セキュリティホール memo - 2012.10

Last modified: Wed Jan 30 16:52:32 2013 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.10.31


2012.10.30

New Project Basecamp Tools for CoDeSys, 200+ Vendors Affected
(Digital Bond, 2012.10.25)

 Digital Bond が新たなツールを公開。3S CoDeSys 上で無認証で動作するシェル codesys-shell.py とファイル転送ツール Codesys-transfer.py。 詳細は Project Basecamp: 3S CoDeSys (Digital Bond) を参照。

追記

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因


2012.10.29

いろいろ (2012.10.29)
(various)

追記

Firefox 16.0 / 10.0.8 ESR 公開

 Firefox 16.0.2 / 10.0.10 ESR、SeaMonkey 2.13.2 が公開されています。 MFSA 2012-90: Fixes for Location object issues が修正されています。Thunderbird 16.0.2 / 10.0.10 ESR も間もなく公開されるはずです。


2012.10.28

[exim-announce] Exim 4.80.1 Security Release
(Exim.org, 2012.10.26)

 Exim 4.70 〜 4.80 に欠陥。Exim を DKIM サポートあり (デフォルト: 有効) で作成した場合に欠陥があり、remote から任意のコードを実行できる。CVE-2012-5671

 DKIM サポートなし (DISABLE_DKIM) で作成した場合には欠陥はない。また、 acl_smtp_connect や acl_smtp_rcpt の ACL の最初に warn control = dkim_disable_verify と設定することで回避できる。

 Exim 4.80.1 で修正されている。

2012.11.01 追記:

 関連:

JVNVU#268267: 複数の DomainKeys Identified Mail (DKIM) 実装に問題
(JVN, 2012.10.25)

 複数の DKIM 実装において、RFC6376 に違反する事例がみつかった。

 VU#268267 では Google、Microsoft、Yahoo および OpenDKIM の名が挙げられている。 Google、Microsoft、Yahoo は修正されている模様。 OpenDKIM は 2.6.8 あるいは 2.7.0 以降で対応されている。 関連:

2012.12.10 追記:

 Monthly Research 「数学者の暗号破りに見る "暗号の強さ" の重要性」 (FFRI BLOG, 2012.12.06)。

追記

commと同じような『恐ろしい利用規約(?)』の有名サービスまとめ


2012.10.26


2012.10.25

追記

commと同じような『恐ろしい利用規約(?)』の有名サービスまとめ

 つづき:

  • 「投稿を監視?」不安の声受けDeNAが通話アプリ「comm」規約改定 (Internet Watch, 2012.10.24)

     誤解を招く表現があったとされるのは、改訂前の会員規約6条3項。「当社は、すべてのcomm会員記述情報を無償で複製しその他あらゆる方法により利用し、また、第三者に利用させることが出来るものとします」という文言だ。一部のユーザーから、通信の秘密を侵害するのではないかという指摘があった。

     こうした声を受けDeNAは23日夕方、「トーク/無料通話におけるお客様同士のやりとりについて、運営側での監視・閲覧などの行為は行っておりません。トークルームのやりとり内容については、暗号化して通信を行っており運営者/第三者ともに内容を閲覧する事はありません」といったお知らせを公開。さらに翌24日深夜0時には、会員規約に誤解を招く表現があったとして、以下のように規約を改定した。
  • commが削除した「サービスに利用していなかった14個のアクセス許可」まとめ (情報科学屋さんを目指す人のメモ, 2012.10.25)。そんなに?!

    全14個の、以下のアクセス許可が削除されていたことがわかりました。

    ・アカウント認証システムとして機能
    ・アカウントの認証情報を使用
    ・MMS の受信
    ・SMS または MMS の編集
    ・カレンダーの予定と機密情報の読み取り
    ・単語リストの読み取り
    ・カレンダーの予定の追加、変更とゲストへのメール送信(所有者への通知を行わない)
    ・連絡先データの書き込み
    ・単語リストへの書き込み
    ・電池統計情報の変更
    ・プロフィールデータの読み取り
    ・ソーシャルストリームを読む
    ・プロフィールデータへの書き込み
    ・ソーシャルストリームに書く

