セキュリティホール memo - 2013.11

Last modified: Thu Jan 16 17:36:17 2014 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2013.11.29

Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態
(ITmedia, 2013.11.27)

 Rails SessionにCookieStore使った時の問題点 (OAuth.jp, 2013.09.26) の件がいろんなサイトで直ってない件。

問題は、session cookieが無効化できないのに、それが永遠に有効であること。
(中略)
「session cookie tokenが永遠に有効である」という状況を回避したい場合は、各デベロッパーが session[:expires_at] = 1.hour.from_now とかして session cookie token 自体に有効期限を含めて、それを毎リクエストごとにチェックする必要があります。
(中略)
もしくはCookieStoreの代わりにMemcacheStore使うようにしてもいいです。 sessionをserver-sideで管理するようにさえすれば、この問題はそもそも発生しないですし。 パフォーマンスに影響しますけど。

2013.11.28

マイクロソフト セキュリティ アドバイザリ (2914486) Microsoft Windows カーネルの脆弱性により、特権が昇格される
(Microsoft, 2013.11.28)

 Windows XP / Server 2003 のカーネルコンポーネント NDProxy.sys に欠陥、local user による権限上昇が可能。 既にこの欠陥を利用した攻撃が行われている。 CVE-2013-5065

 回避策が示されている (NDProxy.sys を無効にする)。

NDProxy.sys を無効にすると、Windows の Telephony Application Programming Interfaces (TAPI) に依存する一部のサービスが機能しなくなります。このようなサービスには、リモート アクセス サービス (RAS)、ダイヤルアップ ネットワーク、仮想プライベート ネットワーク (VPN) などがあります。

2013.12.03 追記:

 関連:

2013.12.05 追記:

 関連:

2014.01.16 追記:

 MS14-002 - 重要: Windows カーネルの脆弱性により、特権が昇格される (2914368) で修正された。


2013.11.27

追記

[JS13003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について

 一太郎の脆弱性の悪用に成功した攻撃を確認 (シマンテック, 2013.11.26)。上記の日本語版。


2013.11.26

追記

[JS13003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (2013.11.12)

 Ichitaro Vulnerability Successfully Exploited in the Wild (Symantec, 2013.11.25)。 前回報告『新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃 (シマンテック, 2013.11.15)』のときには、攻略コードはきちんと動作してはいなかったのだが、今回、複数のインシデントにおいて正常に動作する攻略コードを確認。


2013.11.25

いろいろ (2013.11.25)
(various)

nginx

ruby

curl / libcurl

  • libcurl cert name check ignore (curl, 2013.11.15)。libcurl 7.18.0 〜 7.32.0 に欠陥、特定の条件における署名検証に抜けがある。 OpenSSL と併用した場合にのみ発現。CVE-2013-4545

    libcurl 7.33.0 で修正されている。あるいは patch を適用する。

389 Directory Server (Red Hat Directory Server)

 389 Directory Server に、remote の認証済みユーザが DoS 攻撃を実施できる (Directory Server を crash させられる) 欠陥。CVE-2013-4485

追記

Apple 方面 (2013.10.22)

 OS X Mountain Lion: Still unsupported and vulnerable (ZDNet, 2013.11.22)。やっぱり 10.8.x 以前は終了ってことなんですかねえ。


2013.11.22

いろいろ (2013.11.22)
(various)

Drupal

 Drupal core:

 Drupal contrib:

Cisco

Fortinet


2013.11.21

追記

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される

いろいろ (2013.11.21)
(various)

EC-CUBE

 EC-CUBE2.13.1 正式版をリリースいたしました。5件の脆弱性対応含む不具合修正を実施。 (EC-CUBE, 2013.11.19)。関連:

GnuTLS

 GnuTLS 3.2.6、3.1.16 公開 (2013.10.31)。

MIT Kerberos 5

JBoss


2013.11.20

追記

Firefox 25.0 / ESR 24.1.0 / ESR 17.0.10、Thunderbird 24.1 / ESR 17.0.10、SeaMonkey 2.22 公開 (2013.10.30)

