セキュリティホール memo - 2013.09

Last modified: Thu May 22 15:47:57 2014 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2013.09.30

追記

いろいろ (2013.09.09)

 Researchers: Oracle’s Java Security Fails (Krebs on Security, 2013.09.04) の件、Sophos から日本語記事が出てました。


2013.09.28

追記

APSB13-21: Security updates available for Adobe Flash Player


2013.09.27

Apple がロック画面の不具合 2 件を修正する iOS 7.0.2 をリリース
(Sophos, 2013.09.27)

 About the security content of iOS 7.0.2 (Apple, 2013.09.26) の件の解説。

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

Microsoft 2013 年 9 月のセキュリティ情報

 Outlook 2013 のフォルダペーンの件、更新プログラムが公開されました。

OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について


2013.09.26

Cisco IOS 方面
(cisco, 2013.09.25)


2013.09.25

追記

JVN#62507275 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題

 NEC のステータスが「該当製品あり」に変更されました。IP38Xシリーズに影響があるそうです。 ブロードバンドルータがオープンリゾルバとして機能してしまう問題 (NEC, 2013.09.25) を参照。


2013.09.24

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

 ISC Infocon は Green に戻りました。

いろいろ (2013.09.24)
(various)


2013.09.23

Apache Struts 2 Documentation: Version Notes 2.3.15.2
(Apache, 2013.09.20)

 Apache Struts 2.3.15.2 公開。Struts 2.x に存在する 2 件のセキュリティ欠陥が修正されている。

追記

About the security content of iOS 7

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

  Operation DeputyDog: Zero-Day (CVE-2013-3893) Attack Against Japanese Targets (FireEye, 2013.09.21)。この欠陥を利用した攻撃を、日本向けの標的型攻撃において確認したそうです。

 ISC Infocon はこれを受けて Yellow になっています: Threat Level Yellow: Protection recommendations regarding Internet Explorer exploits in the wild (SANS ISC, 2013.09.20)

拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ
(日経 IT Pro, 2013.09.20)

 RSA が疑似乱数生成アルゴリズム Dual_EC_DRBG の使用中止を顧客に勧告。 RSA BSAFE や RSA Data Protection Manager において、デフォルトの疑似乱数生成アルゴリズムとして使われている模様。SecurID では使われていないみたい。

Dual_EC_DRBGは2007年に乱数生成の技術標準になった当時から、セキュリティ専門家であるブルース・シュナイアー氏によって、バックドアの埋め込みに利用される恐れがあると指摘されていた。

 The Strange Story of Dual_EC_DRBG (Schneier on Security, 2007.11.15) の件。

 関連:

2013.11.11 追記:

 JVNVU#92615138: 信頼できないパラメータを使用して生成した Dual_EC_DRBG の出力結果が推測可能な問題 (JVN, 2013.11.08)

2013.12.21 追記:

 NSAは、セキュリティー会社に金を払って欠陥暗号化アルゴリズムを使わせていた(ロイター) (techcrunch, 2013.12.21)。NSA は RSA に 1000 万ドル払ってそうさせてたと。

NSAによる暗号回避行動で暗示されて以来RSAは、欠陥アルゴリズムの使用を中止するよう同社顧客に警告してきた。当時Wall Street Journalが報じたように、こうした警告は「製品に不正侵入経路を残しておくことに米国政府が関わっている可能性を、セキュリティー会社が認めた初めての例」だった。

しかし、ReuterがNSAはRSAに1000万ドル払って欠陥アルゴリズムを使わせたと暴露したことによって話は変わってきた。NSAがある種の邪悪な黒幕で、人気のセキュリティー標準を陳腐化しようと必死になっている、と思われていたものが、実は金を使って企業に侵入していたのだから。

しかもわずかな金額で。NSAがセキュリティー会社に金を払って欠陥コードを使わせ、暗号を破りやすくしたのはこの時だけだなどと、誰が考えるだろうか。

2013.12.24 追記:

 関連:

2013.12.26 追記:

 関連:


2013.09.20

Apple 方面その他
(Apple, 2013.09.18)

 Xcode 5.0 と OS X Server v2.2.2。

U+2028/2029とDOM based XSS
(Masato Kinugawa Security Blog, 2013.09.17)

