セキュリティホール memo - 2009.09

Last modified: Thu Apr 8 19:30:04 2010 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2009.09.30

追記

Microsoft Security Essentials Beta

 正式版出ましたよ。


2009.09.29

無償のウイルス対策ソフト“avast!”に脆弱性、対応済みの最新版v4.8.1356が公開
(窓の杜, 2009.09.28)

 だそうです。 CVE-2009-3522 CVE-2009-3523 CVE-2009-3524

追記

マイクロソフト セキュリティ アドバイザリ (975497) SMB の脆弱性により、リモートでコードが実行される

 任意のコードの実行が可能だと実証された模様。patch はまだない。

Microsoft Security Essentials Beta

 MS、無料ウイルス対策ソフト「Security Essentials」29日公開 (Internet Watch, 2009.09.29)。それ US 時間でしょうから、多分明日。

iPhoneのカメラで撮影した写真に付加されるExif情報
(cNotes, 2009.09.27)

 ブログとかの写真の Exif 情報でいろいろ判っておもしろいのは以前から知られているわけですが、

今回話題になっているのがさらに追加で写真に埋め込まれる「ジオタグ」とよばれるGPS情報です。 (中略) つまり、この情報を使えばその写真が「いつ」「どこで」撮影されたかが明確になり、Googleマップ等に簡単にマッピングすることができるわけです。(中略) 知らずにこういった写真を無防備にブログ等にさらすと、自宅の場所から、行動パターンまですべてを紹介してしまって困ったことになるわけです。

 関連:


2009.09.28

追記

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors (Sockstress)

 関連:

いろいろ (2009.09.08)

 Rails 2系すべてのブランチに脆弱性、Ruby 1.9ユーザはアップグレード注意 (マイコミジャーナル, 2009.09.07) の件の関連:


2009.09.27


2009.09.25

Stop error message on a computer that is running Windows Vista or Windows Server 2008: "STOP: 0x0000007F"
(Microsoft KB 972907, 2009.09.25)

 アンチウイルスドライバとか VPN クライアントドライバとかミニポートドライバとかいった、3rd party 製のネットワークドライバが入っているときに起きることがあるみたい。

This issue occurs because the Tcpip.sys driver occupies most of the space in the kernel mode stack. This leaves less space in the networking stack for the regular operations of the operating system. Therefore, the system may crash intermittently.

 Vista SP[12]、Server 2008 gold / SP2 用の hotfix が出てます。

追記

Opera 10 for Windows 更新履歴

 こんな問題もあったらしい: JVN#39157969: Opera におけるサードパーティ Cookie の取り扱いに関する問題 (JVN, 2009.09.17)。Opera 10 で修正されているそうだ。有栖智さん情報ありがとうございます。

いろいろ (2009.09.25)
(various)


2009.09.24

[Namazu-users-ja 1180] 日本語全文検索システム Namazu 2.0.20 リリース
(namazu.org, 2009.09.23)

 Namazu 2.0.20 登場。セキュリティ fix が含まれてます。

  * namazu, namazu.cgi

  (緊急度:中)
  - バッファオーバーランを起こす可能性がある不具合を修正。

    NMZ.field.* に空行があり、そのフィールド値を NMZ.result.* で表示
    した場合にバッファオーバーランを起こす不具合があります。

Cisco、IOSの定例アップデートで12件の脆弱性に対処
(ITmedia, 2009.09.24)

 怒涛の 12 連発。CISCO Security Advisories (SANS ISC, 2009.09.23) が見やすい。

Consumer Anti-Malware Endpoint Protection Test Report Q3
(NSSLabs, 2009.09.08)

 著名な個人向け総合セキュリティソフトが、現実の socially engineered malware に対してどのように対応したのか (しなかったのか) のテスト結果 (閲覧には要登録)。 テストは 2009.07〜08 に行われているので、テスト対象はいずれも 2009 シリーズ。 今回の結果はあくまで socially engineered malware に対してであり、今後、phising や exploit についてのテストが行われるみたい。とはいえ、すこぶる興味深い。

 数ある製品の中で、Trend Micro Internet Security 2009 がずば抜けた成績を納めている。次点は Kaspersky。Norton、McAfee、Norman、F-Secure は平均点レベル。AVG / Panda / ESET は「注意」と評価されている。

 NSSLabs はエンタープライズ向け製品についてもレポートを出しているが、こちらは有償配布 ($1,800)。個人で買うにはちょっとつらい。

 関連: NSS Labs Endpoint Protection Test Results (metasploit blog, 2009.09.21)。metasploit な人の視点による考察。

From my own testing with Metasploit-generated payload executables, both Trend and Kaspersky seem to rely on heuristics and behavior more than the other products in the field. For example, this VirusTotal report shows the results of a reverse connect shell generated by the latest version of Metasploit. While two products misclassified the executable as "Win32:Tipa" (due to the read/write/exec section), Trend Micro was the only product to clearly identify the file as "packed" using what looks like an entropy signature. Two McAfee products flagged the file as suspicious, but in most scenarios the file would have been allowed anyways. Unique hashing doesn't work in this case, as the executable is randomized every time it is generated by Metasploit.

