セキュリティホール memo - 2013.10

Last modified: Sun Dec 22 01:16:39 2013 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2013.10.31

いろいろ (2013.10.31)
(various)

2013.11.06 追記:

 CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました (徳丸浩の日記, 2013.11.01)。Apache / PHP 5.x Remote Code Execution Exploit (exploit-db.com, 2013.10.29) の件。

2013.12.22 追記:

 Apache Magica で攻撃してくる人たちをティロ・フィナーレしたい (www.morihi-soc.net, 2013.12.20)


2013.10.30

Firefox 25.0 / ESR 24.1.0 / ESR 17.0.10、Thunderbird 24.1 / ESR 17.0.10、SeaMonkey 2.22 公開
(Mozilla, 2013.10.29)

 出ました。10 件の欠陥が修正されています。 (最高 x 5、高 x 3、中 x 2)

 結局、Thunderbird ESR は 17 系列が出続けるのかなあ……と思ったら、 Firefox/Thunderbird 法人向け延長サポート版 (ESR) のダウンロード のページにこんな記述が:

Thunderbird 24 からは通常版と ESR 版が統合されました。通常版でも Firefox ESR 版と同様メジャーアップデートは 1 年に 1 回程度の間隔で行います。通常版をダウンロードしてご利用ください。

 リリースポリシーが崩壊したみたい……。

2013.11.20 追記:

 2013.11.15 付で、 MFSA 2013-103: Network Security Services (NSS) の様々な脆弱性 を修正した、Firefox 25.0.1 / ESR 24.1.1 / ESR 17.0.11、SeaMonkey 2.22.1 が公開されました。また 2013.11.19 付で Thunderbird 24.1.1 / ESR 17.0.11 が公開されました。 NSS 3.15.3 に更新されてます (ただし ESR 17 系列だけは NSS 3.14.5 に更新)。

 リリースノート: Firefox 25.0.1ESR 24.1.1ESR 17.0.11。 Android 版 Firefox 25.0.1。 Thunderbird 24.1.1ESR 17.0.11SeaMonkey 2.22.1


2013.10.29

いろいろ (2013.10.29)
(various)


2013.10.28

追記

MacBook AirのSSD交換プログラムをAppleが開始(追記あり)

WordPress 3.7 日本語版リリースのお知らせ
(WordPress, 2013.10.25)

 WordPress 3.7 登場。自動バックグラウンド更新機能が実装された。デフォルトでは「コアのマイナー更新および翻訳ファイルの更新に対してのみ適用」される。 プラグインやテーマ、メジャーリリースについても自動化したい場合は、 設定を変更する。


2013.10.26


2013.10.25

追記

OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について (2013.08.20)

 家庭のネットIDなど悪用被害150件超 (NHK「かぶん」ブログ, 2013.10.25)


2013.10.24


2013.10.23

Apple 方面
(Apple, 2013.10.22)

 これってつまり、OS としては、Mac OS X 10.9 しか維持しないつもりなのかなあ……。

2013.11.25 追記:

 OS X Mountain Lion: Still unsupported and vulnerable (ZDNet, 2013.11.22)。やっぱり 10.8.x 以前は終了ってことなんですかねえ。


2013.10.22

追記

Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (2013.03.21)

 Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (NEC) が 2013.10.22 付で改訂された。

対象となる製品のバージョンに影響のない製品(AtermWR8165N)を追加しました。
対処方法にファームウェアバージョンアップ対象となる製品(AtermWR8700N、AtermWR8170N)を追加しました。

2013.10.21

追記

D-Linkのルータにバックドア発覚、不正アクセスの恐れ

 関連:

いろいろ (2013.10.21)
(various)


2013.10.20

追記

Microsoft 2013 年 10 月のセキュリティ情報

 2013.10.11 付で MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) が改訂されていた。CVE-2013-3871 は直っていないのだそうだ。 黒翼猫さん情報ありがとうございます。

