セキュリティホール memo - 2008.04

Last modified: Sun Apr 19 02:31:59 2009 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2008.04.30

CORE-2008-0320 - Insufficient argument validation of hooked SSDT functions on multiple Antivirus and Firewalls
(Core Security Technologies, 2008.04.29)

 BitDefender Antivirus 2008, Comodo Firewall Pro, Sophos Antivirus 7.x, Rising Antivirus に欠陥。フックした SSDT 関数の引数の検証が不十分なため、DoS 攻撃や任意のコードの実行が可能となる。

SQL インジェクション攻撃とその対策
(Microsoft, 2008.04.30)

 Microsoft が「そろそろ SQL インジェクション攻撃についてひとこと言っとくか」と思ったみたい。 関連:

互換性問題によってWindows XP SP3の一般公開が延期される
(slashdot.jp, 2008.04.30)

 Windows XP SP3 の Windows Update / Download Center での公開が中止されたそうです。

同社のMicrosoft Dynamics Retail Management Systemという製品との間での互換性に問題があると判明したため

 自社製品かよ……。

 元ねたによると、同様の互換性問題は Windows Vista SP1 にもあるそうで、自動更新での Vista SP1 の提供が中止されたそうです。ただし、Windows Update や Download Center ではひき続き公開されているそうです。


2008.04.29

Vista SP1でCPUの速度低下についてAMDがコメント
(日経 BP, 2008.04.28)

 こういうことらしい。

  1. 「B2 Stepping の CPU (Phenom 9500/9600/9600 Black Edition、同X3 8400/8600、同X4 9100e)」に errata が存在。しかし AMD 曰く、「一般的なクライアントPCの用途だと errata による問題が発生する確率は低い。自作PCなどでは修正コードを適用しなくても問題ない」そうだ。 なお、この errata は「B3 Stepping の CPU (Phenom X4 9550/9650/9750/9850 Black Edition、同X3 8450/8650/8750」には存在しない。
  2. errata の修正プログラムが存在するが、これを適用するとメモリ関連のパフォーマンスが低下してしまう。マザーボードベンダーは BIOS において errata 修正プログラムの on/off を選択できるようにするのが一般的だった。
  3. Vista SP1 はこの errata 修正プログラムを強制的に適用してしまうため、パフォーマンス低下が発生してしまう。

 で、AMD OverDrive (AMD) を使うと、Vista SP1 においても errata 修正を無効にできる模様。

追記

Microsoft - 2008 年 4 月のセキュリティ情報

 MS08-020 欠陥の発見者が、MS08-020 : How predictable is the DNS transaction ID? (Security Vulnerability Research & Defense, 2008.04.09) は間違ってるぜと主張している。

Wordpress 2.5 Cookie Integrity Protection Vulnerability
(Steven J. Murdoch, 2008.04.26)

 Wordpress 2.5 に欠陥。特殊なユーザ名で登録すると、他のアカウントの認証クッキーを生成できてしまう。CVE-2008-1930

 Wordpress 2.5.1 で修正されている。リリースノートでは、この他に「Alex Concha から報告のあった XSS 話」も修正したとされている。


2008.04.28

追記

QuickTime Zero-Day Hits Windows XP, Vista

 QuickTime 0day for Vista and XP (gnucitizen, 2008.04.25)。デモムービーあり。

LHaplus: ZOO 展開時のバッファオーバーフロー
(HoeHoe.com 跡地, 2008.04.28)

 Lhaplus 1.56 以前に欠陥。ZOO ファイルの扱いに欠陥があり、buffer overflow が発生、攻略 ZOO ファイルによって任意のコードを実行できる。 CVE-2008-2021

 Lhaplus 1.57 で修正されている。1.50 以降用のアップデータも用意されている。 関連:


2008.04.27

追記

Potential vulnerability in Photoshop Album Starter Edition 3.2

 Adobe Album Starter 3.2 Unchecked Local Buffer Overflow Exploit (milw0rm)


2008.04.26

HPSBGN02333 SSRT080031 rev.1 - HP Software Update HPeDiag Running on Windows, Remote Disclosure of Information and Execution of Arbitrary Code
(HP, 2008.04.24)

 HP ソフトウェア更新 (HP Software Update) v4.000.009.002 以前に欠陥。 HPeDiag ActiveX コントロールに欠陥があり、攻略 Web ページによって任意のコードを実行できる。 CVE-2008-0712

 v4.000.010.008 以降で修正されている。HP ソフトウェア更新自身を使って更新できる。

 関連: HP HPeDiag の ActiveX コントロールにおける複数の脆弱性 (vuln.sg, 2008.04.25)