2009.12.10 追記:

 エンタープライズ向け製品レポートが、日本語化され、かつ無料で入手できます: トレンドマイクロ株式会社: 第三者機関が徹底比較 最新の不正プログラムに本当に強いソフトはどれだ (techtarget, 2009.12.09)。トレンドマイクロ製品がいい成績だったから買い取って翻訳してばら撒いているのか、それとも、そもそもトレンドマイクロの資金提供の元に行われたものだったのか。後者であったとすれば、「当時、トレンドマイクロが強みを持っていた領域でのテストを行った」ということになるのだろう。

 それはともかく、コンシューマ向けとエンタープライズ向けとでは、結果がかなり異なるのが興味深い。以下は、コンシューマ向け製品の「8 時間ごとに、悪意のある URL のライブセットをテストした結果」の引用。

 次にエンタープライズ向けの結果を引用。

 エンタープライズ向けの方がギザギザが多い (特にマカフィーと Norman) こと、 エンタープライズ向けのトレンドマイクロはコンシューマ向けのように「圧勝」というわけではないこと、が読みとれる。特定時期におけるマカフィー、Norman、トレンドマイクロの落ち込みは気になる (黒矢印部分)。

 なぜコンシューマ向けとエンタープライズ向けとで、こんなにも違いが発生するのだろう。よくわからない。

2009.12.22 追記:

 AV-Comparatives.org が似たような内容のテストを 2010 シリーズを使って実施したみたい。

 1 日あたり 15〜20 のテストケースを収集できたが、実際にテストできたのは、2009.11.16〜26 で合計 100 件だそうで。なので、少なくとも 1/3 はテストできなったことになる。正直、これはちょっとなぁと思う。

 NSSLabs のテストでは「当該 URL へのアクセスを抑止できたか」「当該マルウェアを阻止できたか」の 2 つの角度からテストを実施しているが、AV-Comparatives.org はそういう区別はせず、URL へのアクセスから当該マルウェアのダウンロード・実行までの一連の流れのどこかで阻止できたか否かだけを判定しているみたい。 また、NSSLabs のテストのような、時間経過における阻止状況の変化といったデータも公開されていない。

 NSSLabs のテストではテスト対象は 2009 シリーズだが、AV-Comparatives.org のものは 2010 シリーズ。2010 シリーズでは、各社ともレピュテーションにも力を入れているように思うので、2009 シリーズほどには差がなくなっているのかもしれない。

 注目すべきは、単体のアンチウイルスソフトウェア製品である Microsoft Security Essentials 1.0 が、各社の総合セキュリティソフトに匹敵する結果を残している点か。 あと、avast! はなぜか Professional Edition 4.8 ではなくFree 版の 5.0 Beta がテストされているみたい。何故?

2010.03.24 追記:

 NSS Labs: AMTSO's Review Analysis (ESET blog, 2010.03.23)、 AMTSO Review Analysis Board Report: Endpoint Security - Socially Engineered Malware Protection Comparative Test Results (AMTSO, 2010.03.17)。 当該テストで「注意」と評価された会社のうち Sophos, AVG, Panda が異議を唱えたみたい。ESET も「注意」評価だけど、 この件には参画していない。で、AMTSO で評価した結果、

Principle #3: Testing should be reasonably open and transparent
(中略)
Conclusion: The target system configurations are unknown, as are the methods used to measure the products' responses. For this reason the reviewers lacked the information required to find the test either in compliance or not in compliance with the AMTSO principles.

 どんな設定だったのか、どのように製品の反応を測定したのか、わからないよということかな。

Principle #6: Testing methodology must be consistent with the testing purpose.
(中略)
Conclusion: The report does not comply with this principle. The reviewers agreed that missing infection vectors (e.g. spam) can mislead the result. Nevertheless, they also thought that the test still did better than a lot of tests out there right now, since at least the malware was coming from the "real world" and also was executed afterwards in a dynamic test.

