし、再起動する。 RELENG_4_8 はもはや維持されていないが、FreeBSD 4.x 用 patch は適用できた。

　うぅ、またカーネルつくりなおしですか…… (T_T)

■ Stable CVS Version 1.11.20 Released! * Security Update *
(cvshome.org, 2005.04.18)

　CVS 1.11.19 / 1.12.11 以前に複数の欠陥。NEWS によると、CVS 本体に buffer overflow や memory leak など複数の欠陥があり、寄贈された複数の perl スクリプトにも欠陥があったという。 buffer overflow については CAN-2005-0753 として登録されている。CVS 開発者は、この buffer overflow 欠陥は攻略可能な欠陥ではないと判断している。

　CVS 1.11.20 および 1.12.12 で修正されている。ただし、perl スクリプトの欠陥は完全には解消されていないそうだ。

fix / patch:

Red Hat Linux ES 3: RHSA-2005:387-06 cvs security update
Fedora Core: [SECURITY] Fedora Core 3 Update: cvs-1.11.17-6.FC3
Turbolinux: TLSA-2005-51
SUSE Linux: SUSE Security Announcement: cvs (SUSE-SA:2005:024)
Gentoo Linux: GLSA 200504-16 / CVS
Debian GNU/Linux: DSA-715-1 cvs
FreeBSD: FreeBSD Security Advisory FreeBSD-SA-05:05.cvs - Multiple vulnerabilities in CVS

■ 2005.04.18

■ Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016)
(Microsoft, 2005.04.13)

　Windows 2000 / XP / Server 2003 に欠陥。 MS Office 文書は、拡張子を変更しても MS Office 文書として開かれることはよく知られている。これと同じ機構を利用することで、任意の拡張子のついたファイルを Microsoft HTML Application Host (MSHTA) ファイルであるとして実行させることが可能となる。

　修正プログラムがあるので適用すればよい。なお、この欠陥は Windows Server 2003 SP1 および Windows XP / Server 2003 x64 Edition には存在しない。

　関連:

■ 追記

JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題: 　詳細が公開された: au携帯電話のバーコードリーダでジャンプ先URLが偽装される (bugtraq-jp)

■ VULNERABILITY OF FIRST-GENERATION DIGITAL CERTIFICATES Rev 1.1 AND POTENTIAL FOR PHISHING ATTACKS AND CONSUMER FRAUD
(GeoTrust, 2005.04.12)

　とんでもない勘違いをしていたので修正。西村さんご指摘ありがとうございます。 _o_

　SSL サーバ証明書において、Organization 項目が詐称されたものを誰でも簡単に取得できてしまうにもかかわらず、Organization 項目を信頼できるものとして扱う web ブラウザが存在する。具体的には Opera 8 Beta 3 がそのようなブラウザだが、この挙動が広く採用されるようだと、新たなフィッシング手段として悪用される恐れがある、という話みたい。

　PoC サイトと Opera 8 Beta 3 での表示例が http://www.geotrust.com/resources/advisory/sslorg/index.htm に示されている。Opera 8 Beta 3 ではアドレスバーに詐称された Organization 項目が大きく表示されてしまうため、実際のサイトとは関係のないドメインに存在していても気がつかない恐れがある、という話みたい。

　GeoTrust が Organization 詐称証明書をどこから入手したのかは……各自で確かめられたい。

■ 三つの致命的欠陥を修正したFirefox 1.0.3とMozilla 1.7.7リリース
(slashdot.jp, 2005.04.16)

　Firefox 1.0.3 / Mozilla 1.7.7 登場。多数の欠陥 (Firefox: 9 つ、Mozilla: 7 つ) が修正されている。

欠陥	重大性	影響		回避方法
欠陥	重大性	Firefox	Mozilla	回避方法
MFSA 2005-33	中	あり	あり	JavaScript を無効にする
MFSA 2005-34	大	あり	N/A	Firefox プラグインフォルダで「Manual Install」ボタンを押さない
MFSA 2005-35	中	あり	あり	ブロックしたポップアップは閲覧しない
MFSA 2005-36	大	あり	あり	JavaScript を無効にする
MFSA 2005-37	特大	あり	あり	JavaScript を無効にする
MFSA 2005-38	中	あり	あり	信頼できない出自の検索プラグインはインストールしない
MFSA 2005-39	特大	あり	N/A	JavaScript を無効にする
MFSA 2005-40	中	あり	あり	JavaScript を無効にする
MFSA 2005-41	特大	あり	あり	JavaScript を無効にする

　Firefox / Mozilla 利用者は更新しましょう。Firefox 1.0.3 については日本語版も用意されています:

英語版ダウンロード: Firefox、Mozilla
日本語版 Firefox 1.0.3 ダウンロード:

　(typo fixed: 小澤さん感謝)

　関連:

■ 2005.04.14

》２ちゃんねるに書き込む“山田ウイルス”にトレンドマイクロが対応 (Internet Watch, 4/14)
》 InterScan Messaging Security Suite 5.11 Solaris/Linux版、および 5.1 サービスパック1 Solaris/Linux版 Patch3 公開お知らせ (トレンドマイクロ) が改訂され、公開予定日が 2005.05.11 に変更になっています。匿名希望さん、ちいちゃんさん情報ありがとうございます。
》警察庁　ホームページにDos攻撃か～～アクセス不調に (毎日, 4/14)
》謎の微粒子「ナノバクテリア」は雲に乗って移動？ (WIRED NEWS, 4/14)
》衛星写真がとらえた「思いがけないシーン」(上) (WIRED NEWS, 4/14)
》悪性インフルエンザ・ウイルス、世界中に誤配布 (WIRED NEWS, 4/14)。もらってラッキーなのか、どうなのか。
》 Hack IIS 6.0 Challenge。 2005.04.17～2005.06.08 (US 時間) だそうです。
》システム部門も法律を勉強しよう (日経 IT Pro, 4/13)。
》六ケ所村か，仏カダラッシュか－－，熱核融合炉の建設地決定は2005年7月まで持ち越し (日経 Tech On, 4/12)
》つくる会ねた
- [AML 1049] 文部科学省へ「つくる会」検定合格取り消しの声を!!。内容はともかく、ルール違反をくりかえすというのは……。
- 「デモする慰安婦は北工作員」…つくる会が妄言 (中央日報, 4/12)
》 Derivative Only Licenseの提案 (バーチャルネット法律娘　真紀奈17歳, 4/13)。興味深いです。