2008.04.25

追記

「Adobe Reader 8.1.2」公開、脆弱性の修正を含むアップデート

 この欠陥を悪用した標的型攻撃が流行っているそうです。

 Adobe Reader / Acrobat 8.x は 8.1.2 にアップデートすればよいのですが、Adobe Reader / Acrobat 7.x 用の patch はいまだに公開されていません。

バージョン7.0.9およびそれ以前のAcrobatおよびAdobe Readerもこの脆弱性の影響を受けます。アドビでは、このセキュリティの問題を解決するためのAdobe ReaderおよびAcrobat 7のアップデートを5月末までにリリースする予定です。

 なんとも悠長なことで。

Potential vulnerability in Photoshop Album Starter Edition 3.2

 Photoshop Album Starter Edition は、日本では Photoshop Album Mini という名前なのですね。


2008.04.24

いろいろ (2008.04.24)
(various)

追記

APSB08-11 - Flash Player update available to address security vulnerabilities

 日本語版: APSB08-11 - Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)

いろいろ (2008.04.11)

 APSB08-12 - Update available for ColdFusion 8 CFC method access level issue (Adobe, 2008.04.08) の日本語版登場: APSB08-12 - ColdFusion 8 CFCメソッドのアクセスレベルに関するアップデート公開 (Adobe)

JVN#76788395 - ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性

 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か (高木浩光@自宅の日記, 2008.04.23)

Windows版Safari 3.1.1に複数の脆弱性,セキュリティ関連のMLが警告
(日経 IT Pro, 2008.04.24)

 この話:

 CVE-2008-1999 CVE-2008-2000 CVE-2008-2001

Trend Micro Control Manager 3.5 Patch 4 公開のお知らせ
(トレンドマイクロ, 2008.04.24)

 Trend Micro Control Manager 3.5 Patch 4 登場。「Control Managerの脆弱性診断サービスにおいて、任意のコードを実行するリモート攻撃をうける可能性があ」る欠陥が修正されている。

Potential vulnerability in Photoshop Album Starter Edition 3.2
(Adobe, 2008.04.21)

 Photoshop Album Starter Edition 3.2 に欠陥。攻略 .BMP ファイルによって任意のコードを実行できる。patch はまだない。 CVE-2008-1765

 Photoshop / Photoshop Elements については、昨年 7 月のAPSB07-13 - Photoshop CS2およびCS3のセキュリティ脆弱性に対処するためのアップデート で対応されている。まだ対応していない Photoshop / Photoshop Elements 利用者は今すぐアップデートしませう。

2008.04.25 追記:

 Photoshop Album Starter Edition は、日本では Photoshop Album Mini という名前なのですね。

2008.04.27 追記:

 Adobe Album Starter 3.2 Unchecked Local Buffer Overflow Exploit (milw0rm)

QuickTime Zero-Day Hits Windows XP, Vista
(eWeek, 2008.04.22)

 GNUCitizen の中の人が QuickTime for Windows の 0-day な欠陥を発見、実証コード (攻略 .mov ファイル) の作成にも成功した模様。詳細は不明。 CVE-2008-2010

2008.04.28 追記:

 QuickTime 0day for Vista and XP (gnucitizen, 2008.04.25)。デモムービーあり。


2008.04.23

JVN#76788395 - ソニー製 mylo COM-2 におけるサーバ証明書を検証しない脆弱性
(JVN, 2008.04.23)

 ソニーと言えば……と思って謝辞を見たら、やっぱり高木さんだった。

2008.04.24 追記:

 新型myloのオレオレ証明書を検出しない脆弱性がどれだけ危険か (高木浩光@自宅の日記, 2008.04.23)


2008.04.22

Kaspersky Internet Security騒動の裏に隠された真実
(ITmedia, 2008.04.22)

 Kaspersky Internet Security 7.0 に 4/18 の更新を適用後、Windows の挙動がおかしくなった話 (フォントが正常に表示されない、など)。オオカワさん情報ありがとうございます。ITmedia 記事の著者は KIS 7 のファイアウォール機能に「慢性的なリークバグが存在すると考えている」そうだ。しかし今回の状況は、単なるメモリリークではなく、メモリ破壊なんじゃないの?

 http://www.just-kaspersky.jp/ にオフィシャル情報出ています。

2008.04.22
Kaspersky Internet Security 7.0において、4/17夜間に配信したドライバの更新に不具合があり、一部の環境ではWindowsの表示が不正になったり、動作が遅くなる現象が4/17以降に確認されています。4/21 20:00以降の定義データベースの配信で修正しておりますので、現象が発生しているお客様は、最新の定義データベースの適用をお願いいたします。お客様にはご迷惑をお掛けして申し訳ございません。
現象が解決しない場合は、カスペルスキー専用サポートセンターにお問い合わせください。