 Line separator (LS; U+2028) と Paragraph separator (PS; U+2029) の件。

ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。
これはあまり知られていないように思います。(中略) 知られていないだけでなく、知っていたとしても、スクリプトで文字列を処理するときに、U+2028/2029まで考慮する開発者がどれだけいるのかという話です。

 そうなんだ……。へぇ。関連:

JVN#62507275 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
(JVN, 2013.09.19)

 メルコも IO データもエレコムも、情報がないというのがなあ……。ここに情報があるのは、良心的な会社ということなのだろう。

2013.09.25 追記:

 NEC のステータスが「該当製品あり」に変更されました。IP38Xシリーズに影響があるそうです。 ブロードバンドルータがオープンリゾルバとして機能してしまう問題 (NEC, 2013.09.25) を参照。

About the security content of iOS 7
(Apple, 2013.09.18)

 iOS 7 公開。80 件のセキュリティ欠陥が修正されている。 CVE-2011-2391 CVE-2011-3102 CVE-2012-0841 CVE-2012-2807 CVE-2012-2825 CVE-2012-2870 CVE-2012-2871 CVE-2012-5134 CVE-2013-0879 CVE-2013-0926 CVE-2013-0957 CVE-2013-0991 CVE-2013-0992 CVE-2013-0993 CVE-2013-0994 CVE-2013-0995 CVE-2013-0996 CVE-2013-0997 CVE-2013-0998 CVE-2013-0999 CVE-2013-1000 CVE-2013-1001 CVE-2013-1002 CVE-2013-1003 CVE-2013-1004 CVE-2013-1005 CVE-2013-1006 CVE-2013-1007 CVE-2013-1008 CVE-2013-1010 CVE-2013-1012 CVE-2013-1019 CVE-2013-1025 CVE-2013-1026 CVE-2013-1028 CVE-2013-1036 CVE-2013-1037 CVE-2013-1038 CVE-2013-1039 CVE-2013-1040 CVE-2013-1041 CVE-2013-1042 CVE-2013-1043 CVE-2013-1044 CVE-2013-1045 CVE-2013-1046 CVE-2013-1047 CVE-2013-2842 CVE-2013-2848 CVE-2013-3950 CVE-2013-3953 CVE-2013-3954 CVE-2013-3955 CVE-2013-4616 CVE-2013-5125 CVE-2013-5126 CVE-2013-5127 CVE-2013-5128 CVE-2013-5129 CVE-2013-5131 CVE-2013-5134 CVE-2013-5137 CVE-2013-5138 CVE-2013-5139 CVE-2013-5140 CVE-2013-5141 CVE-2013-5142 CVE-2013-5145 CVE-2013-5147 CVE-2013-5149 CVE-2013-5150 CVE-2013-5151 CVE-2013-5152 CVE-2013-5153 CVE-2013-5154 CVE-2013-5155 CVE-2013-5156 CVE-2013-5157 CVE-2013-5158 CVE-2013-5159

2013.09.20 追記:

2013.09.23 追記:

 関連:

About the security content of iTunes 11.1
(Apple, 2013.09.18)

 iTunes 11.1 公開。Windows 版には ActiveX コントロールのセキュリティ欠陥の修正が含まれている。 CVE-2013-1035


2013.09.18

いろいろ (2013.09.18)
(various)

Firefox 24.0 / ESR 17.0.9、Thunderbird 24.0 / ESR 17.0.9、SeaMonkey 2.21 公開
(Mozilla, 2013.09.18)

 出ました。計 18 件のセキュリティ欠陥が修正されています。 (MFSA 2013-65 については、Firefox 23.0 / ESR 17.0.9、Seamonkey 2.20 での修正)

 ESR 24 も出てます: FirefoxThunderbird。今後の ESR は 24 ベースで進むみたい。

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される
(Microsoft, 2013.09.18)

 IE 6〜11 に 0-day 欠陥、攻略 Web ページを閲覧すると任意のコードが実行される。IE 8、9 については既に攻略プログラムが世に出回っている。CVE-2013-3893

 Fix it が公開されているので適用しよう: KB2887505。 あわせて EMET 4.0 の利用も緩和策になる。 EMET 4.0 日本語版ユーザーガイドもあるよ。

2013.09.23 追記:

  Operation DeputyDog: Zero-Day (CVE-2013-3893) Attack Against Japanese Targets (FireEye, 2013.09.21)。この欠陥を利用した攻撃を、日本向けの標的型攻撃において確認したそうです。