2012.10.24

APSB12-23: Security update available for Adobe Shockwave Player
(Adobe, 2012.10.23)

 Shockwave Player 11.6.8.638 登場。任意のコードの実行を招く 6 件の欠陥が修正されている。Priority Rating は 2。ramsy さん情報ありがとうございます。 CVE-2012-4172 CVE-2012-4173 CVE-2012-4174 CVE-2012-4175 CVE-2012-4176 CVE-2012-5273

 抄訳版: APSB12-23: Adobe Shockwave Player に関するセキュリティアップデート公開 (Adobe, 2012.10.23)


2012.10.23

commと同じような『恐ろしい利用規約(?)』の有名サービスまとめ
(NAVER まとめ, 2012.10.23)

 ハイ、いかがでしたか。いやぁ怖いですねぇ、恐しいですねぇ (声: 淀川長治)。

 関連: 『comm』で告白しちゃダメ?高木浩光先生のファーストインプレッション (NAVER まとめ, 2012.10.23)

2012.10.25 追記:

 つづき:

2012.10.28 追記:

 関連: commの規約問題から考える事業者によるデータ取得・利用とユーザの同意 (Footprints, 2012.10.27)

いろいろ (2012.10.23)
(various)

.gov を含む URL を悪用するスパム
(シマンテック, 2012.10.22)

 1.usa.gov ドメインのひみつ。

USA.gov は、利用者の多い URL 短縮サービスである bitly.com と USA.gov を組み合わせた結果として生成されます。.gov または .mil で終わる URL を bitly サービスで短縮すると、誰が実行しても、信頼性のある 1.usa.gov という URL が返されます

 これと、.gov 上で稼働されているリダイレクタをこのように併用することで、任意のサイトを指し示す 1.usa.gov な URL を生成し、spam に利用したと。

追記

APPLE-SA-2012-09-19-3 Safari 6.0.1

Encryption found insufficient in many Android apps


2012.10.22


2012.10.21

Encryption found insufficient in many Android apps
(H Security, 2012.10.19)

 Why Eve and Mallory Love Android: An Analysis of Android SSL (In)SecurityPDF (uni-hannover.de)。Google Play に掲載されている、SSL/TLS を使用する 13,500 の人気のあるフリーアプリについて調べたところ、8% (1074) のアプリから、MITM 攻撃を受ける欠陥が見つかったそうで。

2012.10.23 追記:

 Androidアプリの多くに深刻なSSL脆弱性——中間者攻撃のおそれ  研究者チーム、「Google Play」人気無料アプリ100本のうち41本に脆弱性を指摘 (ComputerWorld.jp, 2012.10.23)


2012.10.19

追記

Oracle Java SE Critical Patch Update Advisory - October 2012

 Mac OS X 10.6 / 10.7 用 Java SE 6 Update 37 も出ました: About the security content of Java for Mac OS X 10.6 Update 11 and Java for OS X 2012-006 (Apple, 2012.10.16)。

2012.10.19 追記:

 Java for OS X 2012-006 (Mac OS X 10.7 以降用) では、単に Java SE 6 Update 37 に更新するだけでなく、 全ての Web ブラウザから Java アプレットプラグインを削除するそうで。 必要な人は、改めて Oracle から Java アプレットプラグインをインストールする必要がある。その場合、Java SE 7 が新たにインストールされ、Java アプレットはその上で動作する。


2012.10.18

追記

Oracle Java SE Critical Patch Update Advisory - October 2012

 Mac OS X 10.6 / 10.7 用 Java SE 6 Update 37 も出ました: About the security content of Java for Mac OS X 10.6 Update 11 and Java for OS X 2012-006 (Apple, 2012.10.16)。


2012.10.17

Oracle Critical Patch Update Advisory - October 2012
(Oracle, 2012.10.16)

 Oracle 製品いろいろ更新。Oracle データベースは 5 件、VirtualBox は 1 件、MySQL は 14 件のセキュリティ欠陥が修正されている。

Oracle Java SE Critical Patch Update Advisory - October 2012
(Oracle, 2012.10.16)