 "real world" テストと言うからには、たとえば spam に含まれている URL がテスト対象となっているなら、spam フィルタの効果についてもテストに含めてもらわないと、ということですかね。これは確かにそうかも。

Principle #7: The conclusions of the test must be based on the test results.
(中略)
Does the conclusion reflect the stated purpose?
No. The reports Executive Summary states that tests purpose was to determine the protection of the products tested against socially-engineered malware only. Later in the report (Section 4 -product assessments) it says: "Products that earn a caution rating from NSS Labs should not be short-listed or renewed." This is clearly a conclusion that you can't make out of the detection for socially-engineered malware only, as the products have other layers of protection that the test did not evaluate.

Does the interpretation of the results follow logically from the data as presented?
No. As above, the conclusion is too general in its recommendations and condemnations, considering that only a portion of each product's functionality was tested.

 製品の機能の 1 側面しかテストしてないのに、

NSS Labs の「注意」の評価を受けた製品を最終候補として絞り込んだり、更新したりするべきではありません。

なんてこと言うな、ってことですかね。

 で、

NSS Labs is no longer a member of the Anti-Malware Testing Standards Organization, and so no longer has a representative on the Review Analysis Board.

 あらあら。

追記

いろいろ (2009.09.12)

 yoyaku_v41 の件の関連情報: LAC Advisory No.102: yoyaku_v41 における OSコマンドインジェクションの脆弱性 (LAC, 2009.09.18)。山崎さん情報ありがとうございます。

Microsoft Security Essentials Beta

ハックされたハッカー・フォーラム
(エフセキュアブログ, 2009.09.18)

 つづき: RE ハックされたハッカー・フォーラム (エフセキュアブログ, 9/21)

(cP○○○L??)(中略) (6月公開の0day)

 これかなあ:

 あと、cPanel Security Update: CSRF (cross-site request forgery) (cpanel.net, 2009.08.03) なんてのも。 cPanel 11.25 で根本的な対策が取られるみたい。 先日、ようやく EDGE 版が出たようです: cPanel/WHM 11.25 EDGE Now Available (cpanel.net, 2009.09.15)

About the security content of iTunes 9.0.1
(Apple, 2009.09.23)

 iTunes 9.0 以前 (?) に欠陥。.pls ファイルの処理に欠陥があり、攻略 .pls ファイルによって任意のコードを実行できる。CVE-2009-2817

 iTunes 9.0.1 で修正されている。


2009.09.23


2009.09.22

Snort < 2.8.5 Unified1 Output Denial of Service Exploit
(milw0rm, 2009.09.22)

 Snort 2.8.5 には security fix が含まれていたんですね。


2009.09.21


2009.09.20

PHP 5.2.11 Release Announcement
(PHP.net, 2009.09.16)

 PHP 5.2.11 登場。4 つの欠陥が修正されている。 CVE-2009-3291 CVE-2009-3292 CVE-2009-3293 CVE-2009-3294

追記

マイクロソフト セキュリティ アドバイザリ (975497) SMB の脆弱性により、リモートでコードが実行される

 Update on the SMB vulnerability situation (Microsoft Security Research & Defense, 2009.09.18)

いろいろ (2009.09.08)

 RoboHelp、fix 出ました: APSB09-14: Security update available for RoboHelp Server 8 (Adobe, 2009.09.18)。CVE-2009-3068

wnpa-sec-2009-06: Multiple vulnerabilities in Wireshark version 0.99.6 to 1.2.1
(Wireshark.org, 2009.09.15)

 Wireshark 1.2.2 登場。3 つの欠陥が修正されている。 CVE-2009-3243 CVE-2009-3242 CVE-2009-3241

2009.10.08 追記:

 上記 CVE の他に、JVNVU#676492: Wireshark の erf ファイル処理に脆弱性 (JVN, 2009.10.07) という話があった模様。Wireshark 1.2.2 リリースノートにはこうある:

The following bugs have been fixed:
(中略)
Wireshark could crash while reading an ERF file. (Bug 3849)

2009.09.19


2009.09.18

追記

マイクロソフト セキュリティ アドバイザリ (975497) SMB の脆弱性により、リモートでコードが実行される

 セキュリティ アドバイザリ 975497 が改訂された。


2009.09.17

追記

Helping users keep plugins updated

 結果発表: Helping People Upgrade Flash (Blog of Metrics, 2009.09.16)

So, what has transpired since last Wednesday?

In one week, 10,000,000 people have clicked on the “flash update” link below.