 ISC Infocon はこれを受けて Yellow になっています: Threat Level Yellow: Protection recommendations regarding Internet Explorer exploits in the wild (SANS ISC, 2013.09.20)

2013.09.24 追記:

 ISC Infocon は Green に戻りました。

2013.09.27 追記:

 Latest Internet Explorer 0day used against Taiwan targets (AlienVault, 2013.09.27)

2013.10.02 追記:

 関連:

2013.10.04 追記:

 関連:

2013.10.08 追記:

 関連:

2013.10.09 追記:

 MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) で修正されました。

2013.10.10 追記:

 LAC から情報が公開された。

 MS13-080 にはこのような謝辞がある。

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。
(中略)
Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3893) について、マイクロソフトに協力してくださった LAC Co. の Yoshihiro Ishikawa 氏

2013.12.19 追記:

 日本の中枢狙う標的型攻撃が発覚、ゼロデイ脆弱性を使う周到な手口 (日経 IT Pro, 2013.12.19)


2013.09.17

About the security content of Safari 5.1.10
(Apple, 2013.09.12)

 なんと Mac OS X 10.6.8 用の Safari 5.1.10 が公開されました。 攻略 Web ページを開くと任意のコードの実行を招く欠陥 2 件が修正されてます。

About the security content of OS X Mountain Lion v10.8.5 and Security Update 2013-004
(Apple, 2013.09.12)

 Mac OS X v10.8.5、および Mac OS X 10.7.5 / 10.6.8 用の Security Update 2013-004 が公開されました。32 件の欠陥が修正されています。 CoreText の件sudo の件 も修正されてます。

追記

いろいろ (2013.09.02)

 Mac OS X 方面の CoreText と sudo の件は、 About the security content of OS X Mountain Lion v10.8.5 and Security Update 2013-004 (Apple, 2013.09.12) で修正されました。


2013.09.16

追記

Microsoft 2013 年 9 月のセキュリティ情報

 セキュリティ情報 MS13-072/MS13-073 - 繰り返し適用を求められる現象について (日本のセキュリティチーム, 2013.09.12) が 9/14 付で更新されています。 繰り返しの件は修正されたそうです。

<9/14 更新> 米国時間 9 月 13 日に、本問題の修正が完了しました。修正は、インストールが必要なセキュリティ更新プログラムを検出するロジックのみを修正しており、セキュリティ更新プログラム自体への変更はありません。 すでに一度セキュリティ更新プログラムをインストールしたお客様においては、追加で必要な作業はありません。詳細は、「お客様におけるアクション」 をご覧ください。 (補足: お客様の環境に修正の反映が行われていない場合は、反映に時間がかかっていることが考えられます。しばらくたってから改めて確認してください。)

2013.09.15


2013.09.13

WordPress 3.6.1 メンテナンスとセキュリティのリリース
(WordPress, 2013.09.12)

 WordPress 3.6.1 公開。3 件のセキュリティ欠陥 CVE-2013-4338 CVE-2013-4339 CVE-2013-4340 が修正されている。 また、以下も修正されている。

追記

Microsoft 2013 年 9 月のセキュリティ情報

 セキュリティ情報 MS13-072/MS13-073 - 繰り返し適用を求められる現象について (日本のセキュリティチーム, 2013.09.12) が更新されました。Office 2003 / 2010、Excel Viewer でも繰り返し現象が発生する模様です。まとめると以下のようになります。

MS13-072

KB2760411 (Office 2007、Office 互換機能パック)
KB2767913 (Office Word 2010)

MS13-073

KB2760583 (Office Excel 2007)
KB2760588 (Office Excel 2007)
KB2760590 (Office Excel Viewer 2007)
KB2810048 (Office Excel 2003)

いろいろ (2013.09.13)
(various)


2013.09.12

追記

APSB13-21: Security updates available for Adobe Flash Player

 Windows 7 + IE + 11.8.800.168 な環境で文字化けする不具合が発生しているそうです。kumoha683 @kumoha683 さん情報ありがとうございます。

  • アドビ サポート担当 @AdobeSupportJ さんのツイート:

  • Adobe Flash Player 11.8 - Bug 3630443 (Adobe)

 不具合発生事例:

