セキュリティホール memo - 2009.04

Last modified: Thu Apr 8 11:37:16 2010 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2009.04.30

複数のアンチウイルスソフトにおけるアーカイブファイルの扱いに関する欠陥
(Thierry Zoller, 2009.04.29)

 複数のアンチウイルスソフトにおいて、アーカイブファイルの扱いに欠陥があり、攻略アーカイブ内のファイルに対するウイルス検索が行われなかった。 この手の欠陥は、ゲートウェイ製品において特に問題となる。

2009.05.06 追記:

 多分関連:

「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください
(国立感染症研究所, 2009.04.28)

 ウイルスつきにせメールが来ているそうで。椎名さん情報ありがとうございます。

2009.05.07 追記:

 Swine Flu Spam Attempt to Infect Japanese Users (trendmicro blog, 2009.05.03) によると、トレンドマイクロでは TROJ_PIDIEF.UA および TROJ_PIDIEF.TY として検出するそうで。

 って……。サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ セキュリティ blog, 2009.04.30) だとニュアンスが異なるぞ。Swine Flu Spam Attempt to Infect Japanese Users (trendmicro blog, 2009.05.03) では

Spammed messages with the subject Warning of Swine Flu claiming to be from the National Institute of Infectious Diseases, encourages users to open an attached .ZIP file, to “learn” more about the pandemic (detection available as TROJ_PIDIEF.UA and TROJ_PIDIEF.TY). Our engineers have verified that TROJ_PIDIEF.TY drops and executes BKDR_KUPS.G.

とあるので、zip の中身が TROJ_PIDIEF.UA および TROJ_PIDIEF.TY であるように読めるのだが、サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ セキュリティ blog, 2009.04.30) では

 こうした事例は他からも寄せられています。他の事例では「.ZIP」ファイルのみならず、「.PDF」(「TROJ_PIDIEF.TY」、「TROJ_PIDIEF.UA」等)/「.DOC」などの文書ファイルを装ったウイルスもしくは、文書作成ソフトウェアの脆弱性を衝き攻撃を行うウイルスの存在を確認しています。

TROJ_PIDIEF.UA や TROJ_PIDIEF.TY はあくまで「他の事例」であり、当該 zip の中身が何なのかは全く不明だ。


2009.04.29

AutoRun changes in Windows 7
(Microsoft Security Research & Defense, 2009.04.28)

 Windows 7 RC 以降では、自動再生 / 自動実行方面に 2 点の変更があるそうで。

  1. 自動再生 (AutoPlay) において、非光学のリムーバブルメディアに対しては自動実行 (autorun) 機能をサポートしない。 このため、光学リムーバブルメディア (CD, DVD など) では autorun が機能するが、 USB メモリや USB HDD では autorun はもはや機能しなくなる。

  2. ダイアログの文言に若干の変更がなされ、autorun については Install or run program ではなく Install or run program from your media と表示されるようになった。 日本語だとどうなるんだろうね。

    これは、U3 のような、 CD/DVD-ROM としても挙動する USB メモリへの対応だそうで。

 上記の変更は、将来的には Windows XP / Vista にもなされる予定だそうで。

 関連:

追記

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability

 情報が更新されました: Update on Adobe Reader Issue (Adobe PSIRT blog, 2009.04.28)。

  • Adobe Reader / Acrobat 9.1, 8.1.4, 7.1.1 以前に影響

  • Linux 版だけでなく、Windows 版や Mac 版にも影響

  • 更新版の公開には目処は立っていない

  • JavaScript を無効に設定することで回避できる

 加えて、bid 34736 とは別の、 bid 34740: Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability (SecurityFocus, 2009.04.27) という欠陥もあるそうです。

 Two new vulnerabilities in Adobe Acrobat Reader (F-Secure blog, 2009.04.29) では 3rd party 製の PDF ソフトについても言及している。まぁ、3rd party 品にも欠陥はあるので注意は必要なのですが。