権利者が経済的な被害をあまり受けない範囲で、そしてコンテンツ業界でプロとアマチュアが共存共栄することが可能なくらいの範囲で、二次創作を許可するライセンスというものが重要なのではないかと思って、それを提案しようというわけです。
》権利者団体で導入が進む権利保護技術と共通ID～CCDシンポジウム (Internet Watch, 4/13)
》 DoS攻撃の手法と対策［後編］ DoS攻撃防御製品の仕組みと特徴 (@IT, 4/14)
》 PostgreSQL 8.0.2リリース (slashdot.jp, 4/14)。特許方面の係争を避けるために使用アルゴリズムを変更、ですか。
》 17th Annual FIRST Conference (first.org)。 2005.06.26～2005.07.01、シャングリラホテル (シンガポール) だそうです。 from Schedule:

Sunday - June 26, 2005
18:00-19:00 Program Committee Meeting - Gardenia Red
Yurie Ito, JPCERT/CC & Mark McPherson, AUSCERT
Program Chairs

　JPCERT/CC の伊藤友里恵さんが chair をやっていらっしゃるようです。おっと、こっちの方がもっとおおきく出ているぞ。
》組織内での各種活動記録を活用しセキュリティに関する事件・事故への対応を可能とするフォレンジックソリューション「Secureplaza/FS」を提供開始 (日立, 4/14)。個別見積だそうです。
》チェック・ポイント、中規模向けファイアウォール／VPNにウイルス対策機能を統合 (ITmedia, 4/12)。Computer Associates のアンチウイルスが組みこまれたのだそうで。

今ではウイルス対策ソフトを導入していない企業を見つけるほうが難しい状況だが、「クライアント側での対策にゲートウェイでの対策を組み合わせることで、多段的なセキュリティを実現できる。ウイルス検出の精度向上につながるだけでなく、情報流出への備えにもなる」と卯城氏は述べている。

　日本での CA (eTrust AntiVirus) のシェアは低いだろうから多重化にはなるだろうけど、相互補完製品としてはどうなんだろう。個人的な印象としては、eTrust AntiVirus は 3 大ベンダーの製品と性格があまり変わらない気がするのだが。
》アナリストの言うことは信用できるか？ (ITmedia, 4/12)。
》情報セキュリティ対策は「トライ＆エラー」で (ITmedia, 4/13)。RSA Conference 2005 Japan のたのしみかた。

　思い出した言葉: 「論より RUN」。論より RUN でいいけど PDCA サイクルはガンガン回せ、ということかな。
》太陽電池に迫る危機に業界が警鐘 (ITmedia, 4/14)。原材料費の高騰と補助金の削減により成長が鈍化、ということか。
》 LexisNexisの個人情報流出、3万人から30万人に被害拡大 (ITmedia, 4/13)
》ブラインド署名の特許が間も無く失効 (武田圭史, 4/12)
》今夜、NHK BS1 でこういう番組が放送されるそうです。
- 18:10～19:00 - BS ドキュメンタリー「大惨劇の三日間～ロシア学校占拠テロ」
- 19:10～21:00 - 世界潮流 2005「ロシアはどう動く～プーチン大統領の世界戦略」
　「背景となる状況」であるチェチェン方面がきちんと解説されているのかどうかがあれですが、はてさて。私自身は見れないのですが……。

■ いろいろ
(various)

Segmentation fault on failed PUT/POST request (squid-cache.org)。Squid-2.5 以前で、失敗した PUT/POST リクエストが seg 落ちを招くことがある模様。squid-2.5.STABLE7 用の patch が出ている。 CVE: CAN-2005-0718
portupgrade -- insecure temporary file handling vulnerability (freebsd.org)。一時ファイルの操作に欠陥。 portupgrade-20041226_2 で修正されている。 CVE: CAN-2005-0610
[Hat-Squad Advisory] Bakbone NetVault Heap overflow Vulnerabilities。 Bakbone NetVault 6.x / 7.x に remote および local における heap buffer overflow 欠陥があるという指摘。PoC コードもあわせて公開されている。

patch はまだない。20031/tcp および 20031/udp をフィルタすることで回避できる。
[VulnWatch] GLD (Greylisting daemon for Postfix) multiple vulnerabilities.。 gld (standalone greylisting server for Postfix) 1.4 以前に buffer overflow 欠陥やら format バグやらがあるという指摘。 gld 1.5 で修正されている模様。
cpio TOCTOU file-permissions vulnerability。 GNU cpio 2.6 以前に CAN-2005-0953 (bzip2 TOCTOU file-permissions vulnerability) や CAN-2005-0988 (gzip TOCTOU file-permissions vulnerability) と同様の欠陥があるという指摘。

cpio patch。 gzip の場合はこれ。
IBM WebSphere Widespread configuration JSP disclosure。 IBM WebSphere Application 6 以前に、JSP ソースが漏曳してしまう欠陥があるという指摘。
Multiple Sql injection and XSS vulnerabilities in phpBB Plus v.1.52 and below and some of its modules.
[VulnWatch] Patch available for critical Veritas i3 Server vulnerability。 VERITAS i3 (tm) 7.1 - Patch IN_INBA_710_007 (veritas.com) が patch だそうです。欠陥詳細は未公開。
[VulnWatch] Multiple medium risk flaws fixed in new version of PHP (late advisory)。 PHP 5.0.3 / 4.3.10 に複数の欠陥があり、修正された、そうです。欠陥詳細は未公開。
iDEFENSE Security Advisory 04.11.05: Computer Associates BrightStor ARCserve Backup UniversalAgent Buffer Overflow。 BrightStor ARCserve Backup UniversalAgent に、remote から攻略可能な buffer overflow 欠陥があり、修正 patch が出ているそうで。 CVE: CAN-2005-1018
[NEWS] Oracle Forms SQL Injection

■ 追記

March 2005 DNS Poisoning Summary

　4/12 追記分とまとめた。

2005 年 4 月のセキュリティ情報

　PRIMERGY FT モデル: Windows Updateに関する留意事項 (富士通)。 PRIMERGY TX200FT への MS05-018 適用で問題が発生するようで、「緊急修正プログラム」が公開されています。セキュリティ更新プログラム (890859) (MS05-018) 適用に関する留意事項 (富士通) も参照。(typo fixed: Shibuya さん感謝)

■ OpenOffice.org1.1.4ヒープ・オーバーフローの脆弱性対策
(OOoWiki, 2005.04.14)

　OpenOffice.org 1.1.4 以前に欠陥。 StgCompObjStream::Load() に heap overflow する欠陥があり、攻略文書ファイルを開かせることにより任意のコードを実行可能。 Issue 46388 (openoffice.org) を参照。

　OpenOffice.org 1.1.4 利用者は、差替ファイルが用意されているので、これを適用すればよい。1.1.3 以前の場合は、まず 1.1.4 まで上げ、差替ファイルを適用する。

■ 890830 - The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Server 2003, Windows XP, or Windows 2000
(Microsoft, 2005.04.13)