 2013.11.15 付で、 MFSA 2013-103: Network Security Services (NSS) の様々な脆弱性 を修正した、Firefox 25.0.1 / ESR 24.1.1 / ESR 17.0.11、SeaMonkey 2.22.1 が公開されました。また 2013.11.19 付で Thunderbird 24.1.1 / ESR 17.0.11 が公開されました。 NSS 3.15.3 に更新されてます (ただし ESR 17 系列だけは NSS 3.14.5 に更新)。

 リリースノート: Firefox 25.0.1ESR 24.1.1ESR 17.0.11。 Android 版 Firefox 25.0.1。 Thunderbird 24.1.1ESR 17.0.11SeaMonkey 2.22.1


2013.11.19

vBulletin に 0-day 欠陥か
(various)

 著名な有償掲示板ソフト vBulletin 4.x / 5.x に 0-day 欠陥が存在し、vBulletin.com 本家をはじめとして、各地でヤラレている ? しかし vBulletin 自身は 0-day であること否定。


2013.11.18

いろいろ (2013.11.18)
(various)


2013.11.15

追記

iPadのデモ機が爆発、ポート部分から発火し全体が丸焦げに (2013.11.11)

 なぜか iPad Air だとしたサイトが多かったみたい。そうではない。

[JS13003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (2013.11.12)

 Yet Another Zero-Day: Japan Hit with Ichitaro Vulnerability (Symantec, 2013.11.14)。既に攻撃が発生していた (0-day だった) 模様です。

 日本語版: 新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃 (シマンテック, 2013.11.15)

2013 年 11 月のセキュリティ情報 (月例) - MS13-088 〜 MS13-095 (2013.11.13)

 書きますね。

MS13-088 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505)

 IE 6〜11 に 10 件の欠陥。ただし Windows 7、Server 2008 R2 用の IE 11 は除く。

  • Internet Explorer の情報漏えいの脆弱性 - CVE-2013-3908

    IE 6〜10 の欠陥。攻略 Web ページを印刷プレビューすると情報漏洩する。 Exploitability Index: 3

  • Internet Explorer の情報漏えいの脆弱性 - CVE-2013-3909

    IE 6〜8 の欠陥。CSS における特殊文字の扱いに欠陥があり、攻略 Web ページを閲覧すると情報漏洩する。 Exploitability Index: 3

  • Internet Explorer の複数メモリ破損の脆弱性 - CVE-2013-3871 CVE-2013-3910 CVE-2013-3911 CVE-2013-3912 CVE-2013-3914 CVE-2013-3915 CVE-2013-3916 CVE-2013-3917

    攻略 Web ページを閲覧すると任意のコードが実行される。 Exploitability Index: 1

MS13-089 - 緊急: Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。Graphics Device Interface (GDI) における画像処理に欠陥があり、攻略 Write (.wri) ファイルをワードパッドで開くと任意のコードが実行される。 CVE-2013-3940。Exploitability Index: 1

MS13-090 - 緊急: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

 Internet Explorer users face drive-by attacks targeting new 0-day bug (Updated) の件。Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。InformationCardSigninHelper クラス ActiveX コントロール (icardie.dll) に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2013-3918。 Exploitability Index: 1

MS13-091 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2885093)

 Office 2003、2007、2010、2013 に 3 件の欠陥。 いずれも、WordPerfect 文書ファイルの処理に欠陥があり、攻略 WordPerfect 文書ファイルを開くと任意のコードが実行される。

  • WPD ファイル形式のメモリ破損の脆弱性 - CVE-2013-0082

    Exploitability Index: 3

  • Word のスタック バッファー上書きの脆弱性 - CVE-2013-1324

    Exploitability Index: 1

  • Word のヒープの上書きの脆弱性 - CVE-2013-1325

    Exploitability Index: 1

MS13-092 - 重要: Hyper-V の脆弱性により、特権が昇格される (2893986)

 Windows 8 (x64 版)、Server 2012 の Hyper-V に欠陥。 ゲスト VM 上で任意のコードを実行できる。 CVE-2013-3898。 Exploitability Index: 1