 1,000 万……。なかなかいい数字ですね。Microsoft もぜひ追随してください。 (その場合、もう 1 桁上を行くでしょうね……)


2009.09.16

Microsoft Updateが遅くなるトラブルが発生  MSが認識しないまま「自然復旧」
(日経 IT Pro, 2009.09.14)

 つまり問題は,Microsoft Updateサイト,またはMicrosoft Updateサイトを収容するCDNにある可能性が高い。 (中略) フレッツ網経由でアクセスするMicrosoft Update/Windows Updateが遅いという問題は,マイクロソフトが認識しないまま発生し,マイクロソフトが認識しないまま収束した。ユーザーとしては何とも不安が残る結末だ。

 Microsoft が悪いのか、CDN が悪いのか、どっちなんだろう……。

いろいろ (2009.09.16)
(various)

Google Chrome Releases: Stable Channel Update
(Google Chrome Releases, 2009.09.15)

 Google Chrome 3.0.195.21 がリリースされ、2.x 系列に代わって stable 化された。 2 件のセキュリティ欠陥が修正されている。

Re: [Full-disclosure] FreeBSD <= 6.1 kqueue() NULL pointer dereference
(bugtraq, 2009.09.13)

 FreeBSD <= 6.1 kqueue() NULL pointer Dereference Local Root Exploit の件、実は直り切っていないという指摘。 FreeBSD 6.4-RELEASE での画像だというデモ画面が紹介されている。 本当なのかなあ。

 つーか、FreeBSD 7.2 local root vulnerability (0day) というのも出てるんですが、これは何……。

2009.10.07 追記:

 これ↓で修正されたということですかね:

War FTP Daemon Remote Denial Of Service Vulnerability
(bugtraq, 2009.09.13)

 War FTP Daemon 1.82 RC 13 登場 (ダウンロード)。 WarFTPd 1.82.00-RC12 (LIST command) Format String DoS Exploit (milw0rm) の件が修正されていると思われ。


2009.09.15

[Securitry Advisory] Multiple Smartphones MMS Notification Sender Obfuscation
(silentservices.de, 2009.09.11)

 Blackberry 8800 (Firmware: 4.5.0.37)、 Windows Mobile 5 / 6.0 / 6.1 / 6.5、 Sony Ericsson W890i / W810i において、MMS の発信者を偽装できるという話。関連: 送信者:不明 (エフセキュアブログ, 2009.09.14)

Restricted users may have unauthorized access to Office 2008 for Mac program files
(Microsoft, 2008.01.08)

 こんな話があったのですね。 CVE-2008-7217 が 2009.09.13 に assign されて、はじめて気がついた。


2009.09.14


2009.09.13


2009.09.12

追記

Firefox 3.5.3 / 3.0.14 リリース

 修正一覧:

MFSA 2009-51
FeedWriter によるクローム特権昇格
MFSA 2009-50
過大な行高の Unicode 文字を通じたロケーションバーの偽装
MFSA 2009-49
ツリー列のダングリングポインタ脆弱性
MFSA 2009-48
PKCS11 モジュールのインストールと削除に関する不十分な警告
MFSA 2009-47
メモリ破壊の形跡があるクラッシュ (rv:1.9.1.3/1.9.0.14)

 MFSA 2009-48 は Firefox 3.0.x のみ、他は Firefox 3.0.x / 3.5.x 共通。 関連:

いろいろ (2009.09.08)

 RoboHelp の件続報: Update on RoboHelp Server 8 Issue (Adobe PSIRT blog, 2009.09.09)。2009.09.18 に fix が出る予定のようです。

マイクロソフト セキュリティ アドバイザリ (975497) SMB の脆弱性により、リモートでコードが実行される

[Full-disclosure] Linux NULL pointer dereference due to incorrect proto_ops initializations

いろいろ (2009.09.12)
(various)

2009.09.24 追記:

 yoyaku_v41 の件の関連情報: LAC Advisory No.102: yoyaku_v41 における OSコマンドインジェクションの脆弱性 (LAC, 2009.09.18)。山崎さん情報ありがとうございます。


2009.09.11

About Security Update 2009-005
(Apple, 2009.09.09)

 Mac OS X 10.4.11 / 10.5.8 用のセキュリティ更新。例によって多数の修正。

追記

Flash Player update and Snow Leopard

 Mac OS X 10.6.1 で対応された: About the security content of the Mac OS X v10.6.1 Update (Apple, 2009.09.11)

Helping users keep plugins updated

 Firefox の旧版 Flash Player プラグイン警告の件、挙動を確認してみた。

  • Firefox 3.5.3 に Flash Player 10.0.22.87 をインストールしてみたが、何の反応も得られない。Firefox を再起動しても同様。

  • Firefox 3.5.2 に Flash Player 10.0.22.87 をインストールし、 Firefox 3.5.3 にアップデートすると、アップデート後 Firefox を再起動した時点で、Flash Player の更新を促された。