2009.04.28

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability
(SecurityFocus, 2009.04.27)

 少なくとも Adobe Reader 8.1.4 / 9.1 for Linux に未修正の欠陥。JavaScript の関数 getAnnots() に欠陥があり、これを利用すると任意のコードを実行できる模様。 PoC コードが公開されている。CVE-2009-1492

 この件について、Adobe は調査中: Potential Adobe Reader Issue (Adobe PSIRT blog, 2009.04.27)

2009.04.29 追記:

 情報が更新されました: Update on Adobe Reader Issue (Adobe PSIRT blog, 2009.04.28)。

 加えて、bid 34736 とは別の、 bid 34740: Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability (SecurityFocus, 2009.04.27) という欠陥もあるそうです。CVE-2009-1493

 Two new vulnerabilities in Adobe Acrobat Reader (F-Secure blog, 2009.04.29) では 3rd party 製の PDF ソフトについても言及している。まぁ、3rd party 品にも欠陥はあるので注意は必要なのですが。

2009.05.07 追記:

 Adobe Reader Issue Update (Adobe Product Security Incident Response Team (PSIRT), 2009.05.01)。修正版は 2009.05.12 (多分米国時間) に公開されるそうで。Windows 版の Adobe Reader / Acrobat 7.x / 8.x / 9.x、 Mac OS X 版の Adobe Reader / Acrobat 8.x / 9.x、 Unix 版の Adobe Reader 8.x / 9.x が用意される。

2009.05.13 追記:

 修正版出ました。APSB09-06: Security Updates available for Adobe Reader and Acrobat (Adobe, 2009.05.12) を参照。

2009.05.15 追記:

 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 (JPCERT/CC, 2009.05.13)

2009.06.09 追記:

 IBM ISS で CVE-2009-1492 の新たな攻撃コードを確認したそうです: Adobe Reader / Acrobatの脆弱性を狙う新たな攻撃を確認(CVE-2009-1492)【Tokyo SOC Report】 (IBM, 2009.06.08)。守屋さん情報ありがとうございます。

Firefox 3.0.10 リリースノート
(mozilla.jp, 2009.04.28)

 Firefox 3.0.10 登場。Firefox 3.0.9 に存在した「安定性に関わる重大な問題」、および MFSA 2009-23: nsTextFrame::ClearTextRun() におけるクラッシュ を修正。CVE-2009-1313。高橋さん情報ありがとうございます。

 いまどきの Microsoft なら、こういうレベルの品質問題は発生しないんですけどね。


2009.04.27


2009.04.26

追記

グーグル、「Chrome」の重大なセキュリティホールを修正

 CVE-2009-1340 じゃなくて CVE-2009-1412 のようだ。Stable Update: Security Fix (Google Chrome Releases, 2009.04.23) には CVE-2009-1340 って書いてあるんだがなあ。

いろいろ (2009.04.26)
(various)


2009.04.25


2009.04.24

グーグル、「Chrome」の重大なセキュリティホールを修正
(ZDNet, 2009.04.24)

 この件: Stable Update: Security Fix (Google Chrome Releases, 2009.04.23)。1.0.154.59 において、 CVE-2009-1340: ChromeHTML protocol handler same-origin bypass が修正されている。

 Google Chrome をインストールした PC において、利用者が攻略 Web ページを IE で参照すると、攻撃者は Google Chrome を起動し、複数のタブを開き、攻撃者が選んだ URL を開いてスクリプトを実行できる。

2009.04.26 追記:

 CVE-2009-1340 じゃなくて CVE-2009-1412 のようだ。Stable Update: Security Fix (Google Chrome Releases, 2009.04.23) には CVE-2009-1340 って書いてあるんだがなあ。


2009.04.23

「OAuth」プロトコルに脆弱性--Twitterがサポートを一時停止
(ZDNet, 2009.04.23)