MS13-093 - 重要: Windows Ancillary Function ドライバーの脆弱性により、情報漏えいが起こる (2875783)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012 (ただしいずれも x64 版のみ) に欠陥。Windows Ancillary Function ドライバーに欠陥があり、local user が攻略アプリを使って上位権限の情報を取得できる。 CVE-2013-3887。 Exploitability Index: 3

MS13-094 - 重要: Microsoft Outlook の脆弱性により、情報漏えいが起こる (2894514)

 Office 2007、2010、2013、2013 RT に欠陥。S/MIME 証明書メタデータの処理に欠陥があり、攻略 S/MIME 証明書を開くまたはプレビューすると、情報漏洩が起こる。 CVE-2013-3905。 Exploitability Index: 3

MS13-095 - 重要: デジタル署名の脆弱性により、サービス拒否が起こる (2868626)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。X.509 証明書の処理に欠陥があり、攻略証明書を Web サービスに送信すると、Web サービスが DoS 状態になる。 CVE-2013-3869。 Exploitability Index: 3

 セキュリティアドバイザリ 3 件。

セキュリティ アドバイザリ (2862152) DirectAccess の脆弱性により、セキュリティ機能のバイパスが起こる

 DirectAccess に欠陥、にせサーバーを設置可能。

攻撃者が制御するシステムは、特別に細工されたサーバー証明書をインストールすることによって、正規の DirectAccess サーバーとして偽装することができます。標的となったシステムは、攻撃者の DirectAccess サーバーと正規の DirectAccess サーバーを区別できません。

更新プログラム 2862152 を適用し、さらに KB 2862152 を参照した設定が必要。

セキュリティ アドバイザリ (2868725) RC4 を無効化するための更新プログラム

 更新プログラム 2868725 を適用すると、RC4 を無効化できるようになる。 アプリケーション毎に、あるいは OS まるごとで。 Windows 7、Server 2008 R2、8、Server 2012 用。

セキュリティ アドバイザリ (2880823) マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止

 2016.01.01 から、SHA-1 な X.509 証明書を発行できなくなる。SHA-2 に移行しましょう。

Chrome Stable Channel Update
(Google, 2013.11.14)

 31.0.1650.57 公開。5 万ドル欠陥 CVE-2013-6632 の修正。

APPLE-SA-2013-11-14-1 iOS 7.0.4
(Apple, 2013.11.14)

 1 件の欠陥 CVE-2013-5193 が修正されているそうで。

Impact: App and In-App purchases may be completed with insufficient authorization
Description: A signed-in user may be able to complete a transaction without providing a password when prompted. This issue was addressed by additional enforcement of purchase authorization.

 サインインしたユーザーは、パスワード入力が促された場合に、それを入力しなくても、トランザクションを完了できてしまう。 結果として、アプリまたはアプリ内の課金が、不十分な認可であっても完了してしまう。 ……よくわかんないけど、課金無料化ねたなのかなあ。

HackerJapan休刊のお知らせ
(HackerJapan, 2013.11.14)

 ついにこの日が来てしまいましたか……。むしろ、今までよく続いたなあというのが正直な思いです。

 おつかれさまでした。

 全記事収録の電子版総集編が出てほしいところですが、どうでしょう……。
 もはや連絡がつかない人とかいそうだけど……。


2013.11.14


2013.11.13

追記

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される

Internet Explorer users face drive-by attacks targeting new 0-day bug (Updated) (2013.11.11)

 MS13-090 - 緊急: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986) (Microsoft, 2013.11.13) で対応された。 CVE-2013-3918

 関連:

  • 本格的に日本を襲い始めたAPT (エフセキュアブログ, 2013.11.13)

    これは実際に日本の組織を狙った攻撃の中で使用されていたものです。(中略) 「ゼロデイを使って日本を攻撃」というのが立て続けに起こっています。(中略)

    特に政府機関の方や重要な情報を大量に扱う業務の方は、適切にアップデートを行うのはもちろんのこと、その上でEMETを導入してゼロデイ攻撃への対策(緩和策)をしておくことをおすすめします。
  • Hidden Lynx との関連性が見つかった新しいゼロデイ脆弱性 (シマンテック, 2013.11.13)