 関連: 「機能を追加」というのは正確ではない (slashdot.jp, 2009.09.11)

Microsoft 2009 年 9 月のセキュリティ情報

 MS09-048 が改訂された。

2009/9/10: 「影響を受けるソフトウェア」の一覧に、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 を追加しました。また、「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」のセクションに、マイクロソフトが影響を受けるエディションの Windows XP 用の更新プログラムを公開しない理由およびサービス拒否の脆弱性に対するこの更新プログラムの対象範囲についての説明を追加しました。このセキュリティ情報で提供しているセキュリティ更新プログラムに変更はありません。

 何が変わったんだろう……。改訂前の FAQ はこう:

Windows XP の既定の構成がこの脆弱性の影響を受けないのはなぜですか?
既定で、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にはクライアント ファイアウォールで構成されたリスニングサービスが含まれていないため、この脆弱性の影響を受けません。サービス拒否が起きる場合、影響を受けるシステムにクライアントファイアウォールで例外を持つリスニング サービスが含まれる必要があります。Windows XP Service Pack 2 およびそれ以降のオペレーティング システムには、ステートフル ホストのファイアウォールが含まれており、インターネットまたはプライベートネットワーク上の近隣のネットワークデバイスからの受信トラフィックに対する保護がコンピューターに提供されます。「脆弱性に関する詳細」のセクションの緩和策および回避策は、 Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にも適用します。

 改訂後はこう:

影響を受ける製品の一覧に Windows XP がありますが、なぜマイクロソフトはその更新プログラムを公開しないのですか?
既定で、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にはクライアント ファイアウォールで構成されたリスニング サービスが含まれていないため、この脆弱性の影響を受けません。サービス拒否の攻撃は、持続的な特別に細工した大量の TCP パケットを必要とし、それが停止するとシステムが回復します。このため、Windows XP についての深刻度を「注意」と評価しています。さらに、Windows XP Service Pack 2 およびそれ以降のオペレーティング システムには、ステートフル ホスト ファイアウォールが含まれており、インターネットまたはプライベート ネットワーク上の近隣のネットワーク デバイスからの受信トラフィックに対する保護がコンピューターに提供されます。Windows XP は CVE-2009-1925 の影響を受けません。

 説明になってない、という意味では何の違いもない。


2009.09.10

Microsoft 2009 年 9 月のセキュリティ情報
(Microsoft, 2009.09.09)

MS09-045 - 緊急: JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 上で動作する JScript 5.1 / 5.6 / 5.7 / 5.8 に欠陥。攻略 Web ページ等に仕込まれたスクリプトによって任意のコードを実行できる。 CVE-2009-1920。 Exploitability Index: 1。 Windows 7 / Server 2008 R2 にはこの欠陥はない。

 patch があるので適用すればよい。ただし、本 patch のインストール後に IE 7 や IE 8 をインストールし、それら用の JScript patch を追加インストールすると、 追加インストールした分の patch をアンインストールできなくなってしまうことがあるので注意。つーか、これはハマるって……。KB971961 参照。

 この状況を避けるには:

  • patch インストール前に IE 7 や IE 8 をインストールするか、あるいは

  • 一旦この patch をアンインストールした後で、IE 7 や IE 8 をインストールする

 って自分で書いててアレだけど、1 週間もすれば忘れちゃうよこんなの……。

MS09-046 - 緊急: DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (956844)

 Windows 2000 / XP / Server 2003 に欠陥。 DHTML 編集コンポーネントの ActiveX コントロールに欠陥があり、 攻略 web ページによって任意のコードを実行できる。 CVE-2009-2519。Exploitability Index: 2

 patch があるので適用すればよい。

MS09-047 - 緊急: Windows Media Format の脆弱性により、リモートでコードが実行される (973812)

 Windows Media Format Runtime 9.0 / 9.5 / 11、 Microsoft Media Foundation、Windows Media サービス 9.1 / 2008 に欠陥。 ASF (Advanced Systems Format) ファイルおよび MP3 (MPEG-1 Audio Layer 3) ファイルの処理に欠陥があり、攻略ファイルによって任意のコードを実行できる。 CVE-2009-2498 CVE-2009-2499。Exploitability Index: どちらも 1

 patch があるので適用すればよい。

MS09-048 - 緊急: Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 の TCP 実装に 3 つの欠陥。

 Windows 7 / Server 2008 R2 にはこれらの欠陥はない。また Windows XP SP2 / SP3 の出荷時設定においては、この欠陥は発現しない。

 patch は、Windows Server 2003 / Vista / Server 2008 用のみが用意されている。Windows 2000 / XP 用は存在しない。Windows 2000 用の patch が用意されない理由は説明されているが、Windows XP 用の patch が用意されない理由は説明されていない。