V1.3 (2013/10/11):このセキュリティ情報ページを更新し、この更新プログラムによって解決される脆弱性から CVE-2013-3871 を削除しました。この CVE を元のセキュリティ情報に入れていたのは、文書作成上の誤りでした。CVE-2013-3871 については、将来公開するセキュリティ更新プログラムで対応する予定です。今回の更新は情報のみの変更です。システムを正常に更新済みのお客様は、措置を講じる必要はありません。

MacBook AirのSSD交換プログラムをAppleが開始(追記あり)
(ascii.jp, 2013.10.18)

 MacBook Air(Mid 2012)の内蔵 64GB/128GB SSD の一部に欠陥、突然 SSD が故障する。Apple は対象 SSD に対して無償交換を開始。 手順:

 関連:

2013.10.28 追記:

 MacBook Air フラッシュストレージドライブ交換プログラム (Apple, 2013.10.17)


2013.10.18

追記

Oracle October 2013 Critical Patch Update Released

いろいろ (2013.10.18)
(various)


2013.10.17

JVNDB-2013-004622: VideoLAN VLC media player の mp4a packetizer におけるバッファオーバーフローの脆弱性
(JVN, 2013.10.16)

 VLC media player 2.0.9 で修正されているそうです。http://www.videolan.org/developers/vlc-branch/NEWS:

Changes between 2.0.8 and 2.0.9:
--------------------------------

Demux:
 * Improve handling of corrupt ASF files
 * Fix buffer overflow in the mp4a packetizer

Contribs:
 * Fix modplug security issues

 最新は VLC media player 2.1.1 です。

追記

Secunia vs VLC - Whose vulnerability is it anyway? (H Security, 2013.07.10)

 VLC media player は既に 2.1.1 が公開されているので、この欠陥は修正済ということになるんですかねえ。http://secunia.com/advisories/51464/ はあいかわらず Unpatched になっているのですが、last update は 2013.07.09 だし。

Adobe がハクられ、顧客情報 290 万人分と Acrobat 等のソースコードが漏洩

 Breach at PR Newswire Tied to Adobe Hack (Krebs on Security, 2013.10.16)。Adobe のソースが置かれたのと同じサーバに、PR Newswire から盗まれたデータもあったそうで。

Oracle October 2013 Critical Patch Update Released

 関連:


2013.10.16

Oracle October 2013 Critical Patch Update Released
(Oracle, 2013.10.15)

 Oracle 2013.10 patch 出ました。計 127 件の欠陥を修正。 Oracle Database Server x 2、 Oracle Fusion Middleware x 17、 Oracle Enterprise Manager Grid Control x 4、 Oracle E-Business Suite x 1、 Oracle Supply Chain Products Suite x 2、 Oracle PeopleSoft Products x 8、 Oracle Siebel CRM x 9、 Oracle iLearning x 2、 Oracle Industry Applications x 6、 Oracle Financial Services Software x 1、 Oracle Primavera Products Suite x 2、 Oracle Java SE x 51、 Oracle and Sun Systems Products Suite x 12、 Oracle Virtualization x 2、 Oracle MySQL x 8。関連:

2013.10.17 追記:

 関連:

2013.10.18 追記:

 関連:

追記

Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (NEC, 2013.03.19)

 AtermWR8700N と AtermWR8170N の更新ファームウェアが 2013.10.09 付で公開されていた。ダウンロード。やまぴ〜さん情報ありがとうございます。

Chrome Stable Channel Update
(Google, 2013.10.15)

 Chrome 30.0.1599.101 公開。5 件のセキュリティ欠陥が修正されている。


2013.10.15

D-Linkのルータにバックドア発覚、不正アクセスの恐れ
(ITmedia, 2013.10.15)

 元ねたは Old D-Link routers with coded backdoor (SANS ISC, 2013.10.15) で、「古い」D-Link ルータにバックドアがあったという話。 user agent が特定の値だと、認証すっとばしてデバイス設定を閲覧・変更できるみたい。 うーん。

2013.10.21 追記:

 関連:

2013.12.02 追記:

 関連:


2013.10.14

いろいろ (2013.10.14)
(various)


2013.10.13


2013.10.11

追記

Microsoft 2013 年 10 月のセキュリティ情報

 CVE-2013-3897 関連:


2013.10.10

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

 LAC から情報が公開された。

  • 日本の省庁などへ“水飲み場型攻撃”、IEのゼロデイを突き、8月に起きていた (Internet Watch, 2013.10.10)。 SA 2887505 が公開されたのは 9/18 だが、0-day 攻撃は「8月上旬」に起きていたのですか (発見は「8月下旬」だそうで)。

     今回の事例は、攻撃対象となった標的側の組織の調査だけでなく、改ざんされた側の調査もラックが担当することができた珍しいケースだったという。その結果、両側の調査・情報から、IEのゼロデイ脆弱性を悪用し、特定の組織を標的とした水飲み場型攻撃だったことが判明したためだ。
  • 日本における水飲み場型攻撃に関する注意喚起 (LAC, 2013.10.09)

  • 水飲み場型攻撃に関する対策について (LAC, 2013.10.09)

    2.2.4 Proxyの認証機能を有効にする
    コンピュータがウイルスなどに感染し、そのウイルスが社外のネットワークに接続する事例が多く見られます。Proxyの認証機能を有効にしている場合、ウイルスが社外の攻撃者のサーバに接続するときに認証ができないことによる接続エラーが発生します。これにより情報漏えいや遠隔操作被害を抑制することができ、また、ウイルス感染の事実も確認ができます。

    なるほど……。

 MS13-080 にはこのような謝辞がある。

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。
(中略)
Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3893) について、マイクロソフトに協力してくださった LAC Co. の Yoshihiro Ishikawa 氏

APSB13-24: Security update available for RoboHelp

Microsoft 2013 年 10 月のセキュリティ情報


2013.10.09

Microsoft 2013 年 10 月のセキュリティ情報
(Microsoft, 2013.10.09)

MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017)

 IE 6〜11 に 10 9 件の欠陥。いずれもメモリ破壊が発生し、攻略 Web サイトを閲覧すると任意のコードが実行される。CVE-2013-3871 CVE-2013-3872 CVE-2013-3873 CVE-2013-3874 CVE-2013-3875 CVE-2013-3882 CVE-2013-3885 CVE-2013-3886 CVE-2013-3893 CVE-2013-3897。 Exploitability Index はいずれも 1。 CVE-2013-3893 と CVE-2013-3897 は 0-day。

 セキュリティ アドバイザリ 2887505 (CVE-2013-3893) の Fix it については:

マイクロソフト セキュリティ アドバイザリ 2887505 で以前説明されていた Internet Explorer 用の自動 Microsoft Fix it ソリューションを適用した場合、 この更新プログラムの適用前または適用後に、 この回避策を解除する必要がありますか?
いいえ。マイクロソフト セキュリティ アドバイザリ 2887505 で以前説明されていた Microsoft Fix it ソリューション「CVE-2013-3893 MSHTML Shim の回避策」を実装したお客様は、この更新プログラムの適用前または適用後に Microsoft Fix it ソリューションを解除する必要は特にありません。
2013.10.20 追記:

 2013.10.11 付の MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) の改訂にあわせて CVE-2013-3871 を削除した。

MS13-081 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2870008)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT の Windows カーネルモードドライバに 7 件の欠陥。 ただし Windows 8.1、Server 2012 R2、Windows RT 8.1 にはこれらの欠陥はない。

  • OpenType フォントの解析の脆弱性 - CVE-2013-3128

    Exploitability Index: 1

  • Windows USB 記述子の脆弱性 - CVE-2013-3200

    Exploitability Index: 1

  • Win32k の解放後使用の脆弱性 - CVE-2013-3879

    Exploitability Index: 2

  • アプリ コンテナーの特権の昇格の脆弱性 - CVE-2013-3880

    Exploitability Index: 1

  • Win32k NULL ページの脆弱性 - CVE-2013-3881

    Exploitability Index: 1

  • DirectX グラフィック カーネル サブシステムのダブル フェッチの脆弱性 - CVE-2013-3888

    Exploitability Index: 2

  • TrueType フォントの CMAP テーブルの脆弱性 - CVE-2013-3894

    Exploitability Index: 2

MS13-082 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2878890)