 OAuth に欠陥。特定の実装にではなく、プロトコルそのものに欠陥があり、対応が検討されている模様。 今のところ、この欠陥を悪用された形跡は存在しないものの、Twitter は一時的に OAuth のサポートを停止している模様。 関連:

2009.11.16 追記:

 プロトコルバージョン 1.0a で直ったみたい。

ニュージーランドの著名なサイトのDNSレコードがハイジャックされる
(ZDNet, 2009.04.22)

 Domainz.net というレジストラの Web アプリがクラックされた結果、 .nz ドメイン下の複数のドメイン情報が書きかえられ、本来とは異なるサイトに誘導されてしまった話。 Microsoft.co.nz、SONY.co.nz といった著名サイト、F-Secure.co.nz などのセキュリティサイトにも影響があったそうで。 当該 Web アプリには SQL インジェクション欠陥が存在したのだそうで。

 小山さん情報ありがとうございます。

Firefox 3.0.9 リリースノート
(mozilla.jp, 2009.04.23)

 Firefox 3.0.9 登場。9 件の欠陥が修正されている。欠陥のいくつかは SeaMonkey および Thunderbird にも影響するが、 修正予定の立っていない欠陥が複数存在する。

アドバイザリ、CVE 概要 Thunderbird 修正版 Seamonkey 修正版 特記事項
MFSA 2009-22
CVE-2009-1312
Refresh ヘッダによる javascript: URI へのリダイレクト - 未定
MFSA 2009-21
CVE-2009-1311
埋め込みフレームを含む Web ページを保存する際、POST データが異なるサイトに送信される - 1.1.17
MFSA 2009-20
CVE-2009-1310
悪質な検索プラグインによって任意のサイトにコードが注入される - -
MFSA 2009-19
CVE-2009-1309
XMLHttpRequest と XPCNativeWrapper.toString を通じた同一生成元違反 未定 未定 JavaScript を無効にすれば回避できる。Thunderbird のデフォルト設定では JavaScript は無効にされている。
MFSA 2009-18
CVE-2009-1308
サードパーティのスタイルシートと XBL バインディングを用いた XSS 攻撃 未定 未定 JavaScript を無効にすれば回避できる。Thunderbird のデフォルト設定では JavaScript は無効にされている。
MFSA 2009-17
CVE-2009-1307
Adobe Flash が view-source: スキーマを通じて読み込まれる際の同一生成元違反 未定 未定 JavaScript を無効にすれば回避できる。Thunderbird のデフォルト設定では JavaScript は無効にされている。
MFSA 2009-16
CVE-2009-1306
jar: スキーマによって内部 URI に指定された content-disposition: ヘッダが無視され、コンテンツがインラインで展開されてしまう 未定 未定
MFSA 2009-15
CVE-2009-0652
Unicode 罫線文字を使って URL を偽装できる 2.0.0.21 1.1.15 国際化ドメイン名 (IDN) ねた
MFSA 2009-14
CVE-2009-1302
CVE-2009-1303
CVE-2009-1304
CVE-2009-1305
メモリ破壊の形跡があるクラッシュ (rv:1.9.0.9) 2.0.0.22 1.1.16 現時点では、JavaScript を無効にすれば回避できると考えられている。Thunderbird のデフォルト設定では JavaScript は無効にされている。

2009.04.22

追記

Microsoft 2009 年 4 月のセキュリティ情報

 MS09-014 patch に含まれる、非セキュリティな修正: After you install security update 956390, Internet Explorer stops responding when you click an image to remove it (Microsoft KB 969234)


2009.04.21

追記

Microsoft 2009 年 4 月のセキュリティ情報

 MS09-014 発見者のサイト: MS09-014: EMBED element memory corruption (Skylined, 2009.04.19)。 milw0rm

 Monthly Security Bulletin Webcast Q&A - April 2009 (MSRC blog, 2009.04.20) が出てました。


2009.04.20

いろいろ (2009.04.20)
(various)


2009.04.19

いろいろ (2009.04.19)
(various)