　「悪意のあるソフトウェアの削除ツール」V 1.3 (April 2005) が登場しています。 V 1.3 では著名な Windows 用ルートキットのひとつ HackerDefender に対応しています。 HackerDefender 1.0.0 で試してみたところ、検出・削除されるのは「起動されていた HackerDefender」だけのようです。 HackerDefender を起動せずに単に置いておくと、削除どころか検出すらされませんでした。

　ついでに F-Secure BlackLight で HackerDefender 1.00 を試してみたところ、起動されていたり隠されていたりしたプロセス・ファイルの情報を表示するのみでした。「悪意のあるソフトウェアの削除ツール」は、とりあえず削除してくれるという意味ではわかりやすそうです。 HackerDefenderを悪用したスパイウェア－スパイウェア除去アプリケーションが使えない (アダルトサイト被害対策の部屋) も、「悪意のあるソフトウェアの削除ツール」を利用する形に更新するといいかもしれません。

　というわけで、「悪意のあるソフトウェアの削除ツール」は「アンチウイルスを導入している人もぜひ実行しましょう」というツールになった、と言えます。

　なお、HackerDefender の捜索・消去に関して Strider GhostBuster Rootkit Detection (Microsoft Research) の技術が使われているのかどうかについてはよくわかりません。

■ JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題
(JVN, 2005.04.14)

　au の携帯電話 PENCK、W31SA、W21CA、W21T、W22H、W22SA、W21SA、W21S、Talby、A5509T、A5507SA、A5506T、A5505SA、A5502K、A1404S、A1402S II、A1402S に塔載されているバーコードリーダアプリに欠陥。特定の QR コードを読み込んだ場合に、「1 行目」にカーソルがあるにもかかわらず「2 行目」の URL にアクセスしてしまう。バーコード (2次元コード) リーダーご利用にあたっての注意点 (au, 2005.04.14) に詳細があるので参照されたい。

　修正版のバーコードリーダアプリが用意されているので更新すればよい。

2005.04.18 追記:

　詳細が公開された: au携帯電話のバーコードリーダでジャンプ先URLが偽装される (bugtraq-jp)

■ EZ番号 (サブスクライバ ID) の通知設定機能追加について
(au, 2005.04.04)

　本日 2005.04.14 から、『EZwebアクセス時にEZ番号を「通知しない」設定を選択できる機能』が追加されるそうです。高木先生が何年も前からその危険性について指摘してきたわけですが、ワンクリック詐欺にさんざん悪用されるようになって、ようやく……なわけですね。

■ 2005.04.13

■ Critical Patch Update - April 2005
(oracle, 2005.04.12)

　出たようです。日本の Oracle には 2005.04.15 に情報が掲載されるようです。匿名希望さん情報ありがとうございます。

2005.04.14 追記:

　[VulnWatch] Multiple High Risk flaws fixed in Oracle (NGSSoftware)

2005.04.19 追記:

■ NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads
(UNIRAS, 2005.04.13)

　ICMP を使うと、既存の TCP コネクションをリセットしたり速度を低下させたりすることが可能だという指摘。

CVE: CAN-2004-0790

RFC1122 の要請により、ICMP type 3 code 2～4 を受信するとハードエラーとみなされて TCP が切れる。ICMP type 3 code 2～4 パケットには IP ヘッダおよび TCP ヘッダの最初の 64 ビットがペイロードとして塔載されているが、RFC では TCP ヘッダ中のシーケンス番号が当該 TCP コネクションと一致するかどうかの検査が推奨されていない。このため、シーケンス番号の検査を実施していないような TCP 実装の場合、偽造 ICMP パケットによる TCP リセットを容易に実施できてしまう。
CVE: CAN-2004-1060

Path MTU Discovery を悪用し、next-hop MTU が極端に小さいような ICMP Type 3 Code 4 パケットを送ることにより、転送効率を極端に悪化させることができる。
CVE: CAN-2004-0791

RFC1122 の要請により、ICMP type 4 (Source Quench) を受信すると「スロースタート」の引金になり、転送速度が低下する。 ICMP type 4 パケットには IP ヘッダおよび TCP ヘッダの最初の 64 ビットがペイロードとして塔載されているが、RFC では TCP ヘッダ中のシーケンス番号が当該 TCP コネクションと一致するかどうかの検査が推奨されていない。このため、シーケンス番号の検査を実施していないような TCP 実装の場合、偽造 ICMP パケットによる TCP 転送速度低下を容易に実施できてしまう。

　同様の攻撃は IPv6 (ICMPv6) においても実施可能。

　関連:

fix / patch:

Cisco: Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of Service
Foundry: この欠陥はない。
Juniper: https://www.juniper.net/alerts/viewalert.jsp?txtAlertNumber=PSN-2004-09-009
Nortel: Security Advisory Bulletins に資料多数あり。
Apple: Mac OS X 10.2 以降にこの欠陥はない。
Fedora Project: Fedora Core 2, Fedora Core 3 にこの欠陥はない。
IBM: ftp://aix.software.ibm.com/aix/efixes/security/icmp_efix.tar.Z
Microsoft: TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
Red Hat Linux: Red Hat Inc. Information for VU#222750。RHEL 2.1 / 3.0 では、 kernel-2.4.9-e.59 (2.1), kernel-2.4.18-e.54 (ia64 用 2.1), kernel-2.4.21-27.0.2.EL (3.0) 以降の kernel で修正されている。
Sun: 57746: Sun TCP Connections May Experience Performance Degradation If Certain ICMP Error Messages Are Received。 patch はまだない。

2005.04.21 追記:

　ICMP attacks against TCP (Proof-of-Concept code) (MS05-019, CISCO:20050412)

2005.05.06 追記:

　SYM05-008: シマンテックのセキュリティ・ゲートウェイ ICMP にサービス拒否の危険性 (シマンテック, 2005.05.02)。以下のシマンテック製品に欠陥があるそうだ。

Symantec Gateway Security 5400 Series, v2.x
Symantec Gateway Security 5300 Series, v1.0
Symantec Enterprise Firewall, v7.0.x （Windows 版および Solaris 版）
Symantec Enterprise Firewall v8.0 （Windows 版および Solaris 版）
Symantec VelociRaptor, Model 1100/1200/1300 v1.5
Symantec Gateway Security 300 Series （すべてのファームウェア･バージョン）
Symantec Gateway Security 400 Series （すべてのファームウェア･バージョン）
Symantec Firewall/VPN Appliance 100/200/200R （すべてのファームウェア･バージョン）
Nexland ISB SOHO Firewall Appliances （すべてのファームウェア･バージョン）
Nexland Pro Series Firewall Appliances

　このうち修正版があるのは Symantec Gateway Security 300 Series、Symantec Gateway Security 400 Series だけで、他については開発中だそうだ。

2005.05.20 追記:

　「TCP実装におけるICMPエラーメッセージ処理に関する脆弱性」対策について (日立)

■ 追記

ライセンスログサービスの脆弱性により、コードが実行される (885834) (MS05-010)

　日本語版 MS05-010 は更新されていないようだが、英語版 MS05-010 は 2 度更新されている。このあたり:

Mitigating Factors for License Logging Service Vulnerability - CAN-2005-0050:
(中略)
On Windows 2000 Server Service Pack 4 and Windows Server 2003, only authenticated users or programs can establish a connection to the License Logging service. However, this does not apply to installations of Windows 2000 Server where Service Pack 4 has been `slipstreamed' into the operating system directory. For more information, see Microsoft Knowledge Base Article 896658.