APSB13-27: Security update: Hotfix available for ColdFusion
(Adobe, 2013.11.12)

 ColdFusion 10、9.0.2、9.0.1、9.0 に 2 件の欠陥。

 Hotfix が用意されているので適用する。また、Lockdown Guide (ColdFusion 9ColdFusion 10) に従ったアクセス制限を実施することが望ましい。

APSB13-26: Security updates available for Adobe Flash Player
(Adobe, 2013.11.12)

 Flash Player および AIR の更新版登場。任意のコードを実効できる欠陥 CVE-2013-5329 CVE-2013-5330 が修正されている。Priority rating: Windows と Mac は 1、他は 3

プラットホーム バージョン
Windows 11.9.900.152
Mac 11.9.900.152
Linux 11.2.202.327
Google Chrome 11.9.900.152
Windows 8 / Server 2012 / RT の Internet Explorer 10 11.9.900.152
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 11.9.900.152
AIR 3.9.0.1210 (Windows)
3.9.0.1210 (Mac)
3.9.0.1210 (Android)
AIR SDK & Compiler 3.9.0.1210

 なお、Android 版 Flash Player の更新は、前回で終了してました。 Archived Flash Player versions (Adobe)

On September 10th 2013, Adobe released Flash Player 11.1.111.73 for Android 2.x and 3.x and 11.1.115.81 for Android 4.0.x in keeping with statements made in our publicly available Flash Roadmap. This is the final update release of Flash Player for the Android operating system.

2013 年 11 月のセキュリティ情報 (月例) - MS13-088 〜 MS13-095
(日本のセキュリティチーム, 2013.11.13)

 予定どおり出ました (あとで書く)。あわせてセキュリティ アドバイザリが新規に 3 件来てます。

2013.11.15 追記:

 書きますね。

MS13-088 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505)

 IE 6〜11 に 10 件の欠陥。ただし Windows 7、Server 2008 R2 用の IE 11 は除く。

  • Internet Explorer の情報漏えいの脆弱性 - CVE-2013-3908

    IE 6〜10 の欠陥。攻略 Web ページを印刷プレビューすると情報漏洩する。 Exploitability Index: 3

  • Internet Explorer の情報漏えいの脆弱性 - CVE-2013-3909

    IE 6〜8 の欠陥。CSS における特殊文字の扱いに欠陥があり、攻略 Web ページを閲覧すると情報漏洩する。 Exploitability Index: 3

  • Internet Explorer の複数メモリ破損の脆弱性 - CVE-2013-3871 CVE-2013-3910 CVE-2013-3911 CVE-2013-3912 CVE-2013-3914 CVE-2013-3915 CVE-2013-3916 CVE-2013-3917

    攻略 Web ページを閲覧すると任意のコードが実行される。 Exploitability Index: 1

MS13-089 - 緊急: Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。Graphics Device Interface (GDI) における画像処理に欠陥があり、攻略 Write (.wri) ファイルをワードパッドで開くと任意のコードが実行される。 CVE-2013-3940。Exploitability Index: 1

MS13-090 - 緊急: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

 Internet Explorer users face drive-by attacks targeting new 0-day bug (Updated) の件。Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。InformationCardSigninHelper クラス ActiveX コントロール (icardie.dll) に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2013-3918。 Exploitability Index: 1

MS13-091 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2885093)

 Office 2003、2007、2010、2013 に 3 件の欠陥。 いずれも、WordPerfect 文書ファイルの処理に欠陥があり、攻略 WordPerfect 文書ファイルを開くと任意のコードが実行される。

  • WPD ファイル形式のメモリ破損の脆弱性 - CVE-2013-0082

    Exploitability Index: 3

  • Word のスタック バッファー上書きの脆弱性 - CVE-2013-1324

    Exploitability Index: 1

  • Word のヒープの上書きの脆弱性 - CVE-2013-1325

    Exploitability Index: 1

MS13-092 - 重要: Hyper-V の脆弱性により、特権が昇格される (2893986)