2009.04.18

Poken/セキュリティ上のご注意 - オートログインはoff、でね。
(tech tech okdt, 2009.04.18)

 Poken というものがあるのですか。 岡田さん情報ありがとうございます。

追記

Microsoft Excel に 0-day 欠陥か

マイクロソフト セキュリティ アドバイザリ (960906) Microsoft ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される

Safari Carpet Bomb

 MS09-015 - 警告: SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) (Microsoft, 2009.04.15) および MS09-014 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) (Microsoft, 2009.04.15) で修正されました。ただし、最大の防御を得るためには、patch 適用後に、さらにレジストリ設定を行う必要があります。単なる修正だけでなく、SetSearchPathMode という新たな API が実装されたためです。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLESEARCHPATH_KB963027]
"iexplore.exe"=dword:00000000

 IE において SetSearchPathMode API を有効にするには、上記を regedit.exe /s ファイル名 で設定します。

 のですが、Windows 2000 の場合は、そもそも SetSearchPathMode API を実装できないのだそうで。 かわりに……と言ってはあれですが、 SafeDllSearchMode を使えばある程度のことはできるようで。でもこれ、Windows XP SP2 ではデフォルト有効になっているわけで、つまりはその程度のレベルってことだよね……。

 あと、MS09-015 の副作用として、KB959426 には「XSI 5.0 application does not load correctly」 という話が掲載されています。対応方法も記載されています。

マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる

 MS09-012 - 重要: Windows の脆弱性により、特権が昇格される (959454) で遂に修正された。MS09-012: Fixing “Token Kidnapping” (Microsoft Security Research & Defense blog, 2009.04.14) も参照。

In the upcoming release of Windows 7 and Windows Server 2008 R2 systems, a new feature named Managed Service Accounts (http://technet.microsoft.com/en-us/library/dd367859.aspx) has been introduced which creates a more streamlined and flexible solution to the issues surrounding service isolation. It provides for services, which have opted to use the feature, the ability to run as a separate account which remotely authenticates with a managed domain SPN. It also provides seamless and automatic password management, similar to the computer account, which frees up time that administrators would previously have used to update user account passwords for these services. You can read more about creating Managed Service Accounts here http://technet.microsoft.com/en-us/library/dd548356.aspx.

Microsoft 2008 年 10 月のセキュリティ情報

 How Conficker makes use of MS08-067? (milw0rm, 2009.04.14)


2009.04.17

Microsoft 2009 年 4 月のセキュリティ情報
(日本のセキュリティチーム, 2009.04.15)

 2009 年 4 月のセキュリティ情報 (Microsoft) が本家ですが、日本のセキュリティチームからの情報の方が、要所がまとまっている感じ。ただし、 Exploitability Index の情報は本家を見ないとわからない。 あと、Prioritizing the deployment of the April security bulletins (Microsoft Security Research & Defense blog, 2009.04.14) の表もわりといい感じ。

2009.04.21 追記:
 Monthly Security Bulletin Webcast Q&A - April 2009 (MSRC blog, 2009.04.20) が出てました。

MS09-009 - 緊急: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)

 Excel 2000 / 2002 (XP) / 2003 / 2007、Excel Viewer、Excel Viewer 2003、Office 2004 / 2008 for Mac、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックに 2 つの欠陥。

  • メモリの破損の脆弱性 - CVE-2009-0100。Exploitability Index: 2

    Excel スプレッドシートファイル形式の処理に欠陥があり、 攻略 Excel ファイルによって任意のコードを実行できる。

  • メモリの破損の脆弱性 - CVE-2009-0238。Exploitability Index: 1

    Excel スプレッドシートファイル形式の処理に欠陥があり、 攻略 Excel ファイルによって任意のコードを実行できる。 Microsoft Excel に 0-day 欠陥か の件。

MS09-010 - 緊急: ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)

 Windows 2000 / XP / Server 2003、Word 2000 / 2002 (XP)、Office Converter Pack に 4 つの欠陥。いずれもファイル形式コンバーターにまつわる欠陥。