Microsoft 2013 年 9 月のセキュリティ情報

 KB2760411、KB2760588、KB2760583 更新プログラムが何度インストールしても出てくる件ですが、 日本のセキュリティチームからもアナウンスされました。

  • セキュリティ情報 MS13-072/MS13-073 - 繰り返し適用を求められる現象について (日本のセキュリティチーム, 2013.09.12)

    現在、弊社では本問題を認識しており調査を進めています。インストールが必要なセキュリティ更新プログラムを検出するロジックに問題があることがわかっており、数日以内に修正を完了することを予定しています。

    なお、一度セキュリティ更新プログラムをインストールした場合は、正しくセキュリティ更新プログラムは適用されており、脆弱性より保護されている状態です。本問題により、再度、セキュリティ更新プログラムを適用するよう求められても、再度インストールを行う必要はありません。
    環境
    Microsoft Office 2007 Service Pack 3
    Microsoft Office 互換機能パック Service Pack 3

 あと、Outlook 2013 方面の件は、patch が取り下げられた模様です。

 Microsoft Update から削除されたのは KB2817630 だけなのかなあ。手元の Windows 8 + Office 2013 な環境で Microsoft Update を実行してみたら、KB2817629 も出てこなかったのだけど。


2013.09.11

APSB13-21: Security updates available for Adobe Flash Player
(Adobe, 2013.09.10)

 Flash Player および AIR の更新版登場。任意のコードを実効できる欠陥 CVE-2013-3361 CVE-2013-3362 CVE-2013-3363 CVE-2013-5324 が修正されている。Priority rating: Windows と Mac は 1、他は 3

プラットホーム バージョン
Windows 11.8.800.168
Mac 11.8.800.168
Linux 11.2.202.310
Google Chrome 11.8.800.170
Windows 8 / Server 2012 / RT の Internet Explorer 10 11.8.800.168
Android 4.x 11.1.115.81
Android 3.x、2.x 11.1.111.73
AIR 3.8.0.1430 (Windows)
3.8.0.1430 (Mac)
3.8.0.1430 (Android)
AIR SDK & Compiler 3.8.0.1430 (Windows)
3.8.0.1430 (Mac)

 抄訳版: APSB13-21: Adobe Flash Player 用のセキュリティアップデート公開 (Adobe, 2013.09.10)

 関連: APPLE-SA-2013-09-10-1 OS X: Flash Player plug-in blocked (Apple, 2013.09.10)。11.8.800.94 より前の Flash Player はブロックするそうです。

2013.09.12 追記:

 Windows 7 + IE + 11.8.800.168 な環境で文字化けする不具合が発生しているそうです。kumoha683 @kumoha683 さん情報ありがとうございます。

 不具合発生事例:

2013.09.28 追記:

 文字化けの件、11.8.800.175 で修正されました。IE 用のみリリースです。

2013.11.13 追記:

 Android 版 Flash Player の更新は、この回で終了してました。 Archived Flash Player versions (Adobe)

On September 10th 2013, Adobe released Flash Player 11.1.111.73 for Android 2.x and 3.x and 11.1.115.81 for Android 4.0.x in keeping with statements made in our publicly available Flash Roadmap. This is the final update release of Flash Player for the Android operating system.

APSB13-22: Security updates available for Adobe Reader and Acrobat
(Adobe, 2013.09.10)

 Adobe Reader / Acrobat 11.0.04、10.1.8 公開。任意のコードを実効できる欠陥 CVE-2013-3351 CVE-2013-3352 CVE-2013-3353 CVE-2013-3354 CVE-2013-3355 CVE-2013-3356 CVE-2013-3357 CVE-2013-3358 が修正されている。Priority rating: 2

 Adobe Reader / Acrobat 9.x はもはや維持されていないので注意。 10.x / 11.x に移行しましょう。

 抄訳版: APSB13-22: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2013.09.10)

APSB13-23: Security update available for Adobe Shockwave Player
(Adobe, 2013.09.10)

 Shockwave Player 12.0.4.144 公開。任意のコードを実効できる欠陥 CVE-2013-3359 CVE-2013-3360 が修正されている。 Priority rating: 1

 抄訳版: APSB13-23: Adobe Shockwave Player に関するセキュリティアップデート公開 (Adobe, 2013.09.10)

Microsoft 2013 年 9 月のセキュリティ情報
(Microsoft, 2013.09.11)

 14 件の予定だったが 13 件になった。緊急 x 4、重要 x 9。 2013 年 9 月のセキュリティ情報 (月例) - MS13-067 〜 MS13-079 によると、 2013 年 9 月 11 日のセキュリティ リリース予定 (月例) にある「セキュリティ情報 13」がペンディングになったそうだ。

 同時に配布されている、Outlook 2013 用の非セキュリティな更新プログラムで不具合が発生している模様。

 大きな話題にはなっていないようだが、特定の環境でしか発症しないものなのか?