 KIS 7 利用者は更新しませう。

追記

Buffalo LinkStation LS-GL / LS-LGL / LS-HGL / HS-DHGL に脆弱性

 続報。Ray さん情報ありがとうございます。


2008.04.21

「パッチから攻撃プログラムを自動生成」、米研究者が実験に成功
(日経 IT Pro, 2008.04.21)

 やってみたらできてしまったそうで。

 対抗策としては、「patch をより早期に適用」とか「patch を適用しなくても一定限度対応できるようにする」(回避策の実施、セキュア OS 化、……) とかかなあ。

ネット時代のスパイ活動、発信源は中国にあり  サイバー攻撃が激増、標的は政府機関や防衛関連企業
(日経 BP, 2008.04.21)

 中国からの企業内ネットワーク侵入・機密情報奪取ねた。話題のドメイン 3322.org の話も。関連:

追記

マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる

 関連:

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ

 SQL インジェクションの方法:

 関連コメント:


2008.04.18

いろいろ (2008.04.18)
(various)

2008.05.03 追記:

 Microsoft Works 7 WkImgSrv.dll ActiveX Remote BOF Exploit (milw0rm)。

2008.06.15 追記:

 WkImgSrv.dll の件: Why there won't be a security update for WkImgSrv.dll (Security Vulnerability Research & Defense, 2008.06.10)

[SA29852] OpenOffice Multiple Vulnerabilities
(secunia, 2008.04.18)

 OpenOffice に複数の欠陥。攻略 OLE / ODF / Quattro Pro / EMF ファイルによって任意のコードを実行できる。

 OpenOffice 2.4.0 で修正されている。ダウンロード

マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる
(Microsoft, 2008.04.18)

 IIS / SQL Server / MSDTC において、認証されたユーザが LocalSystem 権限を奪取できる模様。ただし:

 なんか、訳ひどくない? > Microsoft。

原文
How is IIS affected?
User-provided code running in IIS, for example ISAPI filters and extensions, and ASP.NET code running in full trust may be affected by this vulnerability. IIS is not affected in the following scenarios:
訳文
IIS はどのような影響を受けますか?
ユーザーに提供された IIS で実行しているコード (例: ISAPI フィルタおよび拡張子) および完全な信頼を与えられて実行している ASP.NET コードがこの脆弱性の影響を受ける可能性があります。 IIS は次のシナリオでは影響を受けません。

 拡張子って何……

2008.04.21 追記:

 関連:

2008.05.20 追記:

 A Mileage Report from BlueHat (SANS ISC, 2008.05.18)。Microsoft BlueHat Security Briefings: Spring 2008 Sessions (Microsoft) の話。Token Kidnapping (argeniss.com) はこんな話:

This presentation is about a new technique for elevating privileges on Windows, mostly from services. This technique exploits design weaknesses in Microsoft Windows XP, Windows Server 2003, Windows Vista, and even Windows Server 2008.

The presentation will explain how it's possible in Windows XP and Windows Server 2003 to elevate privileges to LOCAL SYSTEM from any process that has impersonation rights, and how it's possible in Windows Vista and Windows Server 2008 to elevate privileges to LOCAL SYSTEM from processes running under NETWORK SERVICE and LOCAL SERVICE accounts, demonstrating that running code under NETWORK SERVICE or LOCAL SERVICE is nonsense since it's always possible to end up running code under LOCAL SYSTEM account. It will also show zero-day code for elevating privileges in SQL Server 2005 and Internet Information Services 6 and 7.

 ANNOUNCE: Security Implications of Windows Access Tokens Whitepaper の話ですね。プレゼン資料の最後はこうなってます:

Conclusions

2008.08.28 追記:

 マイクロソフト セキュリティ アドバイザリ (951306) Windows の脆弱性により、特権の昇格が行われる が改訂されています。

2008/08/28: このアドバイザリを更新し、影響を受けるソフトウェアに Windows XP Professional Service Pack 3 を追加しました。

 既に 4 か月経過しましたが、いまだに直っていないわけですね……。

2008.10.10 追記:

 英語版アドバイザリが改訂されています。PoC が公開されたそうです。 日本語版アドバイザリもそのうち改訂されるでしょう。

 参照: Token Kidnapping Windows 2003 PoC exploit (No More Root, 2008.10.07)

2008.10.17 追記:

 関連:

2009.04.19 追記:

 MS09-012 - 重要: Windows の脆弱性により、特権が昇格される (959454) で遂に修正された。MS09-012: Fixing “Token Kidnapping” (Microsoft Security Research & Defense blog, 2009.04.14) も参照。