PNG 処理の脆弱性により、バッファオーバーランが起こる (890261) (MS05-009)

　MS05-009 が 2005.04.13 付で更新されている。

なぜマイクロソフトはこのセキュリティ情報を2005年4月13日に更新したのですか?

このセキュリティ情報のリリース後、Windows Messenger version 4.7.0.2009 (Windows XP Service Pack 1 で実行されている場合) の更新が SMS または自動更新を介し配布された場合、インストールが失敗することが確認されました。更新されたパッケージはこの動作を修正します。

前回の更新が正常にインストールされ、現在 Windows Messenger のバージョン 4.7.0.2010を実行しているお客様は、この脆弱性から保護されており、現時点で何のアクションも行う必要はありません。

カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)

　MS05-002 の Windows 98 / 98 SE / Me 用 patch が更新されました。

2005 年 4 月 13 日にこのセキュリティ情報を更新したのはなぜですか?

セキュリティ情報 MS05-002 をリリース後、マイクロソフトは Windows 98、98SE および ME 用のセキュリティ更新プログラムを展開したお客様に影響を与える問題を確認しました。ほとんどの場合はこの問題により、コンピューターが予期しないときに再起動します。

マイクロソフトはこの問題を調査し、これらのプラットフォーム用の改訂版のセキュリティ更新プログラムを用意しました。これらの改訂版のセキュリティ更新プログラムは、Windows Update およびマイクロソフトダウンロードセンターから入手することができます。これらの更新プログラムのオリジナルのバージョン（2005 年 2 月 9 日リリース）をまだ適用していないお客様は、Windows Update のサイトにアクセスし、改訂版の更新プログラムをインストールする必要があります。

既にオリジナルのバージョンの Windows 98、98SE および ME 用のセキュリティ更新プログラムを適用したお客様も、Windows Update から現在の改訂版の更新プログラムをインストールすることを推奨します。

　なお、マイクロソフト：「Windows用パッチに脆弱性あり」 (CNET, 2005.04.01) だが、Microsoft が認識していたのはあくまで「旧 patch を適用すると OS が不安定になる」事であって、「MS05-002 旧 patch がセキュリティ的に不十分」という事実はなかった模様。

■ 2005 年 4 月のセキュリティ情報
(Microsoft, 2005.04.13)

　出ました。MS05-016 から MS05-023 までの 8 つです。ふつうのひとは、こんな手順でよろしいかと:

自動更新や Windows Update を使って Windows 用の更新を適用し、再起動する。
Office Update を使って Microsoft Office 関係の更新を適用する。
MSN Messenger を使っている場合は、 MS05-022 を適用するか、あるいは最新の MSN Messenger 7.0 にアップグレードする。
Exchange 2000 / 2003 を使っている場合は、 MS05-021 を適用する。

　なお、OS Kernel は変わってるわ、TCP/IP プロトコルスタックは変わってるわ、IE は変わってるわなので、いつもより注意深くテストしましょう。デフォルトの挙動が変更になる話もあるようです。 KB 893066 とか。

　これにあわせて、「Microsoft Windows インストーラ 3.1」と「バックグラウンドインテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 用の更新プログラム」も公開されているようですね。

　なお、残念ながら今回の patch では Upcoming Advisories (eEye) の EEYEB-20050316 と EEYEB-20050329 は消えていません。

2005.04.14 追記:

　不具合情報が出てきています。

PRIMERGY FT モデル: Windows Updateに関する留意事項 (富士通)。 PRIMERGY TX200FT への MS05-018 適用で問題が発生するようで、「緊急修正プログラム」が公開されています。セキュリティ更新プログラム (890859) (MS05-018) 適用に関する留意事項 (富士通) も参照。(typo fixed: Shibuya さん感謝)
MS05-019 breaks TCP raw socket sends (NTBugtraq)

2005.04.20 追記:

　Windows Update実行後WebScanX.exeのアプリケーションエラーが発生します (マカフィー, 2005.04.15)。VirusScan for Client 4.5.1 SP1 と Windows Installer 3.1 が喧嘩をするそうです。VirusScan Enterprise へアップグレードすれば解決するそうです。

2005.04.27 追記:

　Windows インストーラ 3.1 をインストールすると、修正プログラムによっては適用に失敗する可能性がある (updatecorp.co.jp)。

Windows インストーラの呼び出し時に完全サイレントインストールのためのオプションを指定すると、適用に失敗します。

　4 月の Windows Update の日に Windows インストーラ 3.1 も配布されていますが、互換性に少々難があるようです。

2005.05.19 追記:

　Windows インストーラ 3.1(v2) と、Windows 2003 SP1 および 64bit 版 Windows XP 用の Windows インストーラ 3.1 アップデートが公開されています。

893803 - Windows Installer 3.1 (v2) is available (Microsoft)
Issue that is addressed in Windows Installer 3.1 (v2)
Windows Installer no longer fails silently when the installer tries to update a file that is protected by the Windows File Protection feature.
898715 - An update for Windows Installer 3.1 is available for Windows Server 2003 SP1 and for the 64-bit editions of Windows XP (Microsoft)