 Windows 8 (x64 版)、Server 2012 の Hyper-V に欠陥。 ゲスト VM 上で任意のコードを実行できる。 CVE-2013-3898。 Exploitability Index: 1

MS13-093 - 重要: Windows Ancillary Function ドライバーの脆弱性により、情報漏えいが起こる (2875783)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012 (ただしいずれも x64 版のみ) に欠陥。Windows Ancillary Function ドライバーに欠陥があり、local user が攻略アプリを使って上位権限の情報を取得できる。 CVE-2013-3887。 Exploitability Index: 3

MS13-094 - 重要: Microsoft Outlook の脆弱性により、情報漏えいが起こる (2894514)

 Office 2007、2010、2013、2013 RT に欠陥。S/MIME 証明書メタデータの処理に欠陥があり、攻略 S/MIME 証明書を開くまたはプレビューすると、情報漏洩が起こる。 CVE-2013-3905。 Exploitability Index: 3

MS13-095 - 重要: デジタル署名の脆弱性により、サービス拒否が起こる (2868626)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。X.509 証明書の処理に欠陥があり、攻略証明書を Web サービスに送信すると、Web サービスが DoS 状態になる。 CVE-2013-3869。 Exploitability Index: 3

 セキュリティアドバイザリ 3 件。

セキュリティ アドバイザリ (2862152) DirectAccess の脆弱性により、セキュリティ機能のバイパスが起こる

 DirectAccess に欠陥、にせサーバーを設置可能。

攻撃者が制御するシステムは、特別に細工されたサーバー証明書をインストールすることによって、正規の DirectAccess サーバーとして偽装することができます。標的となったシステムは、攻撃者の DirectAccess サーバーと正規の DirectAccess サーバーを区別できません。

更新プログラム 2862152 を適用し、さらに KB 2862152 を参照した設定が必要。

セキュリティ アドバイザリ (2868725) RC4 を無効化するための更新プログラム

 更新プログラム 2868725 を適用すると、RC4 を無効化できるようになる。 アプリケーション毎に、あるいは OS まるごとで。 Windows 7、Server 2008 R2、8、Server 2012 用。

セキュリティ アドバイザリ (2880823) マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止

 2016.01.01 から、SHA-1 な X.509 証明書を発行できなくなる。SHA-2 に移行しましょう。

Chrome Stable Channel Update
(Google, 2013.11.12)

 Chrome 31.0.1650.48 が stable に。25 件のセキュリティ欠陥が修正されている。 あわせて Flash Player も 11.9.900.152 に更新されている。


2013.11.12

[Announce] Samba 4.1.1, 4.0.11 and 3.6.20 Security Releases Available for Download
(samba.org, 2013.11.11)

 Samba に 2 件の欠陥。

 Samba 4.1.1、4.0.11、3.6.20 で修正されている。

[JS13003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2013.11.12)

 一太郎 2006〜2013 等に欠陥。文書ファイルの処理に欠陥があり、攻略文書ファイルを開くと任意のコードが実行される。 どのような文書ファイルなのかは記載されていない。 CVE-2013-5990 JVN#44999463

 アップデートモジュールが公開されているので適用すればよい。

2013.11.15 追記:

 Yet Another Zero-Day: Japan Hit with Ichitaro Vulnerability (Symantec, 2013.11.14)。既に攻撃が発生していた (0-day だった) 模様です。

 日本語版: 新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃 (シマンテック, 2013.11.15)

標的に Trojan.Mdropper が送信される際、電子メールには一太郎のファイル拡張子である .jtd の付いたファイルが添付されていますが、これは実際には .rtf(リッチテキスト形式)ファイルです。

2013.11.26 追記:

 Ichitaro Vulnerability Successfully Exploited in the Wild (Symantec, 2013.11.25)。 前回報告『新たなゼロデイ: 一太郎の脆弱性を悪用して日本のユーザーを狙う攻撃 (シマンテック, 2013.11.15)』のときには、攻略コードはきちんと動作してはいなかったのだが、今回、複数のインシデントにおいて正常に動作する攻略コードを確認。