In the upcoming release of Windows 7 and Windows Server 2008 R2 systems, a new feature named Managed Service Accounts (http://technet.microsoft.com/en-us/library/dd367859.aspx) has been introduced which creates a more streamlined and flexible solution to the issues surrounding service isolation. It provides for services, which have opted to use the feature, the ability to run as a separate account which remotely authenticates with a managed domain SPN. It also provides seamless and automatic password management, similar to the computer account, which frees up time that administrators would previously have used to update user account passwords for these services. You can read more about creating Managed Service Accounts here http://technet.microsoft.com/en-us/library/dd548356.aspx.

「Vistaは発展途上の製品」——マイクロソフトのバルマーCEO
(computerworld, 2008.04.18)

 SP1 が出たのに今だに発展途上だとは……。「Windows Vista は Windows Me の再来」説にまた一つ信憑性が加わった。

スティーブ・バルマー(Steve Ballmer)氏は4月17日、シアトルで開催された年次イベント「Microsoft 2008 MVP Summit」でWindows Vistaが発展途上の製品である点を強調した。

 MVP Global Summit で、ですか……。

Ballmer氏は、「Microsoftが真剣に仮想化へ取り組む時が来た。仮想化を必ず民主化してみせる」と力説。同氏によれば、全世界のサーバのうち、現在仮想化されているのは5%未満にすぎないという。「あまりにも(仮想化ソフトが)高価で、しかも(仮想化環境の)管理が複雑すぎる。今後はこの2 つをテーマにして大々的に仮想化へ取り組んでいく予定だ」(Ballmer氏)

 VMware ESX Server は高すぎるからねえ。

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
(サウンドハウス, 2008.04.18)

 サウンドハウスにおける個人情報流出事件に関する、詳細な報告書。クレジットカード会社の意向に振りまわされる様子が生々しく語られている他、原因等についても詳述されている。匿名希望さん情報ありがとうございます。

 それにしても……。クレジットカード各社は、告知文に関するポイント集とかテンプレートとか持っていないのかね。対応があまりに場当たり的すぎないか。まぁ、そういうものを事前に用意していないサウンドハウスが悪い、と言ってしまえばそれまでなのだが、そんなものを用意できるような会社はいくつもあるわけではないだろうし。

 あと、

その内、世間ではハッキングの事件が急増し、特に2005年以降は、SQLインジェクションによる被害も多々レポートされているにも関わらず、それらの情報を十分に得て、様々な他社の教訓から学ぶことがないまま、今回の事件に遭遇してしまいました。しかしこれは単に、一企業のみの責任ではなく、クレジットカードの被害状況を日々、把握、データ化しているにも関わらず、アラートを出して具体的な対策を示さないクレジットカード会社や、これらの被害情報をもっとタイムリーに収集して、世間に大々的に告知する為に能動的に動かない行政にも責任があるものと考えます。

 サウンドハウスの中の人は IPA も JPCERT/CC も知らないってことですかね。

本来ならば、クレジットカードの取り扱いを開始するにあたって、インターネットセキュリティー構築のガイドラインがあってしかるべきであり、少なくとも最小限のセキュリティレベルが明示されているべきです。ところが、どこまでやれば十分か、という明確な基準が無いため、加盟店は、それぞれが独断で実行している部分があることを否めません。

 その「基準」は今や PCI DSS になりつつあるように見えるのだけど、

 クレジットカードの再開にあたっては、強力してくださるどころか、驚くほど高額な調査費用のかかるサービスを、再開の条件として提示してきました。(中略) 1 つはサイバートラスト社によるフォレンジック調査であり、(中略) もう一社は、NTT データセキュリティ社であり、PCIDSS と呼ばれるクレジットカード会社 5 社がクレジットカードの情報保護の為に策定した国際基準に準拠するための事前調査を行います。

 サウンドハウス程度の規模の会社では承服し難い予算が必要になるということですかね。業者指定無競争のぼったくり価格なのかな。

2008.04.21 追記:

 SQL インジェクションの方法:

 関連コメント:

2008.06.05 追記:

 個人情報流出に関する補足のお知らせ (サウンドハウス, 2008.06.04)。クレジットカードはまだ使えませんが、もうすぐ使えるようになるっぽい?