 関連:

MS09-049 - 緊急: ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710)

 Windows Vista / Server 2008 に欠陥。 ワイヤレス LAN AutoConfig サービス (wlansvc) に欠陥があり、 攻略パケットによって heap overflow が発生、任意のコードを実行できる。 ただし Exploitability Index: 2。 CVE-2009-1132

 patch があるので適用すればよい。

2009.09.11 追記:

 MS09-048 が改訂された。

2009/9/10: 「影響を受けるソフトウェア」の一覧に、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 を追加しました。また、「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」のセクションに、マイクロソフトが影響を受けるエディションの Windows XP 用の更新プログラムを公開しない理由およびサービス拒否の脆弱性に対するこの更新プログラムの対象範囲についての説明を追加しました。このセキュリティ情報で提供しているセキュリティ更新プログラムに変更はありません。

 何が変わったんだろう……。改訂前の FAQ はこう:

Windows XP の既定の構成がこの脆弱性の影響を受けないのはなぜですか?
既定で、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にはクライアント ファイアウォールで構成されたリスニングサービスが含まれていないため、この脆弱性の影響を受けません。サービス拒否が起きる場合、影響を受けるシステムにクライアントファイアウォールで例外を持つリスニング サービスが含まれる必要があります。Windows XP Service Pack 2 およびそれ以降のオペレーティング システムには、ステートフル ホストのファイアウォールが含まれており、インターネットまたはプライベートネットワーク上の近隣のネットワークデバイスからの受信トラフィックに対する保護がコンピューターに提供されます。「脆弱性に関する詳細」のセクションの緩和策および回避策は、 Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にも適用します。

 改訂後はこう:

影響を受ける製品の一覧に Windows XP がありますが、なぜマイクロソフトはその更新プログラムを公開しないのですか?
既定で、Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 にはクライアント ファイアウォールで構成されたリスニング サービスが含まれていないため、この脆弱性の影響を受けません。サービス拒否の攻撃は、持続的な特別に細工した大量の TCP パケットを必要とし、それが停止するとシステムが回復します。このため、Windows XP についての深刻度を「注意」と評価しています。さらに、Windows XP Service Pack 2 およびそれ以降のオペレーティング システムには、ステートフル ホスト ファイアウォールが含まれており、インターネットまたはプライベート ネットワーク上の近隣のネットワーク デバイスからの受信トラフィックに対する保護がコンピューターに提供されます。Windows XP は CVE-2009-1925 の影響を受けません。

 説明になってない、という意味では何の違いもない。

いろいろ (2009.09.10)
(various)

追記

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors

Firefox 3.5.3 / 3.0.14 リリース
(mozilla.org, 2009.09.10)

 Firefox 3.5.3 / 3.0.14 がリリースされた。Firefox 3.5.3 では 4 件、 Firefox 3.0.14 では 5 件の欠陥が修正されている。

 Helping users keep plugins updated の件も対応されている。

2009.09.12 追記:

 修正一覧:

MFSA 2009-51
FeedWriter によるクローム特権昇格
MFSA 2009-50
過大な行高の Unicode 文字を通じたロケーションバーの偽装
MFSA 2009-49
ツリー列のダングリングポインタ脆弱性
MFSA 2009-48
PKCS11 モジュールのインストールと削除に関する不十分な警告
MFSA 2009-47
メモリ破壊の形跡があるクラッシュ (rv:1.9.1.3/1.9.0.14)

 MFSA 2009-48 は Firefox 3.0.x のみ、他は Firefox 3.0.x / 3.5.x 共通。 関連:

About the security content of iPhone OS 3.1 and iPhone OS 3.1.1 for iPod touch
(Apple, 2009.09.10)

 iPhone OS 3.1 および iPhone OS 3.1.1 for iPod touch 登場。 任意のコードの実行を招くものを含む、複数の欠陥が修正されている。

 しかし、iPod touch の人は、またもや金を払わないといけないのだろうか……と思ったのだが、こういう状況らしい (参照: Apple、新しいiPod touchのラインアップを発表 (Apple, 2009.09.10)。

QuickTime 7.6.4 のセキュリティコンテンツについて
(Apple, 2009.09.10)

 QuickTime 7.6.4 登場。4 つの欠陥が修正されている。 いずれも、Mac 版・Windows 版の両方に共通する欠陥。

マイクロソフト セキュリティ アドバイザリ (975497) SMB の脆弱性により、リモートでコードが実行される
(Microsoft, 2009.09.09)