 ACL を設定しコンバーターを無効化することで、欠陥を回避できる。 詳細については MS09-010、あるいは MS09-010: Reducing the text converter attack surface (Microsoft Security Research & Defense blog, 2009.04.14) を参照。

 修正プログラムを適用すると、ワードパッドは Word 6.0 ファイルおよび Write ファイルを開けなくなる。再び開けるようにしたい場合は、KB960477 に示されている手順を実施すること。

MS09-011 - 緊急: Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)

 DirectX 8.1 / 9.0 に欠陥。DirectShow におけるファイル処理に欠陥があり、 攻略 MJPEG ファイル、あるいは攻略 MJPEG が埋め込まれた AVI などのファイルによって任意のコードを実行できる。 CVE-2009-0084。 Exploitability Index: 2

MS09-012 - 重要: Windows の脆弱性により、特権が昇格される (959454)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 に 4 つの欠陥。 権限上昇を招く欠陥があり、local user が管理者権限を取得できる。 全てについて Exploitability Index: 1

  • Windows MSDTC のサービスの分離の脆弱性 - CVE-2008-1436

  • Windows WMI のサービスの分離の脆弱性 - CVE-2009-0078

  • Windows RPCSS のサービスの分離の脆弱性 - CVE-2009-0079

  • Windows ThreadPool ACL の弱点の脆弱性 - CVE-2009-0080

以上は、実は全て、 マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われるの件。 Token Kidnapping の件と言った方がいいか。 MS09-012: Fixing “Token Kidnapping” (Microsoft Security Research & Defense blog, 2009.04.14) も参照。

In the upcoming release of Windows 7 and Windows Server 2008 R2 systems, a new feature named Managed Service Accounts (http://technet.microsoft.com/en-us/library/dd367859.aspx) has been introduced which creates a more streamlined and flexible solution to the issues surrounding service isolation. It provides for services, which have opted to use the feature, the ability to run as a separate account which remotely authenticates with a managed domain SPN. It also provides seamless and automatic password management, similar to the computer account, which frees up time that administrators would previously have used to update user account passwords for these services. You can read more about creating Managed Service Accounts here http://technet.microsoft.com/en-us/library/dd548356.aspx.

MS09-013 - 緊急: Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 の Windows HTTP Services (WinHTTP) に 3 つの欠陥。

  • Windows HTTP サービスの整数アンダーフローの脆弱性 - CVE-2009-0086。 Exploitability Index: 1

    Web サーバからの戻り値の検証が不十分なために integer underflow が発生、攻略 Web サーバが任意のコードを実行できる。 こういう攻撃が考えられるそうだ:

    ユニバーサル プラグ アンド プレイ (UPnP) サービスが WinHTTP ライブラリを使用していることに注意してください。このサービスを有効にすると、ローカル サブネットの悪質なユーザーが SSDP リクエストに応答し、WinHTTP を使用して UPnP サービスを悪質なホストに接続させ、この脆弱性を悪用する可能性があります。 この UPNP サービスは、システムで制限された特権を持つアカウントである LocalService アカウントで実行します。

    bid 34435 によると、Immunity CANVAS で商用 exploit が公開されているそうだが、 この欠陥に対する exploit は容易に作成できる模様。

  • Windows HTTP サービスの証明書名の不一致の脆弱性 - CVE-2009-0089。 Exploitability Index: 1

    Web サイトのサーバ証明書の検証が不十分なため、ニセサイトをニセだと判断できないことがある。 2009 年 4 月のセキュリティ情報 では「悪用ツールが公開されました」 とあるが、 Microsoft Security Bulletin Summary for April 2009 からは 2009.04.16 付 (V1.1) で削除されている。