2013.11.28 追記:

 一太郎の脆弱性の悪用に成功した攻撃を確認 (シマンテック, 2013.11.26)。上記の日本語版。

2013.12.05 追記:

 From the Labs: New PlugX malware variant takes aim at Japan (Sophos, 2013.12.04)

追記

Adobe がハクられ、顧客情報 290 万人分と Acrobat 等のソースコードが漏洩 (2013.10.04)


2013.11.11

いろいろ (2013.11.11)
(various)

追記

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2013.11.06)

 DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906 (エフセキュアブログ, 2013.11.07)

拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ (2013.09.23)

OS X Mavericksで外付けHDDデータ消失の恐れ 〜WD社製HDDで発覚したが、eSATAやThunderboltにも疑いか (2013.11.05)

Internet Explorer users face drive-by attacks targeting new 0-day bug (Updated)
(ars technica, 2013.11.10)

 IE 7〜10 に 2 件の 0-day 欠陥。

 参照:

2013.11.13 追記:

 MS13-090 - 緊急: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986) (Microsoft, 2013.11.13) で対応された。 CVE-2013-3918

 関連:

iPadのデモ機が爆発、ポート部分から発火し全体が丸焦げに
(gigazine, 2013.11.11)

 iPad 爆発。

オーストラリアの首都・キャンベラにあるVodafoneストアに展示されていたiPadのデモンストレーション用端末

 うひゃあ……。このシチュでバッテリが 3rd party 品ってあり得るのかな……。

2013.11.15 追記:

 なぜか iPad Air だとしたサイトが多かったみたい。そうではない。

OpenSSH Security Advisory: rekeying memory corruption
(OpenSSH, 2013.11.08)

 AES-GCM をサポートした OpenSSL を使って OpenSSH 6.2 または 6.3 を作成した場合に欠陥。認証後の sshd での処理の中で、kex 交換において AES-GCM 暗号 (aes128-gcm@openssh.com または aes256-gcm@openssh.com) が選択された場合に、メモリ破壊が発生。認証済みユーザーの権限において任意のコードを実行できる。シェルやコマンド実行に対して何らかの制限をかけていた場合に、その制限を突破できる。

 OpenSSH 6.2 または 6.3 用の patch が添付されている。OpenSSH 6.4 で修正されている。 AES-GCM 暗号を無効化することで回避できる。


2013.11.09


2013.11.08

いろいろ (2013.11.08)
(various)

2013.12.13 追記:

 マカフィーセキュリティ情報 - 最新版ePolicy Orchestrator(ePO) で対応される複数の脆弱性(Oracle: Java) (マカフィー, 2013.11.07) が 2013.12.05 付で更新されていた。 ePO 4.6.6 用の Hotfix 925585 が 2013.12.03 に公開されたそうだ。

追記

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2013.11.06)

 関連:

  • http://erteam.nprotect.com/452。 Google 翻訳: [注意] - CVE-2013-3906 MS Word Zero-Day脆弱性攻撃 (nprotect / Google 翻訳, 2013.10.31)。攻略ファイルの解説。

    この問題は、対応チームから2013年10月末関連情報を入手し、独自の調査を密かに進行中あった。 また、示されている文書ファイルは、通常、パキスタンの時間帯(PST:Pakistan Standard Time) を利用している。 (中略) 現在までに確認されたところによると、バリエーションが非常に豊富に存在しており、2013年10月03日頃からパキスタンの地域を通って製作流布されたものと推定される。 以外の国でも攻撃が使用された報告が確認されている。
    "Updates.exe"不正なファイルは、一定時間間隔でロシアの特定のホスト(37.0.125.77) に接続しようとして様々な追加コマンドを実行することになる。
  • Microsoft Graphics Component に存在するゼロデイ脆弱性とは (トレンドマイクロ セキュリティ blog, 2013.11.07)

  • Operation Hangover の攻撃で悪用された新しいゼロデイ脆弱性 (シマンテック, 2013.11.07)