■ 2005.04.12

》献血に対する皆様のあたたかいご協力をお願いいたします: 厚生労働大臣緊急アピール (厚生労働省, 4/8)。宣伝費をかけて、ジャニーズな人達とかにアピールしてもらった方がいいのでは。ただし、HIV 検査目的な人は保健所でおねがいしますね。 HIV抗体検査は平成5（1993）年より、全国の保健所で無料・匿名で受けられるようになりました (エイズ情報ネット) そうです。丹羽さん情報ありがとうございます。
》情報セキュリティ対策ビデオ (警察庁) 第 3 弾「サイバー犯罪事件簿～姿なき侵入者～」(40 分) は、オンラインで視聴できるようになっています (info from [memo:8279])。ちょっと演出がクサイ気がするけど……。
》 Memtest86+ 1.55 が出ています。藤井さん情報ありがとうございます。
》４月１日からTrendのパターン更新タイミングが、毎日になっています (まっちゃだいふくの日記, 4/11) だそうです。
》第04回まっちゃ１３９勉強会。げげっ、うかうかしている間にもう埋まってるジャン。
》 OpenSSL 0.9.7g が出ています。戸井さん情報ありがとうございます。
》北マリアナ諸島アナタハン島で大規模噴火 (CNN, 4/6)
》セックスレスの女性、子宮頸がんに注意を　筑波大調査 (asahi.com, 4/11)。したらしたで別のリスクがあるしなあ。
》鳥インフルエンザ方面
- カラスもウィルス感染広げる (NHK, 4/12)
- 鳥インフルエンザ：カラス同士の感染を確認　動物衛生研 (毎日, 4/12)
》中国方面
- 反日行動、きかぬ統制　北京１万人デモ (asahi.com, 4/9)。中国・反日デモ特集 (asahi.com)
- 反日デモ、中国各地に飛び火　日本料理店の窓割られる (asahi.com, 4/10)。そういえば、窓を割られた日本料理店の経営者は実は中国人でした、という話を NHK でやっていたなあ。
- 反日デモに中国主要メディア沈黙、日本人記者団排除も (読売, 4/11)
- 中国反日デモ：「明らかに中国政府の暗黙の奨励」英紙報道 (毎日, 4/12)
- 中国反日デモ　愛国系ネット扇動　匿名で無責任、暴徒化 (産経, 4/12)
- 中国：反日デモに関する注意喚起 (外務省, 4/11)
　アジア杯にひきつづき「いとも簡単にこんな状態になる国で本当にオリンピックを開催できるの?」という印象を全世界に発信しただけのような気がするのだが。傍観者然とした公安当局もなあ。もともとのデモ主催者は「海外メディアに見られている」ことを十分認識していたようだが、デモ参加者にはそういう意識が欠けた人が多かったようで。

　愛國もいいけど、自国民を自軍の戦車でふみつぶす国なわけですからねえ……。公害方面もひどいみたいだし: 浙江省の村で３万人暴動公害に抗議、２人死亡 (京都新聞, 4/12) とか。
》ルートキットサイトが攻撃でダウン、ハッカー集団の仕業か (ITmedia, 4/12)。なんだかなあ。暴力的な行為は逆効果だと思うのだけどなあ。

　関連: SIS-Team。

■ MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開
(Internet Watch, 20005.04.12)

　この話:

[Full-disclosure] [HV-HIGH] Microsoft Jet DB engine vulnerabilities 。 msjet40.dll の最新版 4.00.8618.0 に欠陥があり、細工した mdb ファイルにより任意のコードを実行可能、という指摘。
[Full-disclosure] Microsoft Jet (msjet40.dll) Exploit。上記指摘に基づいて、細工した mdb ファイルを出力するという C ソース。 calc.exe が起動するというが、本当かどうか私は知らない。 C ソースに www.computerterrorism.com という文字列があったので http://www.computerterrorism.com にアクセスし、さらに http://www.computerterrorism.com/msjet.htm にアクセスすると、VSE 8.0i が「Exploit-IEPageSpoof」を検出。やってくれますね。

2005.04.21 追記:

　Exploit-MSJet.gen (マカフィー)

2005.10.04 追記:

　MS Officeの脆弱性突いたトロイの木馬が出現 (ITmedia, 2005.10.04)

■ 追記

March 2005 DNS Poisoning Summary: 　「悪質サイトへ勝手にリダイレクト」――DNSキャッシュ・ポイズニング攻撃の現状と対策（上） (日経 IT Pro, 4/12)

■ 2005.04.11

》 PestPatrolでレジストリを誤検知、削除するとWindowsの設定が初期化 (Internet Watch, 3/29) の話、アークンにも情報が出ていた。
- インシデント報告 (PestPatrol) (3/28)
- インシデント対応報告 (PestPatrol) (3/29)
- インシデント対応報告 (PestPatrol) (4/8)
》スパイウェア対策方面がさわがしくなってきているようで。
- ジャングル、他社製品とも併用可能なスパイウェア対策ソフト (Internet Watch, 4/8)。Kaspersky のアンチウイルスエンジンも積んでいるそうだ。
- インターチャネル、高速スパイウェア駆除ソフト「スパイゼロ 2006」発表 (MYCOM PC WEB, 3/31)。「ウイルス対策ソフトとの同時使用は可能だが、他社のスパイウェア対策製品との併用は不可」だそうで。
- スパイウエア対策ソフトが3社から相次ぎ発売 (日経 IT Pro, 4/8)
- トレンドマイクロ、法人向けウイルスバスターのスパイウェア対策を強化 (Internet Watch, 4/11)。
》 TROJ_SPYWAD.B によるデスクトップ異常の修復 (アダルトサイト被害対策の部屋, 4/9)。

　アダルトサイト被害対策の部屋の [PCトラブル質問掲示板] は読んでいて飽きないなあ。
》原発広報ＨＰに３年１０億円　エネ庁の「無駄遣い」指摘 (asahi.com, 4/9)。そういう体質なんだろうなあ。
》セキュアブレインの PhishWall が公開されています。製品情報。
》ライブ・レスポンス（Live Response） (B-) の独り言, 4/9)。参考になります。

　半径 50m 以内ではたいしたことは起きないので、とりあえず netstat -na して fport すると「なんだかスパイウェアっぽいものがいっぱい動いてますけど、アンチウイルスものは入ってないんですか?」と質問するだけの情報が得られ、「えぇっ? 入れてますよ?!」「では確認してみましょう……あのー、この Norton AntiVirus、更新期限が 2002 年で切れてますけど (^^;;)」といった会話を交わすことができることが多いです。あと、「ローカルエリア接続」の「動作状況」を見ながら「ほら、何かがいっぱいパケット送信してますし、きっと何かにやられてますよ」と説明したりとか。

netstat -na でも netstat -an でも得られる結果は同じですが、

　結果は同じだが姿勢は違うような気が。netstat -na な人は「デフォルト netstat -n (= DNS に問いあわせない)」だろうし、 netstat -an な人は「デフォルト DNS 問いあわせ」のような気が。

　いまどきだと、まず ipconfig /displaydns を取っておきたいかも。
》 ExternalTimeRelatedLinks (ntp.isc.org)。 ntp 4.2.0 の Windows NT/2000/XP 用 GUI インストーラ版、というものがあるんですね。
》 Tripwire Patches というページがあるのですね。*BSD や Mac OS X、Solaris 8、Cygwin でも動き、GCC 3.[0-4] もだいじょうぶだそうです。