只今クレジットカード会社と最終の調整を致しておりますので、今暫くお待ちくださいますようお願い申しあげます。

 あと、「プレスリリースを発表した理由」が興味深いですねえ。

それには大きく2つの理由がありました。まず、被害の詳細をセキュリティ会社と共に調査して行く内に、サウンドハウスが遭遇した問題はほんの氷山の一角にしかすぎず、実際には多くの企業が被害を受けている可能性が高いことを知ったからです。(中略)
 もう一つの理由は、クレジットカード会社の対応に苦慮したという点です。

 「もう一つの理由」の方が記述量が多いですね……。やっぱりそちらが主なのかな。

 弊社にとってもクレジットカードの存在は重要です。しかしその依存度は、まだ売り上げの3割程度であり、業界の最大手という立場から、臆することなく、クレジットカード会社と対等に意見を交わすことができる加盟店の一つであることに違いはなく、自分が語らなければ一体誰が本当のことを語るのであろうかという思いがつのり、プレスリリースに至った次第です。

 「売り上げの3割程度」でしかないのに、利用再開のためにかけなければならないコストが大きすぎる、ということなのだろうなあ。

「ウェブサイトのSQLインジェクション脆弱性の検出ツール」を公開
(IPA, 2008.04.18)

 擬似攻撃でもするのかと思ったら、そうではなくて、

 そこで、IPAでは、ウェブサーバのアクセスログの中から、ウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを検出する簡易ツール「iLogScanner」を開発しました。
(中略)
 iLogScannerは、ツール利用者がウェブブラウザを利用してIPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムです(図1)。

 ログ解析ツールです。LAC 製。


2008.04.17

いろいろ (2008.04.17)
(various)

追記

Secunia Research 14/04/2008 - ClamAV Upack Processing Buffer Overflow Vulnerability -

 ClamAV 0.92.2 ではなく 0.93 が公開されたのですね。 [Clamav-announce] announcing ClamAV 0.93。戸井さん情報ありがとうございます。

 関連:

MacBook Airをハッキング、コンテストで勝者決定

 Safari 3.1.1 で修正された。Safari ではなく WebKit の欠陥だった。CVE-2008-1026

About the security content of Safari 3.1.1
(Apple, 2008.04.17)

  Safari 3.1.1 登場。4 つの欠陥が修正されている。内 2 つは Safari ではなく WebKit の欠陥。 MacBook Air が攻略された話の欠陥も修正されたそうだ。

Firefox 2.0.0.14 リリースノート
(mozilla.com, 2008.04.16)

 Firefox 2.0.0.14 登場。Critical な欠陥、MFSA 2008-20: Crash in JavaScript garbage collector が修正されている。CVE-2008-1380 この欠陥は Thunderbird 2.0.0.14 / SeaMonkey 1.1.10 においても修正されるが、これらはまだ登場していない。


2008.04.16


2008.04.15

Secunia Research 14/04/2008 - ClamAV Upack Processing Buffer Overflow Vulnerability -
(secunia, 2008.04.14)

 ClamAV 0.92.1 以前に欠陥。libclamav/pe.c の cli_scanpe() 関数で buffer overflow が発生するため、攻略 Upack ファイルによって任意のコードを実行できる。 CVE-2008-1100

 まもなく公開される予定の ClamAV 0.92.2 で修正される。2008.03.10 以降、PE スキャンモジュールは remote から無効化されている。(ってどうやって? ウイルス定義ファイルで?)

2008.04.17 追記:

 ClamAV 0.92.2 ではなく 0.93 が公開されたのですね。 [Clamav-announce] announcing ClamAV 0.93。戸井さん情報ありがとうございます。

 関連:

2008.04.29 追記:

いろいろ (2008.04.15)
(various)

2008.05.15 追記:

 Debian Bug report logs - #469296 - rxvt: [SECURITY] opens terminal on unspecified display (CVE-2008-1142) 関連:

追記

Microsoft - 2008 年 4 月のセキュリティ情報

 MS08-021 exploit maker。

今日のウイルスメール (2008.04.14)

 上記のメールは To: や recipient などをいじっていることを明記。実際には、実在の理工学部教員のアドレスが入っている。

 京大に来ていたものも同じところ 84.18.200.200 からだった模様。ただし内容は異なる?!