  • Windows HTTP サービスの資格情報の反映の脆弱性 - CVE-2009-0550。Exploitability Index: 1

    MS08-068 における SMB への対応、MS08-076 における Windows Media への対応にひきつづき、 WinHTTP における NTLN redential reflection attack への対応。 MS09-013 and MS09-014: NTLM Credential Reflection Updates for HTTP clients (Microsoft Security Research & Defense blog, 2009.04.14) も参照。

MS09-014 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)

 IE 5.01 / 6 / 7 に 6 つの欠陥。

  • 複合的な脅威のリモートでコードが実行される脆弱性 - CVE-2008-2540。対象は IE 7 のみ。Exploitability Index: 3。

    Safari Carpet Bomb に関連する IE の修正。 SetSearchPathMode API の追加によって対応するため、 patch 適用後にレジストリの設定が必要。 以下を regedit.exe /s で設定する。

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLESEARCHPATH_KB963027]
    "iexplore.exe"=dword:00000000

    ただし、Windows 2000 では SetSearchPathMode API を追加できない。 そのかわりと言ってはあれだが、SafeDllSearchMode を有効にしてお茶を濁そう。

  • WinINet の資格情報の再利用の脆弱性 - CVE-2009-0550。Exploitability Index: 1

    MS08-068 における SMB への対応、MS08-076 における Windows Media への対応にひきつづき、 WinINet における NTLN redential reflection attack への対応。 MS09-013 and MS09-014: NTLM Credential Reflection Updates for HTTP clients (Microsoft Security Research & Defense blog, 2009.04.14) も参照。

  • ページの切り替えのメモリの破損の脆弱性 - CVE-2009-0551。対象は IE 6 / 7 のみ。Exploitability Index: 2

    Web ページを移動する間にメモリ破壊が発生、攻略 Web ページによって任意のコードを実行できる。

  • 初期化されていないメモリの破損の脆弱性 - CVE-2009-0552。対象は IE 5.01 / 6 のみ。Exploitability Index: 3

    初期化されていないオブジェクトや削除されたオブジェクトの扱いにおいてメモリ破壊が発生、攻略 Web ページによって任意のコードを実行できる。

  • 初期化されていないメモリの破損の脆弱性 - CVE-2009-0553。対象は IE 6 / 7 のみ。Exploitability Index: 3

    初期化されていないオブジェクトや削除されたオブジェクトの扱いにおいてメモリ破壊が発生、攻略 Web ページによって任意のコードを実行できる。

    2009.04.21 追記:
    発見者のサイト: MS09-014: EMBED element memory corruption (Skylined, 2009.04.19)。 milw0rm

  • 初期化されていないメモリの破損の脆弱性 - CVE-2009-0554。Exploitability Index: 1

    初期化されていないオブジェクトや削除されたオブジェクトの扱いにおいてメモリ破壊が発生、攻略 Web ページによって任意のコードを実行できる。

 IE 8 にはこれらの欠陥はない。

 また、上記に加えて、about: プロトコルのセキュリティ強化や MS09-010 に関連した変更 (詳細不明) が行われているそうな。

2009.04.22 追記:
MS09-014 patch に含まれる、非セキュリティな修正: After you install security update 956390, Internet Explorer stops responding when you click an image to remove it (Microsoft KB 969234)

2009.05.10 追記:
IE6 + MS09-014 patch + Microsoft Foundation Classes (MFC) ベースの ActiveX コントロールで副作用が発生する模様: Internet Explorer 6 may crash if you visit a Web site that contains an MFC ActiveX control after you install MS09-014 (Microsoft KB 971131)。これまでは問題なかったスクリプトが crash の原因になってしまう模様。回避用のコード例が紹介されている。

MS09-015 - 警告: SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 Safari Carpet Bomb に関連する修正。 CVE-2008-2540、 Exploitability Index: 2。MS09-014 と組みあわせた上で、さらにレジストリの設定が必要。 以下を regedit.exe /s で設定する。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ENABLESEARCHPATH_KB963027]
"iexplore.exe"=dword:00000000