■ 追記

ppBlog 検索モジュールにXSSの脆弱性！: 　ppBlog 1.4.0 が正式公開されています。

■ SIG^2 G-TEC - AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities
(SIG^2 G-TEC, 2005.04.07)

　AN HTTP 1.42n 以前に 2 つの欠陥。

cmdIS.DLL に buffer overflow する欠陥があり、remote から任意のコードを実行させられる。 buffer overflow するのは user-agent, host, accept-encoding HTTP ヘッダ。
ログファイルに URI を記録する際の除染処理が不十分なため、制御文字など任意の文字を挿入できる。これによりログファイルの改ざんが可能。また cmdIS.DLL によって実行され得るようなコマンドを挿入することも可能。

　修正版はまだない。AN HTTP ホームページでは

バージョン 1.42n およびそれ以前のすべてのバージョンのサンプルスクリプトに重大セキュリティホールがあります。 scripts フォルダの cmdIS.dll を削除してください。(2005/4/7)

と呼びかけている。

■ 2005.04.08

■ MPSB05-02 - Workaround available for ColdFusion MX 6.1 Updater file disclosure
(Macromedia, 2005.04.07)

　ColdFusion MX 6.1 の Updater 1 に欠陥があり、ファイルまるみえ系の事象が発生する模様。回避策が掲載されている。

■ Critical Patch Updates and Security Alerts
(oracle, 2005.04.08)

Critical Patch Update - April 2005 (scheduled for release at noon PDT on 12 April 2005)

　Oracle から、2005.04.12 12:00 -0700 (PDT) に累積的 patch が公開されるそうです。JST だと 2005.04.13 04:00 かな。

■ マイクロソフトセキュリティ情報の事前通知
(Microsoft, 2005.04.08)

　4 月の Windows Update の日 (日本では 4/13) には次のものが出る予定だそうです。

OS - 5 件
Office - 1 件
MSN Messenger - 1 件
Exchange - 1 件

　もりだくさんですね。これにあわせて「悪意のあるソフトウェアの削除ツール」が更新され、さらに

Windows Update サイトで Windows 用のセキュリティ以外の優先度高の更新プログラムをリリースする予定です。これらは Software Update Services に配布される予定です。

だそうです。なんだろう……。

■ 2005.04.07

■ CISCO 方面
(CISCO, 2005.04.07)

Cisco Security Advisory: Vulnerabilities in the Internet Key Exchange Xauth Implementation

CISCO IOS の Easy VPN サーバ機能において XAUTH 機能を利用すると、無認証ユーザが VPN に接続できてしまう。
Cisco Security Advisory: Vulnerabilities in Cisco IOS Secure Shell Server

CISCO IOS の SSH サーバ機能に 2 つの欠陥がある。
1. CISCO IOS で SSH version 2 サーバを機能させており、かつ、
  - ユーザが TACACS+ サーバで認証されており、ユーザ名にドメイン名が含まれているか、
  - 新しい SSH セッションが認証フェーズにあり、かつ、既存の認証済み SSH セッションにおいて send コマンドが使われたか、
  - terminal monitor コマンドを使ってログメッセージを SSH セッションに送る設定をしている場合に、SSH サーバが SSH クライアントにデータを送っている最中にセッションを切ってしまう
  と、IOS を動作させているデバイスがリロードされる。
2. CISCO IOS で SSH version 1 あるいは 2 のサーバを機能させており、かつ、ユーザが TACACS+ サーバで認証されている場合に、間違ったユーザ名あるいはパスワードを使用すると、メモリリークが発生。 SSH 2 の場合は、正常な認証時にもメモリリークが発生。 RADIUS サーバを使って認証している場合にはこの欠陥はない。

■ ネットを蝕むのはフィッシングだけじゃない、DDoS攻撃も「高度なものだけで1日60件」
(日経 IT Pro, 2005.04.06)

　NTT コミュニケーションズが扱っているトランジット・サービスだけでも「ハイレベルなものだけで1日に60件」ですか。そういう時代になってしまったのですね。

■ 追記

Microsoft Windows Server 2003 "Shell Folders" Directory Traversal Vulnerability

　Windows Server 2003 SP1 英語版で修正されていることが確認された: penetration technique research site 参照。また PivX によると、bid 7826 の exploit 欄にある ftpexp.html については Windows Server 2003 だけでなく Windows XP (SP2 含む) にも影響するという。

March 2005 DNS Poisoning Summary

　Handler's Diary April 7th 2005: DNS cache poisoning update (SANS ISC)。欠陥ありの Windows NT / 2000 DNS サーバから BIND や上位 Windows NT / 2000 DNS サーバに forward していた場合にどうなるか、という話が出ている。

Windows DNS → BIND 9 へ forward: BIND 9 がゴミを除去してくれるので、cache 汚染は発生しない。
Windows DNS → BIND 4 または BIND 8 へ forward: BIND 4 / 8 はゴミを除去してくれないので、cache 汚染が発生。
Windows DNS → Windows DNS: 上位の Windows DNS に KB241352 の設定がされていれば、下位 Windows DNS には cache 汚染は発生しない。そうでなければ、cache 汚染が発生。

　Handler's Diary では、上位 DNS サーバが BIND の場合は、BIND 9 へのアップグレードを推奨している。

いろいろ (2005.03.30)

　日本語 KB 出ました: 889323 - 管理者の権限を持たないユーザーがリモートコンピュータから TSShutdn.exe コマンドを使用して Windows XP Service Pack 1 ベースのコンピュータをシャットダウンできる (Microsoft)

SHA-1 Broken

　解読されたSHA-1: 「CRYPTO-GRAM　March 15, 2005」より (日経 IT Pro, 2005.04.07)

■ 2005.04.06

》 iDEFENSE Labs Releases OllyDbg Breakpoint Manager だそうです。
》 Microsoft TechNet Japan News ‐ 2005 年 3 月 30 日号 (Microsoft) というページがあるんですね。
》第04回まっちゃ１３９勉強会。2005.06.04、京都府京都市、2000 円 (19 歳以下の方には割引あり)。
》コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について (IPA ISEC, 4/6)。Mytob 一族は続いていますねえ。
》 ACCS 事件関連
- 東京地裁H17.3.25不正アクセス行為の禁止等に関する法律違反被告事件 (奥村弁護士の見解, 4/5) が加筆され、判決書が「構成要件該当性の判示を中心に公開」されています。
  
  アクセス制御機能の有無をプロトコルごとに判断するとすれば，例えば，第３者が特殊なプロトコルを介し識別符号を入力せずにホームページのファイルを書き換える機能を有する不正なプログラム（いわゆるトロイの木馬型プログラム）を電子メールによって送信し，そのプログラムを無害なプログラムだと誤信させて実行させた上，その特殊なプロトコルを使用してFTPを介して書き込みを行うべきホームページのファイルを管理者の意図に反して書き換えてしまうような行為すら不可罰となってしまい，このような典型的ともいえる行為の処罰を法は当然に想定していたというべきである。
  