 Java SE 7u9、Java SE 6 Update 37、JavaFX 2.2.3 公開。計 30 件の欠陥が修正されている。CVE-2012-1531 CVE-2012-1532 CVE-2012-1533 CVE-2012-3143 CVE-2012-3159 CVE-2012-3216 CVE-2012-4416 CVE-2012-5067 CVE-2012-5068 CVE-2012-5069 CVE-2012-5070 CVE-2012-5071 CVE-2012-5072 CVE-2012-5073 CVE-2012-5074 CVE-2012-5075 CVE-2012-5076 CVE-2012-5077 CVE-2012-5078 CVE-2012-5079 CVE-2012-5080 CVE-2012-5081 CVE-2012-5082 CVE-2012-5083 CVE-2012-5084 CVE-2012-5085 CVE-2012-5086 CVE-2012-5087 CVE-2012-5088 CVE-2012-5089

 ダウンロード

2012.10.18 追記:

 Mac OS X 10.6 / 10.7 用 Java SE 6 Update 37 も出ました: About the security content of Java for Mac OS X 10.6 Update 11 and Java for OS X 2012-006 (Apple, 2012.10.16)。

2012.10.19 追記:

 Java for OS X 2012-006 (Mac OS X 10.7 以降用) では、単に Java SE 6 Update 37 に更新するだけでなく、 全ての Web ブラウザから Java アプレットプラグインを削除するそうで。 必要な人は、改めて Oracle から Java アプレットプラグインをインストールする必要がある。その場合、Java SE 7 が新たにインストールされ、Java アプレットはその上で動作する。

2012.11.13 追記:

 2012年10月に公開されたJRE / JDKの脆弱性を悪用する攻撃を確認 (IBM ISS, 2012.11.12)

2012.11.14 追記:

 関連:

2013.01.30 追記:

 Oracle Java SE JDK7およびJRE7のMethodHandleクラスの脆弱性により任意のコードを実行される脆弱性(CVE-2012-5088)に関する検証レポート (NTTデータ先端技術, 2013.01.28)


2012.10.16

いろいろ (2012.10.16)
(various)


2012.10.15

Microsoft 2012 年 10 月のセキュリティ情報
(Microsoft, 2012.10.10)

 7 件。

MS12-064 - 緊急: Microsoft Word の脆弱性により、リモートでコードが実行される (2742319)

  • Word PAPX セクション破損の脆弱性 - CVE-2012-0182

    Word 2007 の欠陥。Word ファイルの処理に欠陥があり、攻略 Word ファイルを開くと任意のコードが実行される。Exploitability Index: 1

  • RTF ファイル listid の 解放後使用 (Use-After-Free) の脆弱性 - CVE-2012-2528

    Word 2003 / 2007 / 2010、Word Viewer、Office 互換機能パック、SharePoint Server 2010 上の Word Automation Services、Office Web Apps 2010 に欠陥。 RTF ファイルの処理に欠陥があり、攻略 RTF ファイルを開いたりプレビューしたりすると任意のコードが実行される。 Word 2007 / 2010 が「緊急」扱いになっている。Exploitability Index: 1

MS12-065 - 重要: Microsoft Works の脆弱性により、リモートでコードが実行される (2754670)

 Works 9 に欠陥。Word ファイルの処理に欠陥があり、攻略 Word ファイルを開くと任意のコードが実行される。Exploitability Index: 2

MS12-066 - 重要: HTML のサニタイズ コンポーネントの脆弱性により、特権が昇格される (2741517)

 InfoPath 2007 / 2010、Communicator 2007、Lynx 2010、SharePoint Server 2007 / 2010、Groove Server 2010、SharePoint Services 3.0、SharePoint Foundation 2010、Office Web Apps 2010 に欠陥。HTML 文字列をサニタイズする方法に欠陥があり、攻略 URL をユーザがクリックしたり、攻略チャットメッセージをユーザが閲覧すると、悪意あるスクリプトが実行ざれる。Exploitability Index: 1。 CVE-2012-2520

MS12-067 - 重要: FAST Search Server 2010 for SharePoint の解析の脆弱性により、リモートでコードが実行される (2742321)