ただし、Windows 2000 では SetSearchPathMode API を追加できない。 そのかわりと言ってはあれだが、SafeDllSearchMode を有効にしてお茶を濁そう。 設定の詳細については KB949426 を参照。

MS09-016 - 重要: Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)

 ISA 2004 / 2006、Forefront Threat Management Gateway, Medium Business Edition (TMG MBE) に 2 つの欠陥。ISA 2000 にはこの欠陥はない。

  • Web プロキシの TCP の状態の限定的なサービス拒否の脆弱性 - CVE-2009-0077。Exploitability Index: 3

    ファイアウォールエンジンにおける Web proxy や Web publishing listeners の TCP 処理に欠陥があり、remote から DoS 攻撃が可能。

  • クロスサイト スクリプティングの脆弱性 - CVE-2009-0237。Exploitability Index: 3

    HTML フォーム認証モジュールに XSS 欠陥があり、情報漏洩やなりすましの可能性が発生。

2009.07.30 追記:

 You cannot install a Windows Installer package under the Local System context on a Windows XP-based computer that has update KB956572 installed (Microsoft KB 971913)。 MS09-012 patch による副作用の hotfix があるみたい。

 The home page of Internet Explorer 7 in Windows Vista is reset after you install the cumulative security update for Internet Explorer MS09-014 (KB963027) (Microsoft KB 973926)。MS09-014 patch による副作用の hotfix があるみたい。


2009.04.16


2009.04.14


2009.04.13

追記

いろいろ (2009.02.27)


2009.04.12

[Security-announce] VMSA-2009-0006 VMware Hosted products and patches for ESX and ESXi resolve a critical security vulnerability
(VMware, 2009.04.10)

 VMware Workstation 6.5.1 以前 / Player 2.5.1 以前 / ACE 2.5.1 以前 / Server 2.0 以前 / Server 1.0.8 以前 / Fusion 2.0.3 以前、ESXi 3.5 / ESX 3.5 / ESX 3.0.[23] に欠陥。 ゲスト OS から、ホスト OS 上で任意のコードを実行できる。 CVE-2009-1244 ESX 2.5.5 にはこの欠陥はない。

 VMware Workstation 6.5.2 build 156735 などの修正版、もしくは修正 patch が提供されている。アップデートあるいは適用すればよい。

追記

APSB09-04: Security Updates available for Adobe Reader and Acrobat

 CVE-2009-0927 を狙う奴が出てきた模様。

任意のコード実行の恐れ:Firefoxに深刻な脆弱性、修正パッチ公開へ

 SeaMonkey 1.1.16 がリリースされました。 MFSA 2009-12: XSL Transformation vulnerability (CVE-2009-1169) が修正されています。


2009.04.10

いろいろ (2009.04.10)
(various)

マイクロソフト セキュリティ情報の事前通知 - 2009 年 4 月
(Microsoft, 2009.04.10)

 あぁ、今日は金曜日だったのか……。脳内情報が一日ズレてるな > 俺。

 緊急 x 5、重要 x 2、警告 x 1 の計 8 つ。 コンポーネント別では、Windows x 5、IE x 1、Excel x 1、ISA x 1。 Windows x 5 の中には、DirectX や MSDTC が含まれる。

 関連: 2009年4月のセキュリティリリース予定 (日本のセキュリティチーム, 2009.04.10)


2009.04.09

いろいろ (2009.04.09)
(various)

追記

いろいろ (2009.02.27)


2009.04.08

Common Apache Misconception
(SANS ISC, 2009.04.07)

 apache の設定ファイルで

LoadModule php4_module modules/libphp4.so
AddType application/x-httpd-php .php

としたとき、これは「.php で終るファイル」ではなく「.php を含む全てのファイル」に適用される、という話。例: foo.php.1, foo.php.bak。

追記

[JS09002] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について

 一太郎ビューアの新版 (19.0.3.0) が公開されている。19.0.2.0 に存在した、バージョン表示が旧版のままになる不具合が解消されている。

HTAを利用したワンクリックウエアの新たな手口


2009.04.07

HTAを利用したワンクリックウエアの新たな手口
(トレンドマイクロ セキュリティ blog, 2009.04.07)

 コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について (IPA, 2009.04.02) でも紹介されている、「ワンクリック不正請求」の“新たな手口”の解説と思われ。

 加えて、ウイルスバスター2009に搭載されている「システムチューナー」は、Windows起動時に自動実行される全てのプロセスを列挙・設定変更できます。

 そんな機能があるんだ。まぁ、ウイルスバスターではない人は autoruns (Microsoft) とか使えばいいと思います。

2009.04.08 追記:

 関連: 画像で見るワンクリック詐欺サイトの新たな手口  “消えない”請求画面が表示されるまで (Internet Watch, 2009.04.08)

[JS09002] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2009.04.07)

 一太郎 2009 / 2008 / 2007 / 2006 / 2005 / 文藝 / 2004 / 13、一太郎ビューア全バージョンに欠陥。「文書情報の処理」に欠陥があり、攻略文書ファイルによって任意のコードを実行できる。情報セキュリティ早期警戒パートナーシップに基づいた対応がされた模様だが、JVN や IPA からの情報発信はまだされていない模様。 ……出ました: JVN#33846134 一太郎シリーズにおけるバッファオーバーフローの脆弱性 (JVN, 2009.04.07)、 CVE-2009-4737

 修正プログラムが公開されているので適用すればよい。 一太郎 2009 体験版や一太郎ビューアについては、旧版をアンインストールし、最新版をインストールすることで対応できる。

2009.04.08 追記:

 一太郎ビューアの新版 (19.0.3.0) が公開されている。19.0.2.0 に存在した、バージョン表示が旧版のままになる不具合が解消されている。


2009.04.06


2009.04.04


2009.04.03

マイクロソフト セキュリティ アドバイザリ (969136) Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される
(Microsoft, 2009.04.03)

 PowerPoint 2000 / 2002 (XP) / 2003、Office 2004 for Mac に欠陥。 詳細は不明だが PowerPoint ファイルの処理に欠陥があり、攻略 PowerPoint ファイルによって任意のコードを実行できる。 既に攻略ファイルが出現している模様。 PowerPoint 2007 や Office 2008 for Mac にはこの欠陥はない。 CVE-2009-0556

 修正プログラムは開発中。Microsoft Office Isolated Conversion Environment (MOICE) を利用することで回避できる。関連:

2009.04.06 追記:

 関連:

2009.05.13 追記:

 MS09-017 - 緊急: Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340) (Microsoft, 2009.05.13) で対応された……と言いたいところだが、世の中は甘くなかった。

Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、Microsoft Works 8.5 または Microsoft Works 9.0 を実行しています。なぜ、これらのソフトウェアで更新プログラムが利用できないのですか?

マイクロソフトは Windows オペレーティング システムで実行している Microsoft Office のバージョンの活発な悪用のみを確認しています。この現行のセキュリティ更新プログラムは、影響を受ける可能性があるお客様の大部分を守ることができます。

現在、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、Microsoft Works 8.5 または Microsoft Works 9.0 用の更新プログラムを開発しています。マイクロソフトは、個々のリリースの高い品質を確保するためのテストを完了し次第、これらのソフトウェア用の更新プログラムを公開します。マイクロソフトは、積極的な標的型の悪用のため、このセキュリティ更新プログラムを増分的に公開しています。さらに、利用可能になり次第、これらのソフトウェア用の更新プログラムを公開します。

 現在入手できるのは Windows 版 PowerPoint 用の修正だけ。Mac 版 Office は後回しにされてしまっている。

2009.05.15 追記:

 ZDI-09-019: Microsoft Office PowerPoint OutlineTextRefAtom Parsing Memory Corruption Vulnerability (ZDI, 2009.05.12)


2009.04.02


2009.04.01


[セキュリティホール memo]
私について