  不正アクセス禁止法としては不可罰だと思うし、こういう状況を想定した法だとも思えないけどなあ。他の法で罰せられるべき内容だと思うのだが。
》下↓の話を書くための資料さがしをしている最中に、住基カードのデザインが変わります (総務省) という話を見つけました。たとえば住基ネット・住基カードのご案内 (三鷹市) や住民基本台帳カードとは？ (横浜市) にある画像が「幾何学模様」入りのもののようです。この件については、住民基本台帳カードのデザイン変更 (自治体情報政策研究所) が詳しいです。

　それにしても、有効期間 10 年というのは、「公的な証明書としても使用でき」るものとしては長すぎるように思うなあ。
》住基ネットのセキュリティ向上に関する健全な議論について (武田圭史, 4/1)。個人的には「現行の住基ネットは破棄し、「地方自治」を強く意識した分散型システムとして再構築すべき」と思っています。その上で、それはそうかもしれないが、今できることは? という意味では、たとえば京都府宇治市のとりくみが参考になると思います。住基ネット稼働で気になる自治体の個人情報保護対策 (日経 IT Pro, 2002.10.04) より:

問題は住基ネットだ。住基ネットで使用するデータベースは閉鎖系の中にある。ところが，住基ネットの先にある他の地方自治体のシステムについては安全性を担保できない。そこで，住基ネットとの常時接続を避け，宇治市の住民情報の更新だけを全国サーバにバッチ処理するようにした。通常はケーブルを外しておき，数分程度の更新作業中だけ職員が手でつなぐことにした（写真2）。

　ここでふと気がついたのですが、元ねたの県住基ネットシステムにおけるISMS認証取得について (埼玉県) の対象はあくまで「県住基ネットシステム」であって、実際の現場である市区町村では全くないのですね。

５　地方公共団体における認証取得の状況
　これまでに認証取得した企業・団体は６８３（H17.3.23現在）。地方自治体では、市川市（千葉県）、三鷹市、杉並区（東京都）が取得しているが、都道府県レベルでは初めてとなる。

　市川市:
- 全国の自治体に先駆け国際基準を満たした情報セキュリティ対策に取り組む (市川市, 2003.10.31)
  （対象範囲）
  情報システム部　　情報政策課、情報システム課、地域情報推進課
  市民生活部　　　　市民課、大柏出張所、市川窓口連絡所、中山窓口連絡所、信篤窓口連絡所、中山窓口連絡所
  財政部　　　　　　税制課
  行徳支所　　　　　市民課、税務課、南行徳市民センター
  （業務）
  ・住民票や印鑑証明書、税などの証明書の交付に関する窓口業務
  ・住基ネットや電子申請に関する内部業務
  ・情報センターにおける情報資産管理に関する業務
　三鷹市:
- 情報セキュリティの認証を取得しました (三鷹市, 2004.02.03)
  （対象部署）
  市民部市民課、三鷹駅市政窓口、三鷹台市政窓口、三鷹東部市政窓口及び三鷹西部市政窓口
  企画部情報推進室
  （対象業務）
  ・住民基本台帳関係業務、住民基本台帳ネットワーク関係業務、印鑑登録関係業務、各種証明書発行業務
  ・戸籍関係業務
  ・外国人登録関係業務、国民年金関係業務、市民保養所等関係業務、住居表示関係業務他
  ・市税等収納業務、その他取次業務　等
  ・住民情報系情報システム管理関係業務、住民基本台帳ネットワークシステム管理関係業務、庁内ネットワーク管理関係業務、庁内事務処理システム管理関係業務　等
　杉並区:
- 杉並区役所の「情報セキュリティマネジメント研修」をeラーニングサービスにて支援 (NEC, 3/25)
  杉並区では、情報システム課が昨年3月に全国の自治体では3番目となるISMS(注)の認証を受けており、現在、(1)住民の個人情報保護、(2)ISMSの構築・運用を全庁に適用拡大することを柱に、情報セキュリティに対する取り組みを積極的に行っております。
- 区政資料 > 住基ネット (杉並区)
- よくあるご質問とその回答がご覧になれます。 (杉並区)。 Q19、おっしゃるとおりだと思うし。
　ISMS については、住基ネットだけではなく、住民情報業務全般に関して取得するのがふつうのようです。そりゃそうですよね。

セキュリティホール memo - 2005.04

■ SYM05-007: Symantec AntiVirus RAR archive bypass (Symantec, 2005.04.28)

2005.04.30 追記:

■ Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り (ITmedia, 2005.04.28)

2005.05.02 追記:

■ Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023) (Microsoft, 2005.04.13)

■ MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022) (Microsoft, 2005.04.13)

■ Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021) (Microsoft, 2005.04.13)

■ SNS Advisory No.80: nProtect:Netizen Arbitrary File Download Vulnerability (LAC SNS, 2005.04.25)

■ いろいろ (various)

■ メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合 (読売, 2005.04.23)

2005.04.24 追記:

2005.04.24 22:53 追記:

2005.04.25 追記:

2005.04.26 追記:

2005.04.26 深夜 追記:

2005.04.27 追記:

2005.04.28 追記:

2005.05.01 追記:

2005.06.27 追記:

■ Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020) (Microsoft, 2005.04.13)

■ いろいろ (various)

2005.05.11 追記:

■ TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019) (Microsoft, 2005.04.13)

2005.04.21 追記:

2005.04.26 追記:

2005.04.27 追記:

2005.05.17 追記:

2005.05.20 追記:

2005.05.26 追記:

2005.06.15 追記:

2005.06.17 追記:

■ 電子申請 行政ソフトに不具合 (NHK, 2005.04.20)

2005.05.03 追記:

■ Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018) (Microsoft, 2005.04.13)

2005.04.27 追記:

2005.05.27 追記:

■ Mac OS X 10.3.9 Update のセキュリティコンテンツについて (Apple, 2005.04.12)

■ メッセージ キューの脆弱性により、コードが実行される (892944) (MS05-017) (Microsoft, 2005.04.14)

2005.04.21 追記:

■ mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ (interrupted train, 2005.04.20)

2005.04.21 追記:

2005.04.25 追記:

2005.04.27 追記:

2005.05.01 追記:

■ RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース (RealNetworks, 2005.04.19)

■ [Full-disclosure] iDEFENSE Security Advisory 04.18.05: McAfee Internet Security Suite 2005 Insecure File Permission Vulnerability (iDEFENSE, Tue, 19 Apr 2005 07:08:20 +0900)

2005.04.19 追記:

■ いろいろ (various)