 Oracle Outside In ライブラリの件。更新プログラムの中身は Oracle Outside In ライブラリの更新。Exploitability Index: 1。 Oracle Critical Patch Update Advisory - July 201 も参照。

MS12-068 - 重要: Windows カーネルの脆弱性により、特権が昇格される (2724197)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Windows カーネルに欠陥があり、local user による権限上昇が可能。 Windows 8 / Server 2012 にこの欠陥はない。Exploitability Index: 3。 CVE-2012-2529

MS12-069 - 重要: Kerberos の脆弱性により、サービス拒否が起こる (2743555)

 Windows 7 / Server 2008 R2 に欠陥。Kerberos 実装に欠陥があり、 攻略セッションによって DoS 攻撃を受ける。Exploitability Index: 3。 CVE-2012-2551

MS12-070 - 重要: SQL Server の脆弱性により、特権が昇格される (2754849)

 SQL Server 2005 SP4 / 2008 / 2008 R2 SP1 / 2012 に欠陥。 SQL Server Report Manager に折り返し型 XSS 欠陥があり、 標的ユーザが攻略 Web ページを閲覧すると SQL Server Reporting Services (SSRS) サイト上で任意のコマンドが実行される。Exploitability Index: 1。 CVE-2012-2552

 この欠陥は SQL Server 2005 SP5 / 2008 R2 SP2 には存在しない。

 関連:

追記

米下院、中国通信大手のHuaweiとZTEの排除を求める報告書を発表 Huaweiは反論

いろいろ (2012.09.20)

Firefox 16.0 / 10.0.8 ESR 公開


2012.10.14


2012.10.13


2012.10.12

追記

Firefox 16.0 / 10.0.8 ESR 公開

 Firefox 16.0.1 がリリースされました。リリースノートFirefox セキュリティアドバイザリ (mozilla-japan.org)

 Thunderbird 16.0.1 / 10.0.8 ESR、SeaMonkey 2.13 もリリースされています。 が、SeaMonkey 2.13 には Firefox 16 と同様の問題があるので注意。 SeaMonkey 2.13.1 を待ちましょう。


2012.10.11

いろいろ (2012.10.11)
(various)

Google Chrome Stable Channel Update
(Google, 2012.10.10)

 Chrome 22.0.1229.94 登場。Pwnium 2: results and wrap-up に対応したようです。

 関連: ティーンのハッカーがChromeのバグを見つけて賞金6万ドルを獲得(しかも二度目!) (techcrunch, 2012.10.11)

追記

米下院、中国通信大手のHuaweiとZTEの排除を求める報告書を発表 Huaweiは反論

 関連:

  • 中国Huawei、ZTEにスパイ疑惑 中国側が猛反発 (産経 / ITmedia, 2012.10.10)

  • ハッキング可能なHuawei (エフセキュアブログ, 2012.10.11)

     しかし、すべてのニュースの中で忘れられているようなのは、Huaweiが信頼できるかどうかではなく、ハッキング可能かということだ。
     DEFCONのニュースに従うなら、答えがイエス…であることは既にご存知だろう。
     つまりおそらく、ベンダにはHauweiを使用したくない、愛国度の低い別の理由がある。
     このエピソードを、Risky Businessのポッドキャストでチェックして欲しい:Risky Business #250 -- Hack it like it's 1999
     LindnerとKopfによるDEFCONでの講演のPDFもそこにある。

    愛国度の低い別の理由 = another less jingoistic reason 。

Firefox 16.0 / 10.0.8 ESR 公開

 Firefox 16、さっそくセキュリティ欠陥が見つかり、一旦公開中止になってます。

 Firefox 10.0.8 ESR や Firefox 15 にはこの欠陥はない模様。Firefox 16 ユーザは、Firefox 15.0.1 にダウングレードするか、あるいは間もなく登場する予定の Firefox 16.0.1 を待つ (待つ場合は、その間、他のブラウザを使うべきだろうなあ)。


2012.10.10

マイクロソフト セキュリティ アドバイザリ (2749655) 署名されたマイクロソフト バイナリに影響を与える互換性の問題
(Microsoft, 2012.10.10)