 この件: Windows Vista/7 : SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D. (milw0rm)。 攻略 SMB2 パケットによって任意のコードを実行できる。 CVE-2009-3103

 欠陥があるのは Windows Vista / Server 2008 / 7 RC。 Windows Server 2008 R2 および Windows 7 gold にはこの欠陥はない。 SMB2 を無効にすれば回避できる。

2009.09.12 追記:

  WindowsのSMBのDoS攻撃の脆弱性(CVE-2009-3103)に関する検証レポート (NTT データ・セキュリティ, 2009.09.10)

2009.09.18 追記:

 セキュリティ アドバイザリ 975497 が改訂された。

2009.09.20 追記:

 Update on the SMB vulnerability situation (Microsoft Security Research & Defense, 2009.09.18)

2009.09.29 追記:

 任意のコードの実行が可能だと実証された模様。patch はまだない。

2009.10.21 追記:

 MS09-050 - 緊急: SMBv2 の脆弱性により、リモートでコードが実行される (975517) で修正されている。


2009.09.09

追記

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors

 Sockstress の件、ようやく各社から patch が出てきた模様。


2009.09.08

いろいろ (2009.09.08)
(various)

2009.09.12 追記:

 RoboHelp の件続報: Update on RoboHelp Server 8 Issue (Adobe PSIRT blog, 2009.09.09)。2009.09.18 に fix が出る予定のようです。

2009.09.20 追記:

 RoboHelp、fix 出ました: APSB09-14: Security update available for RoboHelp Server 8 (Adobe, 2009.09.18)。CVE-2009-3068

2009.09.27 追記:

 Rails 2系すべてのブランチに脆弱性、Ruby 1.9ユーザはアップグレード注意 (マイコミジャーナル, 2009.09.07) の件の関連:

追記

いろいろ (2009.08.15)

 WordPressの旧版を狙うワーム出現、最新版に更新を (ITmedia, 2009.09.08)。CVE-2009-2762 を狙うワームが出てきたそうで。

Opera 10 for Windows 更新履歴

SSLトラフィックを傍受する“ヌルターミネーション攻撃”—— 専門家が報告  ヌル文字の解釈を間違えるプログラムを利用

 Qt patches released fixing potential security flaw - Patches for Qt versions 4.3.0 and newer available for download. (nokia, 2009.09.01)。Qt 4.3.0 用と Qt 4.4.x / 4.5.x 用の patch が用意されている。 CVE-2009-2700


2009.09.07

Java for Mac OS X 10.5 Update 5 のセキュリティコンテンツについて
(apple, 2009.09.03)

 Mac OS X 10.5 用の Java SE 1.6.0_15 / 1.5.0_20 / 1.4.2_22、および Java Web Start の修正。


2009.09.05

Helping users keep plugins updated
(Mozilla Security Blog, 2009.09.04)

 Firefox 3.5.3 / 3.0.14 以降では、Firefox が、必要に応じて Flash Player の更新を促す表示を行うようになる模様。すばらしい。

2009.09.11 追記:

 Firefox の旧版 Flash Player プラグイン警告の件、挙動を確認してみた。

 関連: 「機能を追加」というのは正確ではない (slashdot.jp, 2009.09.11)

2009.09.17 追記:

 結果発表: Helping People Upgrade Flash (Blog of Metrics, 2009.09.16)

So, what has transpired since last Wednesday?

In one week, 10,000,000 people have clicked on the “flash update” link below.

 1,000 万……。なかなかいい数字ですね。Microsoft もぜひ追随してください。(その場合、もう 1 桁上を行くでしょうね……)


2009.09.04

Opera 10 for Windows 更新履歴
(Opera.com, 2009.09.01)

 Opera 10 には複数のセキュリティ修正が含まれています。

Opera 9.64 からの変更内容
(中略)
セキュリティ

 この書かれ方からすると、Opera 9.65 は出ないっぽいか。

2009.09.08 追記:

2009.09.25 追記:

 こんな問題もあったらしい: JVN#39157969: Opera におけるサードパーティ Cookie の取り扱いに関する問題 (JVN, 2009.09.17)。Opera 10 で修正されているそうだ。有栖智さん情報ありがとうございます。

マイクロソフト セキュリティ情報の事前通知 - 2009 年 9 月
(Microsoft, 2009.09.04)

 もうそんな季節です。緊急 x 5。まいったね。

追記

Microsoft IIS 5/6 FTP 0Day released

 やっぱり認証通らないとだめでした。すいません。こがさん、佐名木さん情報ありがとうございます。関連: MS-IIS FTP Service 5/6 の NLST コマンドの脆弱性について (ntt.com, 2009.09.03)

 マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (Microsoft, 2009.09.02) が改訂され、CVE-2009-2521 が追加されました。IIS 5.0 / 5.1 / 6.0 / 7.0 付属の FTP サービスに DoS 攻撃を受ける欠陥があるそうです。

Flash Player update and Snow Leopard
(Adobe PSIRT blog, 2009.09.02)

 Mac OS X 10.6 Snow Leopard には古いバージョンの Flash Player が同梱されているので、最新の 10.0.32.18 に更新してくださいね、という案内。

 関連: Apple ships a known vulnerable version of Flash with Snow Leopard (Sophos blog, 2009.09.02)

2009.09.12 追記:

 Mac OS X 10.6.1 で対応された: About the security content of the Mac OS X v10.6.1 Update (Apple, 2009.09.11)


2009.09.03

[JS09003] ATOKの脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2009.09.02)

 ATOK for Windows に権限上昇を許す欠陥があり、local user が local SYSTEM 権限を奪取できる。

 ATOK 2006 〜 2009 for Windows、ATOK スマイル、ATOK 定額制サービス (Windows) についてはアップデートモジュールが公開されている。


2009.09.02

追記

いろいろ (2009.07.30)

  Squid Proxy Cache Security Update Advisory SQUID-2009:2 ですが、2009.08.04 付で出し直しされてますね。Squid 3.0.STABLE17 / 3.1.0.12 は実は未修正で、3.0.STABLE18 / 3.1.0.13 で修正、とされている。 なんじゃそりゃー。

Microsoft IIS 5/6 FTP 0Day released

 認証を突破する必要は、実はないみたいです: Microsoft IIS 5.0 FTP Server Remote Stack Overflow Exploit (win2k sp4) (milw0rm, 2009.09.01)。ぐはぁ (吐血)。

 アドバイザリ出ました: マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (Microsoft, 2009.09.02)。回避策としては、FTP ユーザによるディレクトリ作成の禁止・書き込みの禁止と FTP サービスの無効化が挙げられています。


2009.09.01

OpenOffice.org 3.1 以前に複数の欠陥
(secunia, 2009.09.01)

 これ:

 OpenOffice.org 3.1.1 で修正されている。

 ところが、現在配布されている OpenOffice.org 3.1.1 の Windows 版バイナリには、欠陥のある MSVC++ ランタイム (ATL 方面) が同梱されているそうで:

追記

ベクターおよび窓の杜で配布されていたソフトウェアの一部が Induc に感染していたことが判明

 日本の雑誌にも: DTMマガジン9月号付録DVDの収録フリーソフトが「Induc」感染 (Internet Watch, 2009.08.28)

Microsoft IIS 5/6 FTP 0Day released
(SANS ISC, 2009.08.31)

 これ: Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k) (milw0rm, 2009.08.31)。 この欠陥を利用するには認証を突破する必要があるが、anonymous FTP してたりするとヤバい。 CVE-2009-3023

 関連: JVNVU#276653: Microsoft Internet Information Services FTP サーバにおけるバッファオーバーフローの脆弱性 (JVN, 2009.09.01)

2009.09.02 追記:

 認証を突破する必要は、実はないみたいです: Microsoft IIS 5.0 FTP Server Remote Stack Overflow Exploit (win2k sp4) (milw0rm, 2009.09.01)。ぐはぁ (吐血)。

 アドバイザリ出ました: マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (Microsoft, 2009.09.02)。回避策としては、FTP ユーザによるディレクトリ作成の禁止・書き込みの禁止と FTP サービスの無効化が挙げられています。CVE-2009-3023

2009.09.04 追記:

 やっぱり認証通らないとだめでした。すいません。こがさん、佐名木さん情報ありがとうございます。関連: MS-IIS FTP Service 5/6 の NLST コマンドの脆弱性について (ntt.com, 2009.09.03)

 マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (Microsoft, 2009.09.02) が改訂され、CVE-2009-2521 が追加されました。IIS 5.0 / 5.1 / 6.0 / 7.0 付属の FTP サービスに DoS 攻撃を受ける欠陥があるそうです。

2009.09.12 追記:

 http://www.milw0rm.com/exploits/9587

2009.10.21 追記:

 MS09-053 - 重要: インターネット インフォメーション サービスの FTP サービスの脆弱性により、リモートでコードが実行される (975254) で修正されました。

2010.04.08 追記:

 MS09-053 patch には副作用があるそうで: FIX: FTP clients may not connect correctly to an FTP site that is hosted in IIS 5.0 or IIS 5.1 on a computer that has security update 975254 installed (Microsoft KB 981073)。Hotfix あります。


[セキュリティホール memo]
[私について]