■ FreeBSD-SA-05:04.ifconf - Kernel memory disclosure in ifconf() (FreeBSD-announce-jp, 2005.04.15)

■ Stable CVS Version 1.11.20 Released! * Security Update * (cvshome.org, 2005.04.18)

■ Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016) (Microsoft, 2005.04.13)

■ VULNERABILITY OF FIRST-GENERATION DIGITAL CERTIFICATES Rev 1.1 AND POTENTIAL FOR PHISHING ATTACKS AND CONSUMER FRAUD (GeoTrust, 2005.04.12)

■ 三つの致命的欠陥を修正したFirefox 1.0.3とMozilla 1.7.7リリース (slashdot.jp, 2005.04.16)

■ いろいろ (various)

■ OpenOffice.org1.1.4ヒープ・オーバーフローの脆弱性対策 (OOoWiki, 2005.04.14)

■ 890830 - The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Server 2003, Windows XP, or Windows 2000 (Microsoft, 2005.04.13)

■ JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (JVN, 2005.04.14)

2005.04.18 追記:

■ EZ番号 (サブスクライバ ID) の通知設定機能追加について (au, 2005.04.04)

■ Critical Patch Update - April 2005 (oracle, 2005.04.12)

2005.04.14 追記:

2005.04.19 追記:

■ NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads (UNIRAS, 2005.04.13)

2005.04.21 追記:

2005.05.06 追記:

2005.05.20 追記:

■ 2005 年 4 月のセキュリティ情報 (Microsoft, 2005.04.13)

2005.04.14 追記:

2005.04.20 追記:

2005.04.27 追記:

2005.05.19 追記:

■ MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開 (Internet Watch, 20005.04.12)

2005.04.21 追記:

2005.10.04 追記:

■ SIG^2 G-TEC - AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities (SIG^2 G-TEC, 2005.04.07)

■ MPSB05-02 - Workaround available for ColdFusion MX 6.1 Updater file disclosure (Macromedia, 2005.04.07)

■ Critical Patch Updates and Security Alerts (oracle, 2005.04.08)

■ マイクロソフトセキュリティ情報の事前通知 (Microsoft, 2005.04.08)

■ CISCO 方面 (CISCO, 2005.04.07)

■ SYM05-007: Symantec AntiVirus RAR archive bypass
(Symantec, 2005.04.28)

■ Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り
(ITmedia, 2005.04.28)

■ Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023)
(Microsoft, 2005.04.13)

■ MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)
(Microsoft, 2005.04.13)

■ Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021)
(Microsoft, 2005.04.13)

■ SNS Advisory No.80: nProtect:Netizen Arbitrary File Download Vulnerability
(LAC SNS, 2005.04.25)

■ いろいろ
(various)

■ メディア・ＪＲなどＬＡＮ障害、ウイルス対策で不具合
(読売, 2005.04.23)

2005.04.26 深夜追記:

■ Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)
(Microsoft, 2005.04.13)

■ いろいろ
(various)

■ TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
(Microsoft, 2005.04.13)

■ 電子申請行政ソフトに不具合
(NHK, 2005.04.20)

■ Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
(Microsoft, 2005.04.13)

■ Mac OS X 10.3.9 Update のセキュリティコンテンツについて
(Apple, 2005.04.12)

■ メッセージキューの脆弱性により、コードが実行される (892944) (MS05-017)
(Microsoft, 2005.04.14)

■ mixiにCSRF脆弱性「ぼくはまちちゃん！」トラップ
(interrupted train, 2005.04.20)

■ RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2005.04.19)

■ [Full-disclosure] iDEFENSE Security Advisory 04.18.05: McAfee Internet Security Suite 2005 Insecure File Permission Vulnerability
(iDEFENSE, Tue, 19 Apr 2005 07:08:20 +0900)

■ いろいろ
(various)

■ FreeBSD-SA-05:04.ifconf - Kernel memory disclosure in ifconf()
(FreeBSD-announce-jp, 2005.04.15)

■ Stable CVS Version 1.11.20 Released! * Security Update *
(cvshome.org, 2005.04.18)

■ Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016)
(Microsoft, 2005.04.13)

■ VULNERABILITY OF FIRST-GENERATION DIGITAL CERTIFICATES Rev 1.1 AND POTENTIAL FOR PHISHING ATTACKS AND CONSUMER FRAUD
(GeoTrust, 2005.04.12)

■ 三つの致命的欠陥を修正したFirefox 1.0.3とMozilla 1.7.7リリース
(slashdot.jp, 2005.04.16)

■ いろいろ
(various)

■ OpenOffice.org1.1.4ヒープ・オーバーフローの脆弱性対策
(OOoWiki, 2005.04.14)

■ 890830 - The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Server 2003, Windows XP, or Windows 2000
(Microsoft, 2005.04.13)

■ JVN#9ADCBB12: 携帯電話端末における特定 QR コードを使用したサイト接続時の問題
(JVN, 2005.04.14)

■ EZ番号 (サブスクライバ ID) の通知設定機能追加について
(au, 2005.04.04)

■ Critical Patch Update - April 2005
(oracle, 2005.04.12)

■ NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads
(UNIRAS, 2005.04.13)

■ 2005 年 4 月のセキュリティ情報
(Microsoft, 2005.04.13)

■ MicrosoftのJetデータベースエンジンに脆弱性、攻撃コードもすでに公開
(Internet Watch, 20005.04.12)

■ SIG^2 G-TEC - AN HTTPD Server cmdIS.DLL Buffer Overflow and LogFile Arbitrary Character Injection Vulnerabilities
(SIG^2 G-TEC, 2005.04.07)

■ MPSB05-02 - Workaround available for ColdFusion MX 6.1 Updater file disclosure
(Macromedia, 2005.04.07)

■ Critical Patch Updates and Security Alerts
(oracle, 2005.04.08)

■ マイクロソフトセキュリティ情報の事前通知
(Microsoft, 2005.04.08)

■ CISCO 方面
(CISCO, 2005.04.07)

■ ネットを蝕むのはフィッシングだけじゃない、DDoS攻撃も「高度なものだけで1日60件」
(日経 IT Pro, 2005.04.06)

■ iDEFENSE Security Advisory 04.05.05: Computer Associates eTrust Intrusion Detection System CPImportKey DoS
(iDEFENSE, 2005.04.05)

■ iDEFENSE Security Advisory 03.31.05: PHP getimagesize() Multiple Denial of Service Vulnerabilities
(iDEFENSE, 2005.03.31)

■ FreeBSD 関連
(various)

■ Adobe Reader／Acrobatにセキュリティ・ホール，ハングアップさせられる恐れあり
(日経 IT Pro, 2005.04.04)

■ March 2005 DNS Poisoning Summary
(SANS ISC, 2005.03.03～)