 Microsoft の一部のセキュリティ更新プログラムの署名に問題。 適切なタイムスタンプ属性がないため、早ければ 2012.11 にも有効期限に到達してしまう。 KB2749655 更新プログラムを適用することで回避できる。

 以下の更新プログラムについては 2012.10.10 付で再リリースされている。

MS12-053 Windows XP 用 KB723135 更新プログラム
MS12-054 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 用 KB2705219 更新プログラム
MS12-055 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 用 KB2731847 更新プログラム
MS12-058 Exchange Server 2007 SP 3 (KB2756496) / 2010 SP 1 (KB2756497) / 2010 SP 2 (KB2756485) 用更新プログラム
セキュリティ アドバイザリ 2661254 Windows XP 用 KB2661254 更新プログラム

 他にも問題のある更新プログラムがないかどうか、ひきつづき調査中の模様。関連:

ISC BIND 9に関する脆弱性について(2012年10月)
(JPNIC, 2012.10.10)

 BIND 9.x に欠陥。「ある特殊なリソースレコードの組み合わせを読み込んだ*ネームサーバに対して、 関連する問い合わせを行うとネームサーバが無応答状態になる」そうで。権威サーバとキャッシュサーバの両方に影響。 CVE-2012-5166

 BIND 9.9.2 / 9.9.1-P4、9.8.4 / 9.8.3-P4、9.7.7 / 9.7.6-P4、9.6-ESV-R8 / 9.6-ESV-R7-P4 で修正されている。また minimal-responses yes; を設定することで回避できる。

 関連:

Firefox 16.0 / 10.0.8 ESR 公開
(mozilla.org, 2012.10.09)

 Firefox 16.0 / 10.0.8 ESR が公開されました。例によってセキュリティ修正多数です。 Thunderbird 16.0 / 10.0.8 ESR、SeaMonkey 2.13 もまもなく公開されるはずです (現在はまだβ版です)。

 関連:

2012.10.11 追記:

 Firefox 16、さっそくセキュリティ欠陥が見つかり、一旦公開中止になってます。

 Firefox 10.0.8 ESR や Firefox 15 にはこの欠陥はない模様。Firefox 16 ユーザは、Firefox 15.0.1 にダウングレードするか、あるいは間もなく登場する予定の Firefox 16.0.1 を待つ (待つ場合は、その間、他のブラウザを使うべきだろうなあ)。

2012.10.12 追記:

 Firefox 16.0.1 がリリースされました。リリースノートFirefox セキュリティアドバイザリ (mozilla-japan.org)

 Thunderbird 16.0.1 / 10.0.8 ESR、SeaMonkey 2.13 もリリースされています。 が、SeaMonkey 2.13 には Firefox 16 と同様の問題があるので注意。 SeaMonkey 2.13.1 を待ちましょう。

2012.10.15 追記:

 SeaMonkey 2.13.1 および Firefox / Thunderbird 10.0.9 ESR 出ています。 Mozilla Foundation セキュリティアドバイザリ 2012-89: defaultValue のセキュリティチェックが適用されていない問題 は Firefox / Thunderbird 10.0.8 ESR にも影響していた模様です。

2012.10.29 追記:

 Firefox 16.0.2 / 10.0.10 ESR、SeaMonkey 2.13.2 が公開されています。 MFSA 2012-90: Fixes for Location object issues が修正されています。Thunderbird 16.0.2 / 10.0.10 ESR も間もなく公開されるはずです。

追記

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開

 更新プログラムが自動更新で提供されるようになった: 2012 年 10 月のセキュリティ情報 (月例) - MS12-064 〜 MS12-070 (Microsoft, 2012.10.10)

 また、Windows XP 用の KB2661254 更新プログラムが再リリースされた。 詳細は、マイクロソフト セキュリティ アドバイザリ (2749655) 署名されたマイクロソフト バイナリに影響を与える互換性の問題 (Microsoft, 2012.10.10) を参照。


2012.10.09

米下院、中国通信大手のHuaweiとZTEの排除を求める報告書を発表 Huaweiは反論
(ITmedia, 2012.10.09)