 Symantec blog にも出ている。

 さきほどもう一度 VirusTotal してみた結果。

 マカフィーは Extra.dat あります。


2008.04.14

今日のウイルスメール (2008.04.14)
(龍大, 2008.04.14)

 To: や recipient などをいじってあるけど、こんな感じ。

Received: from mod.go.jp (unknown [84.18.200.200])
        by hiryu.st.ryukoku.ac.jp (Postfix) with ESMTP id B4235DEF24
        for <nobody@rins.ryukoku.ac.jp>; Mon, 14 Apr 2008 11:43:04 +0900 (JST)
Received: from 2E275A22C1E14FA[192.168.1.121] by mod.go.jp
  with SMTP id 45E4E03A; Mon, 14 Apr 2008 11:42:53 +1000
From: 防衛省 <infomod@mod.go.jp>
Subject: 防衛省所管公益法人一覧
To: "nobody" <nobody@rins.ryukoku.ac.jp>
Date: Mon, 14 Apr 2008 11:43:02 +0900
Content-Type: multipart/mixed;
 boundary="=_NextPart_2rfkindysadvnqw3nerasdf";
        charset="jis"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit

This is a multi-part message in MIME format

--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

関係各位

 お疲れ様です。
 防衛省所管公益法人に異動事項がありましたので、
4月14日付の最新版を添付します


(attached file:0414.zip)

---------------------------
 Ministry of Defense
 Tel: +81-3-5366-3111
 Email: infomod@mod.go.jp
----------------------------

--=_NextPart_2rfkindysadvnqw3nerasdf
Content-Type: application/octet-stream;
        name="0414.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
        filename="0414.zip"

UEsDBBQAAAAIAKBRjjjTFzu5Ui0AAACyAAAIAAAAMDQxNC54bHPsWwt0VNW53ifJhEl4JYAxpAop
(中略)
AAAgAAAAeC0AADA0MTQuZXhlUEsFBgAAAAACAAIAbAAAAMBsAAAAAA==

--=_NextPart_2rfkindysadvnqw3nerasdf--

 0414.zip の中身:

% unzip -l 0414.zip
Archive:  0414.zip
  Length     Date   Time    Name
 --------    ----   ----    ----
    45568  04-14-08 10:13   0414.xls
    45056  04-14-08 04:47   0414.exe
 --------                   -------
    90624                   2 files

 0414.xls と 0414.exe を VirusTotal にかけてみた。

 とりあえず JPCERT/CC には報告した。

2008.04.15 追記:

 上記のメールは To: や recipient などをいじっていることを明記。実際には、実在の理工学部教員のアドレスが入っている。

 京大に来ていたものも同じところ 84.18.200.200 からだった模様。ただし内容は異なる?!

 Symantec blog にも出ている。

 さきほどもう一度 VirusTotal してみた結果。

 マカフィーは Extra.dat あります。


2008.04.13

追記

Microsoft 2007 年 11 月のセキュリティ情報

 MS07-062 patch を適用すると、Windows Server 2003 ではメモリリークが発生するそうです。On a Windows Server 2003-based computer that has the update from security bulletin MS07-062 installed, you may experience a memory leak in DNS (Microsoft KB946565) 参照。

Microsoft - 2008 年 4 月のセキュリティ情報

 関連:

Symantec Endpoint Protection 11.0 MR2 + Windows Vista / Server 2008 で不具合
(Microsoft, 2008.04.11)

 Symantec Endpoint Protection 11.0 MR2 を Windows Vista / Server 2008 で利用すると、Stop 0x000000E3 エラーが発生する不具合があるそうです。 Windows 側での NTFS file system exception handling に問題があるそうで、patch はまだありません。

 しかし、では MR1 に戻せばいいかというと、それはそれで問題があるかもしれません。

2008.05.07 追記:

 新たな KB が: Error message when Symantec Endpoint Protection MR2 quarantines a file in Windows Vista or in Windows Server 2008: "Stop 0x000000E3" (Microsoft KB951250)。Windows Vista 用の patch があるそうです。KB951580 と同じ問題のような気がするのだけど、なぜ別 KB なのかよくわかりません。

EMC DiskXtender 方面
(iDefense, 2008.04.10)

 EMC DiskXtender に複数の欠陥。

 サポートから patch を入手できる模様。


2008.04.12


2008.04.11

いろいろ (2008.04.11)
(various)

2008.04.24 追記:

 APSB08-12 - Update available for ColdFusion 8 CFC method access level issue (Adobe, 2008.04.08) の日本語版登場: APSB08-12 - ColdFusion 8 CFCメソッドのアクセスレベルに関するアップデート公開 (Adobe)

追記

マイクロソフト セキュリティ アドバイザリ (950627) Microsoft Jet Database Engine (Jet) の脆弱性によりリモートでコードが実行される

 関連: 「Microsoft Jet」のぜい弱性に修正が必要なもう一つの理由 (日経 IT Pro, 2008.04.11)。Another Reason to Patch Microsoft Jet Vulnerabilities (Symantec blog, 2008.03.20) の翻訳記事。

Microsoft - 2008 年 4 月のセキュリティ情報

  Windows GDIの脆弱性を狙った攻撃が活発化  3年前にも同様の脆弱性が大規模攻撃の対象に (computerworld, 2008.04.11)