    この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。

    Operation Hangover は「インドから発信されていると思われる標的型のサイバースパイ攻撃」「主としてパキスタンを標的にしている」。

  • Microsoft 社、悪意のある画像ファイルを利用するゼロデイの脆弱性について Windows ユーザーに警告 (Sophos, 2013.11.07)

マイクロソフト セキュリティ情報の事前通知 - 2013 年 11 月
(Microsoft, 2013.11.08)

 緊急 × 3、重要 × 5。IE あり、Office あり。 マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される の件は直らない予定だそうです。 Clarification on Security Advisory 2896666 and the ANS for the November 2013 Security Bulletin Release (Microsoft, 2013.11.07)

While this release won’t include an update for the issue first described in Security Advisory 2896666, we’d like to tell you a bit more about it.

2013.11.07

追記

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2013.11.06)

 関連:

BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について - Windows版のみが対象、バージョンアップを強く推奨 -
(JPRS, 2013.11.07)

 Windows 版 BIND 9.x に欠陥。ネットワークインターフェースの netmask が 255.255.255.255 のときに、localnets ACL が「すべてのIPv4アドレスからのアクセスが許可された状態」として設定されるため、オープンリゾルバーになってしまうなどの問題が生じる。UNIX 版 BIND 9.x にはこの欠陥はない。CVE-2013-6230

 netmask が 255.255.255.255 でなければこの欠陥は影響しない。また、localnets ACL に依存しない ACL を個別に設定することで影響を回避できる。

 BIND 9.6-ESV-R10-P1、9.8.6-P1、9.9.4-P1 で修正されている。


2013.11.06

いろいろ (2013.11.06)
(various)

追記

いろいろ (2013.10.31)

マイクロソフト セキュリティ アドバイザリ (2896666) Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される
(Microsoft, 2013.11.06)

 Windows Vista / Server 2008、Office 2000 / 2007 / 2010、Office 互換機能パック、Lync 2010 / 2013 に 0-day 欠陥。TIFF 画像の処理に欠陥があり、攻略 TIFF 画像を含んだ電子メールや Web ページ、Office 文書などによって任意のコードを実行できる。既に中東や南アジアにおいて、攻略 Word ファイルが確認されている。CVE-2013-3906

 回避策:

 関連:

2013.11.07 追記:

 関連:

2013.11.08 追記:

 関連:

2013.11.11 追記:

 DeepGuard 5 vs. ゼロデイエクスプロイトCVE-2013-3906 (エフセキュアブログ, 2013.11.07)

2013.11.13 追記:

 Exploit Proliferation: Additional Threat Groups Acquire CVE-2013-3906 (FireEye, 2013.11.12)

2013.11.21 追記:

 Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 〜不審メールへの警戒、緊急対策の実施を〜 (IPA, 2013.11.20)

2013.12.12 追記:

 MS13-096 - Microsoft Graphics Component の脆弱性により、リモートでコードが実行される (2908005) で修正された。Fix it 51004 を適用している場合は、MS13-096 更新プログラムの適用後に、Fix it 51005 を適用すること。


2013.11.05

いろいろ (2013.11.05)
(various)

OS X Mavericksで外付けHDDデータ消失の恐れ 〜WD社製HDDで発覚したが、eSATAやThunderboltにも疑いか
(Internet Watch, 2013.11.05)

 SSD に続いて、今度は外付け HDD でトラブルですか……。しかも今度は、OS が HDD を破壊しているっぽい。 OS が悪いのか、3rd party アプリ / ドライバが悪いのか、よくわからん。

 11月5日朝の現時点において、原因は究明できていない。加えて、WD社製外付けHDDだけでなく、eSATAまたはThunderbolt周辺機器にも影響している可能性がユーザーから多数報告されている。
(中略)
 こうしたことを考えると、MavericksでのeSATAまたはThunderbolt関連周辺機器の使用は当面中止した方が良さそうだ。

 顎が外れるような助言だな……。 関連:

2013.11.11 追記:

 関連:

2013.12.17 追記:

 WD の新しいソフトウェアが公開されてました。


2013.11.01


[セキュリティホール memo]
[私について]