 名指しキターー。これ: Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE (合衆国下院 情報特別委員会, 2010.10.08)

 関連:

2012.10.11 追記:

 関連:

2012.10.15 追記:

 関連:

APSB12-22: Security updates available for Adobe Flash Player
(Adobe, 2012.10.08)

 Flash Player 更新版登場。buffer overflow またはメモリ破壊を引き起す、計 25 件のセキュリティ欠陥を修正。0-day なものはない模様。 しかしこのバージョンの乱立↓、なんとかならんのか……。

 あわせて AIR も更新されている。AIR 3.4.0.2710。

 CVE: CVE-2012-5248 CVE-2012-5249 CVE-2012-5250 CVE-2012-5251 CVE-2012-5252 CVE-2012-5253 CVE-2012-5254 CVE-2012-5255 CVE-2012-5256 CVE-2012-5257 CVE-2012-5258 CVE-2012-5259 CVE-2012-5260 CVE-2012-5261 CVE-2012-5262 CVE-2012-5263 CVE-2012-5264 CVE-2012-5265 CVE-2012-5266 CVE-2012-5267 CVE-2012-5268 CVE-2012-5269 CVE-2012-5270 CVE-2012-5271 CVE-2012-5272

 関連:

Google Chrome Stable Channel Update
(Google, 2012.10.08)

 22.0.1229.92 登場。5 件のセキュリティ欠陥を修正。APSB12-22 に対応し Flash も更新。


2012.10.08


2012.10.07


2012.10.05

追記

New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 スティーブ・ジョブズがGoogleを「嫌悪」したのはiOS版Googleマップのルート案内を保留したから(Bloomberg発) (techcrunch, 2012.10.04)。まぁそうなのかもしれんが、デキの悲惨さを見たら、ふつうは plan B に移行するであろ……。

APSA12-01: Upcoming Revocation of Adobe code signing certificate

 実施されました。

jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作ります

 jQuery Mobile 1.2 正式リリースされました: jQuery Mobileの新たな安定版「jQuery Mobile 1.2」リリース (sourceforge.jp, 2012.10.04)

マイクロソフト セキュリティ情報の事前通知 - 2012 年 10 月
(Microsoft, 2012.10.05)

 計 7 件。緊急 x 1、重要 x 6。緊急は Microsoft Word 2003 / 2007 / 2010 など。 重要に SQL Server や Sharepoint Server あり。

 関連: 2012 年 10 月 10 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2012.10.05)

また、2012 年 8 月 15 日にダウンロード センターで公開した「セキュリティ アドバイザリ 2661254: 証明書の鍵長の最小値に関する更新プログラム」を、月例セキュリティ情報公開の同日 (2012 年 10 月 10 日) に Microsoft Update にて配信を開始します。自動更新が有効 (既定) の場合、自動でこの更新プログラムがインストールされます。WSUS や SCCM をお使いのお客様にも配信されます。

2012.10.04

いろいろ (2012.10.04)
(various)


2012.10.03

いろいろ (2012.10.03)
(various)


2012.10.02

いろいろ (2012.10.02)
(various)

追記

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 関連:


2012.10.01

追記

WordPress 3.4.2 メンテナンスとセキュリティのリリース

APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開

 CVE-2012-1535と核弾頭 (エフセキュアブログ, 2012.09.28)。攻略ファイルに添付されたおとり文書を読んでみると、

 デコイドキュメント中に名が挙げられている人びとをLinkedInで検索すると、今度は英国にあるAWEという別の組織に到達する:
 AWEは「Atomic Weapons Establishment」を表しているようだ。

 ファイルのコンテンツには関係なく、誰が標的とされたのか、我々には分からないし、VirusTotalにこれらのドキュメントを提出したのが誰なのかも分からない。

いろいろ (2012.09.27)

 Samsung の件関連: Samsung TouchWizデバイスの脆弱性 (エフセキュアブログ, 2012.09.26)

APSA12-01: Upcoming Revocation of Adobe code signing certificate


[セキュリティホール memo]
[私について]