2008.04.10

Microsoft - 2008 年 4 月のセキュリティ情報
(Microsoft, 2008.04.09)

 緊急 x 5、重要 x 3。

 patch があるので適用すればよい。

2008.04.11 追記:

  Windows GDIの脆弱性を狙った攻撃が活発化  3年前にも同様の脆弱性が大規模攻撃の対象に (computerworld, 2008.04.11)

2008.04.14 追記:

 関連:

2008.04.15 追記:

 MS08-021 exploit maker。

2008.04.29 追記:

 MS08-020 欠陥の発見者が、MS08-020 : How predictable is the DNS transaction ID? (Security Vulnerability Research & Defense, 2008.04.09) は間違ってるぜと主張している。

APSB08-11 - Flash Player update available to address security vulnerabilities
(Adobe, 2008.04.08)

 Flash Player 9.0.115.0 以前 / 8.0.39.0 以前、Flex 3.0 以前、AIR 1.0 以前に複数の欠陥。

 Flash Player 9.0.124.0 で修正されている。

2008.04.24 追記:

 日本語版: APSB08-11 - Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 (Adobe)

2008.07.16 追記:

 Flash Player 9.0.124.0 をインストールした環境では、VeriSign の「セキュアドシール」(Flash 版) を正常に確認できない模様。

 VeriSign は、GIF 版は問題ないので GIF 版を使ってくれ、と言っているようです。 Benjamin さん情報ありがとうございます。

2008.07.23 追記:

 ベリサインセキュアドシールの件、対応されたようです: ベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象の解消のお知らせ (VeriSign, 2008.07.22)。Benjamin さん情報ありがとうございます。


2008.04.09

追記

いろいろ (2008.02.05)

 UltraVNC の件。リモート操作フリーソフト「UltraVNC」にセキュリティ・ホール,日本語環境での対応法を紹介 (日経 IT Pro, 2008.04.09) において、上記 vncviewer は日本語キーボードに対応していない件とその対応について、 山下眞一郎が詳細に解説しています。ポイントはこうみたい:

  • 事前に UltraVNC 1.0.2 日本語版 Release 2 を削除し、再起動した後に UltraVNC 1.0.4 RC14 をインストールする (上書きインストールはダメ)
  • UltraVNC 1.0.4 RC14 では日本語キーボードに対応しており、設定すれば利用できる (設定しないと利用できない)

2008.04.08

追記

mixiが規約変更予定、日記の無断出版が可能に

 ミクシィの利用規約改定問題が示すCGM時代の権利処理のあり方 (日経 BP, 2008.04.03)

[SA29665] CA Products Alert Notification Server Multiple Vulnerabilities
(Secunia, 2008.04.05)

 CA Anti-Virus for the Enterprise (eTrust Antivirus) 7.1 / r8 / r8.1、 BrightStor ARCserve Backup r11 / r11.1 / r11.5、CA Threat Manager for the Enterprise (eTrust Integrated Threat Management) r8 / r8.1 に含まれる Alert Notification Server サービス (Alert.exe 7.1.758.0 / 8.0.450.0 / 8.1.586.0) に複数の欠陥があり、remote から任意のコードを実行できる。CVE-2007-4620

 修正プログラムが公開されているので適用すればよい。 Security Notice for Alert Notification Server (CA) を参照。

HP USB Keys Shipped with Malware for your Proliant Server
(SANS ISC, 2008.04.07)

 HP USBフロッピー ドライブ キーの一部 (?) にウイルスが同梱されている模様。


2008.04.07

不具合と緊急メンテナンスにつきまして・・・それだけ?
(ブログ民 - ショボーン, 2008.04.05)

 ブログ民というサイトにおいて、2008 年 2 月以降に複数回 iframe を挿入される攻撃が行われているにもかかわらず、利用者には一切説明されていない模様。関連:

 リネージュ資料室さん情報ありがとうございます。

OpenSSH 5.0 Release Notes
(OpenSSH.com, 2008.04.03)

 OpenSSH 5.0/5.0p1 出ています。戸井さん情報ありがとうございます。 次の欠陥が修正されています。

CVE-2008-1483: Avoid possible hijacking of X11-forwarded connections by refusing to listen on a port unless all address families bind successfully.

2008.04.04

追記

[SA29315] RealPlayer ActiveX Control "Console" Property Memory Corruption

 Unpatched RealPlayer Vulnerability Being Exploited in the Wild (Symantec blog, 2008.04.03) によると、 この欠陥は RealPlayer 11.0.2 に含まれる rmoc3260.dll (6.0.10 .50) で修正されているそうだ。RealPlayer ダウンロードページから RealPlayer11GOLD_ja.exe をダウンロードしてインストールしてみたところ、RealPlayer 11.0.2 だった。

 PoC

[openmya:038862] Re: 脆弱性の報告は何処にすればいい?