 .NET Framework 2.0、3.0、3.5、3.5.1、4、4.5 に 3 件の欠陥。

  • OpenType フォントの解析の脆弱性 - CVE-2013-3128

    Exploitability Index: 2

  • エンティティ拡張の脆弱性 - CVE-2013-3860

    Exploitability Index: 3。DoS。

  • JSON 解析の脆弱性 - CVE-2013-3861

    Exploitability Index: 3。DoS。

 CVE-2013-3128 は MS13-081 と MS13-028 両方に関係している。

MS13-083 - 緊急: Windows コモン コントロール ライブラリの脆弱性により、リモートでコードが実行される (2864058)

 Windows XP 64bit 版、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。 コモン コントロール ライブラリ (Comctl32.dll) の DSA_InsertItem 関数に整数オーバーフローする欠陥があり、 攻略 Web アプリケーションによって任意のコードが実行される。 ただし Windows XP 32bit 版、8.1、Server 2012 R2、Windows RT 8.1 にはこれらの欠陥はない。 CVE-2013-3195

 Exploitability Index: 1

MS13-084 - 重要: Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2885089)

  SharePoint Server 2007、2010、2013 および Office Web Apps 2010 に 2 件の欠陥。

  • Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3889

    Exploitability Index: 1

  • パラメーター インジェクションの脆弱性 - CVE-2013-3895

    Exploitability Index: 3

MS13-085 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2885080)

 Excel 2007、2010、2013、Office for Mac 2011、Excel Viewer、Office 互換機能パックに 2 件の欠陥。

  • Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3889

    Exploitability Index: 1

  • Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3890

    Exploitability Index: 3

MS13-086 - 重要: Microsoft Word の脆弱性により、リモートでコードが実行される (2885084)

 Word 2003、2007 に 2 件の欠陥。

  • メモリ破損の脆弱性 - CVE-2013-3891

    Exploitability Index: 1

  • メモリ破損の脆弱性 - CVE-2013-3892

    Exploitability Index: 3

MS13-087 - 重要: Silverlight の脆弱性により、情報漏えいが起こる (2890788)

 Silverlight 5 に欠陥。メモリの特定オブジェクトを適切に処理しないため、情報漏洩が発生。 CVE-2013-3896

 Exploitability Index: 3

2013.10.10 追記:

 関連:

2013.10.11 追記:

 CVE-2013-3897 関連:

2013.10.20 追記:

 2013.10.11 付で MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) が改訂されていた。CVE-2013-3871 は直っていないのだそうだ。 黒翼猫さん情報ありがとうございます。

V1.3 (2013/10/11):このセキュリティ情報ページを更新し、この更新プログラムによって解決される脆弱性から CVE-2013-3871 を削除しました。この CVE を元のセキュリティ情報に入れていたのは、文書作成上の誤りでした。CVE-2013-3871 については、将来公開するセキュリティ更新プログラムで対応する予定です。今回の更新は情報のみの変更です。システムを正常に更新済みのお客様は、措置を講じる必要はありません。

追記

マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム

  マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム が 2013.10.09 付で更新された。

V1.2 (2013/10/09):この更新プログラムが Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 に適用されないことを明示しました。また、すべての該当オペレーティング システムに関して、管理者およびエンタープライズのインストールの場合は、MD5 ハッシュ付きの証明書が環境に存在するかどうかを評価して、マイクロソフトが 2014 年 2 月に公開する予定である更新プログラムが広く配布される前にこれらの証明書を再発行する必要があることを改めてお知らせしました。

 Windows 8.1 には最初から入っているのかな。

APSB13-24: Security update available for RoboHelp
(Adobe, 2013.10.08)

 RoboHelp 10 に欠陥。メモリ破壊が発生し任意のコードの実行を許す欠陥がある。CVE-2013-5327

 更新版の MDBMS.dll ファイルが公開されているので、標準配布版と入れかえればよい。 ダウンロードおよび入れかえ方法は APSB13-24 を参照。優先度は 3。

2013.10.10 追記:

 抄訳版: APSB13-24: RoboHelp に関するセキュリティアップデート公開 (Adobe)