 あと、適用後も特定の更新プログラムが繰り返し検出される状況が発生しています。 具体的には MS13-072 (KB2760411) と MS13-073 (KB2760588) (KB2760583) です。 Microsoft も確認済です。

 (あとで追記)

 関連:

2013.09.12 追記:

 KB2760411、KB2760588、KB2760583 更新プログラムが何度インストールしても出てくる件ですが、 日本のセキュリティチームからもアナウンスされました。

 あと、Outlook 2013 方面の件は、patch が取り下げられた模様です。

 Microsoft Update から削除されたのは KB2817630 だけなのかなあ。手元の Windows 8 + Office 2013 な環境で Microsoft Update を実行してみたら、KB2817629 も出てこなかったのだけど。

2013.09.13 追記:

 セキュリティ情報 MS13-072/MS13-073 - 繰り返し適用を求められる現象について (日本のセキュリティチーム, 2013.09.12) が更新されました。Office 2003 / 2010、Excel Viewer でも繰り返し現象が発生する模様です。まとめると以下のようになります。

MS13-072

KB2760411 (Office 2007、Office 互換機能パック)
KB2767913 (Office Word 2010)

MS13-073

KB2760583 (Office Excel 2007)
KB2760588 (Office Excel 2007)
KB2760590 (Office Excel Viewer 2007)
KB2810048 (Office Excel 2003)

2013.09.16 追記:

 セキュリティ情報 MS13-072/MS13-073 - 繰り返し適用を求められる現象について (日本のセキュリティチーム, 2013.09.12) が 9/14 付で更新されています。 繰り返しの件は修正されたそうです。

<9/14 更新> 米国時間 9 月 13 日に、本問題の修正が完了しました。修正は、インストールが必要なセキュリティ更新プログラムを検出するロジックのみを修正しており、セキュリティ更新プログラム自体への変更はありません。 すでに一度セキュリティ更新プログラムをインストールしたお客様においては、追加で必要な作業はありません。詳細は、「お客様におけるアクション」 をご覧ください。 (補足: お客様の環境に修正の反映が行われていない場合は、反映に時間がかかっていることが考えられます。しばらくたってから改めて確認してください。)

2013.09.27 追記:

 Outlook 2013 のフォルダペーンの件、更新プログラムが公開されました。

いろいろ (2013.09.11)
(various)


2013.09.10


2013.09.09

いろいろ (2013.09.09)
(various)

2013.09.30 追記:

 Researchers: Oracle’s Java Security Fails (Krebs on Security, 2013.09.04) の件、Sophos から日本語記事が出てました。

JPCERT/CC 注意喚起 (2013.09.06)
(JPCERT/CC, 2013.09.06)


2013.09.08


2013.09.06

マイクロソフト セキュリティ情報の事前通知 - 2013 年 9 月
(Microsoft, 2013.09.06)

 14 件 (緊急 x 4、重要 x 10)。IE あり、Office あり (Word, Excel, Outlook, Access, SharePoint)、.NET Framework あり。 IE って、いつのまにか月刊体制になったのかな。

 2013 年 9 月 11 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.09.06)

APSB13-22: Adobe Reader および Acrobat に関するセキュリティ情報の事前通知
(Adobe, 2013.09.05)

 2013.09.10 (US 時間) に Adobe Reader / Acrobat 10, 11 のセキュリティ更新が出るそうです。優先度は 2。


2013.09.05


2013.09.04

いろいろ (2013.09.04)
(various)


2013.09.03

いろいろ (2013.09.03)
(various)


2013.09.02

いろいろ (2013.09.02)
(various)

2013.09.18 追記:

 Mac OS X 方面の CoreText と sudo の件は、 About the security content of OS X Mountain Lion v10.8.5 and Security Update 2013-004 (Apple, 2013.09.12) で修正されました。


2013.09.01


[セキュリティホール memo]
[私について]