 「情報セキュリティ早期警戒パートナーシップガイドライン」の2008年版を公開 〜ウェブサイト運営者のための脆弱性対応マニュアルをガイドライン化〜 (IPA, 2008.04.04)

2008年3月末までにソフトウェア製品及びウェブサイトの脆弱性に関する届出が2,046件に達し

 ソフトウェア等の脆弱性関連情報に関する届出状況 [2007年第4四半期(10月〜12月)] (IPA) によると、2007 年末で 1123 + 626 = 1749 なので、2008Q1 は 2046 - 1749 = 297。 2007年は

2007Q1 37 + 96 = 133
2007Q2 46 + 95 = 141
2007Q3 49 + 103 = 152
2007Q4 66 + 80 = 146

なので、2008Q1 の 297 という数字は「これまでの倍」ですな。人的資源が対応できなくなっているのですかねえ。

SYM08-009 - Symantec AutoFix Support Tool ActiveX Control Vulnerabilities
(Symantec, 2008.04.02)

 Norton 360 version 1.0、Norton AntiVirus / Norton Internet Security / Norton System Works 2006 〜 2008 に含まれる Symantec AutoFix Tool に利用される ActiveX コントロール (SYMADATA.DLL) に 2 種類の欠陥があり、攻略 Web ページによって任意のコードを実行できるなどの状況が発生し得る。

 修正版の AutoFix Tool は自動的にインストールされる。また https://www-secure.symantec.com/techsupp/asa/install.jsp からも入手できる。

マイクロソフト セキュリティ情報の事前通知 - 2008 年 4 月
(Microsoft, 2008.04.04)

 緊急: 5、重要: 3 と、今月も盛りだくさんです。Windows Vista SP1 / Server 2008 も例外ではないようで。

Changelog for Opera 9.27 for Windows
(Opera, 2008.04.04)

 Opera 9.27 登場。2 件のセキュリティ欠陥が修正されている。

 加えて、パスワード入力時のキーボード処理が改善されているそうだ。


2008.04.03

いろいろ (2008.04.03)
(various)

About the security content of QuickTime 7.4.5
(Apple, 2008.04.03)

 QuickTime 7.4.5 登場。11 種類の欠陥が修正されている。

 Windows 版の Apple Software Update でも更新できるようです。ただし、iTunes や Safari をインストールしていなくてもそれらの項目が現れるので注意しましょう。 除外設定もできないしなあ。Apple Software Update の [ツール] メニューには [選択された更新を無視] というものがありますが (田仲さん情報ありがとうございます)、これ、Apple Software Update を終了すると効果が消えちゃうみたい。 次回起動時には性懲りもなくまた出てくるんだよね。


2008.04.02


2008.04.01

WordPress 2.3.3 Invaded by Wily JavaScript
(trendmicro blog, 2008.03.31)

 WordPress 2.3.3 に任意の JavaScript を挿入される欠陥があり、コメントするには登録が必要となるようなサイトにおいて、広範囲に攻撃されている模様。 patch はまだないという。回避策としては:

As a workaround, users may want to close their registration feature. Also, be wary of third-party plug-ins you install in your blog sites.

追記

wnpa-sec-2008-02 - Multiple problems in Wireshark versions 0.99.2 to 0.99.8

 出ました: Wireshark 1.0 Released (wireshark.org, 2008.03.31)

OpenID.ne.jpの…
(てくてく糸巻き, 2008.03.30)

 http://www.openid.ne.jp/ に欠陥。 アカウント作成画面で、タグつきの値を入力できてしまう模様。事例については http://guest.openid.ne.jp/ を参照。itochan さん情報ありがとうございます。

Vista,未公開のFlash脆弱性で陥落--Pwn to Ownコンテストで
(日経 IT Pro, 2008.03.31)

 Flash Player (バージョン不明) に 0-day 欠陥があり、これを通じて Windows Vista が攻略された模様。同コンテストでは既に MacBook Air が攻略されているが、これに続く成果。会場には Linux もあったのだが、あまり相手にされなかった模様。 ハッキング・コンテストでMacとVistaは陥落——Linuxだけが無傷 (computerworld, 2008.03.31) より:

 400名に及ぶ参加者のうち何人かは、Linux OSのバグを発見したが、コンテストに勝つために攻撃コードを書くのは、彼らの大半が嫌だと考えたそうだ。

 日本誤訳「Linux マンドクセ」


[セキュリティホール memo]
私について