APSB13-25: Security updates available for Adobe Reader and Acrobat
(Adobe, 2013.10.08)

 Adobe Reader / Acrobat 11.0.04 の Windows 版にのみ欠陥。JavaScript セキュリティコントロールに欠陥があり、ブラウザ内で PDF を閲覧しているときに、JavaScript スキーム URI の起動が許可されてしまう。 CVE-2013-5325

 Adobe Reader / Acrobat 11.0.05 で修正されている。優先度は 2。

 抄訳版: APSB13-25: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe)


2013.10.08

いろいろ (2013.10.08)
(various)

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

 関連:

  • いかにWindows XPが攻撃しやすいか (エフセキュアブログ, 2013.10.08)

    現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。

    攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。

    三重県四日市市のIT推進課職員さんはわかりましたか。

  • Targeted exploit (Kaspersky, 2013.10.03)


2013.10.07


2013.10.06


2013.10.04

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

 関連:

JVNDB-2013-004374: ProFTPD の mod_sftp の kbdint.c における整数オーバーフローの脆弱性
(JVN, 2013.10.02)

 ProFTPD 1.3.4d、1.3.5r3 の mod_sftp で整数オーバーフローするため、 remote から DoS 攻撃を受ける。 CVE-2013-4359

APPLE-SA-2013-10-03-1 OS X v10.8.5 Supplemental Update
(Apple, 2013.10.03)

 Mac OS X v10.8.5 用の追加のセキュリティ更新が出ている。 local user がディレクトリサービスのレコードをシステム権限で改変できる欠陥 CVE-2013-5163 が修正されている。

マカフィーセキュリティ情報 - McAfee Agent (FrameworkService.exe) に対するサービス拒否攻撃(DoS) について
(マカフィー, 2013.10.01)

 McAfee Agent 4.5 Patch 3、4.6 Patch 3 以前に欠陥。McAfee Agent が使用する 8081/tcp に対して攻略リクエストを送ることで DoS 攻撃が可能。 CVE-2013-3627

 McAfee Agent のポリシー「ePOサーバーからの接続のみを使用する」を設定することで、影響を軽減できる。また McAfee Agent 4.5 Patch 3、4.6 Patch 3 用の HotFix 910062 で修正されている。 ただしマカフィーとしては McAfee Agent 4.8 系列への移行を推奨している (最新は 4.8 Patch 1)。

 関連:

Adobe がハクられ、顧客情報 290 万人分と Acrobat 等のソースコードが漏洩
(various, 2013.10.04)

 うへぇ……。

2013.10.17 追記:

 Breach at PR Newswire Tied to Adobe Hack (Krebs on Security, 2013.10.16)。Adobe のソースが置かれたのと同じサーバに、PR Newswire から盗まれたデータもあったそうで。

2013.10.30 追記:

 Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に (ITmedia, 2013.10.30)、 Adobe Breach Impacted At Least 38 Million Users (Krebs on Security, 2013.10.29)。290 万 → 3800 万、Photoshop のソースも漏洩。

2013.11.12 追記:

 Adobeから流出したパスワードでのFacebookへの不正アクセスが判明 (gigazine, 2013.11.12)

マイクロソフト セキュリティ情報の事前通知 - 2013 年 10 月
(Microsoft, 2013.10.04)

 そんな季節になりました。緊急 x 4、重要 x 4。IE、Office (Mac 版含む)、SharePoint、.NET Framework、Silverlight あり。 マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される も修正される予定。

 関連: 2013 年 10 月 9 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.10.04)


2013.10.03

いろいろ (2013.10.03)
(various)

Prenotification: Upcoming Security Updates for Adobe Reader and Acrobat (APSB13-25)
(Adobe, 2013.10.02)

 10/8 (US 時間) に Adobe Reader / Acrobat のセキュリティ更新出るそうで。


2013.10.02

追記

マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される

Chrome Stable Channel Update
(Google, 2013.10.01)

 Chrome 30.0.1599.66 が stable に。50 件のセキュリティ欠陥の修正を含む。


2013.10.01


[セキュリティホール memo]
[私について]