次世代型UTM&ファイアウォール:ウォッチガード・テクノロジー・ジャパン http://www.watchguard.co.jp/ 次世代型UTM&ファイアウォール ウォッチガード・テクノロジー・ジャパン ja Copyright WatchGuard Technology Japan 2012 http://www.rssboard.org/rss-specification アドビの定例セキュリティアップデート公開日 Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム 2012年5月8日 アドビの定例セキュリティアップデート公開日
Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム


2012年5月8日


危険度:高

コーリー・ナクライナー
概要:
  • 対象:
     Adobe Shockwave Player、Flash Professional、Photoshop、Illustrator
  • 悪用方法:
     悪質なファイルをユーザが開くように仕向けたり、特別に細工したウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる
  • 対策:
    状況に適した アドビのセキュリティ更新プログラムを至急インストールするか、アドビの自動アップデート機能に任せることをすすめる
詳細:
今日、アドビは 4 件のセキュリティアドバイザリをリリースし、Shockwave Player、Flash Professional、Photoshop、Illustrator など、多々ある人気のソフトウェアパッケージに見られる脆弱性について説明した。
リモート攻撃者は、その中でも悪質な欠陥を利用しユーザのコンピュータを完全にコントロールできるようになる。

APSB12-13:
Shockwave のコード実行問題(5)
Shockwaveというインタラクティブな動画のウェブコンテンツやムービーを表示することができる Adobe Shockwave Player は、4 億 5 千万台もの PC にインストールされているとアドビは報告している。
このアドバイザリは、ウィンドウズや Mac で使用しているアドビの Shockwave Player 11.6.4.634 と、それ以前のバージョンに影響している 5 つのセキュリティ脆弱性について警告している。アドビのセキュリティアドバイザリは技術詳細について触れていないが、メモリ破損の脆弱性と分類はされており、影響力はどれも同じと報告されている。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザが誘導すると、攻撃者はいずれかの欠陥を悪用し、ユーザのコンピュータでユーザの特権を使って、コードを実行できるようになる。また、ウィンドウズ・ユーザがローカル管理者 の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
アドビの評価 : 2 (30 日以内に更新プログラムを取り入れること)

APSB12-12:
Flash Professional バッファオーバーフローの脆弱性
アドビのFlash はインタラクティブなウェブ動画のコンテンツやビデオの作成に使うプラットフォームで、 Flash Professional はFlashコンテンツを作成するために使うオーサリング環境だ。
しかし Flash Professional 11.5.1.348 と旧バージョンの Windows と Mac は バッファオーバーフロー の影響を受けている。アドビはこの欠陥の詳細について一切説明しておらず、攻撃者がどのようにこの問題を悪用するかについても説明していない。しかし、細工済みの Flash コンテンツをユーザが Flash Professional で開いた場合、攻撃者はこの欠陥を利用してユーザの特権で、そのコンピュータでコードを実行できるようになるだろう。例によって、ユーザに管理者またはルート特権が備わっている場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。
アドビの評価: 3 (できる時に更新プログラムを取り入れること)

APSB12-11:
Photoshop TIFF 処理の脆弱性
Photoshop はイメージ編集に使う人気プログラムだが、Photoshop CS5.5(WindowsおよびMac版)は特別に細工されたTIFFイメージを適切に処理できない点、そして未特定のバッファオーバーフロー問題といった2つの脆弱性の影響を受けている。悪質なイメージをユーザがダウンロードし、それを Photoshop で閲覧するように仕向けると、攻撃者は TIFF 欠陥を悪用してユーザの特権で、そのコンピュータにてコードを実行できるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。アドビは、攻撃者が 2 つめのバッファオーバーフローの脆弱性を利用するかについて説明していない。
アドビの評価: 3 (できる時に更新プログラムを取り入れること)

APSB12-10:
Illustrator のコード実行問題(5) Illustrator はアドビのベクター・ドローイング・ソフトウェアだが、未特定のメモリ破損問題(5件)の影響を受けている。アドビは欠陥の詳細について説明していないが、コード実行問題と分類はしている。これはおそらく、特別に細工されたIllustrator 互換性ファイル(イメージなど)をユーザが処理すると、攻撃者がこの欠陥を悪用しユーザの特権でそのコンピュータにてコードを実行できるようになるのではないかというのが我々の推測だ。ユーザが管理者である場合、攻撃者はユーザのPCを完全に操作できるようになる。 アドビの評価:
3 (できる時に更新プログラムを取り入れること)
アドビが先週公開したFlash Player更新プログラム をまだインストールしていない場合は、今すぐそれを取り入れることをすすめる。今回のリリースよりも、先週リリースされたその更新プログラムの方が、より深刻な問題に対応しているからだ。

解決方法:
アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムをリリースしている。次のソフトウェアいずれかを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしデプロイするか、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることをすすめる。

注意
アドビはこうしたフィックスのいくつかを有料の更新プログラム(CS6)としてのみリリースするという姿勢を取っている。有料の更新プログラムを利用するつもりがなかった場合は、このようなセキュリティ問題を検討した上で決断しなければならない。しかし、今回問題となっている製品を攻撃者らが頻繁に標的として用いない点は、前向きに考えられるところとも言えるが((Photoshop、Illustrator、Flash Professional)、最新のセキュリティ更新プログラムをすすめないのは我々にとっても難しい。アドビがこうしたセキュリティ更新プログラムにて全バージョンを対象にしていないことは残念である。

APSB12-13:Shockwave 11.6.5.635 にアップグレード
APSB12-12: 最善策は有料のセキュリティ更新プログラム、 Flash Professional CS6 にアップグレードすること
APSB12-11: Photoshop CS6 にアップグレードすること
APSB12-10: 最善策は有料のセキュリティ更新プログラム、 Illustrator CS6 にアップグレードすること

解決策: ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用することができる。適切に設定した UTM であれば、こうした問題によるいくつかのリスクを緩和させることができる。とはいっても、ローカル攻撃を阻止することはできず、通常のHTTP トラフィックを利用する攻撃を阻止することもできないので、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス:
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
o アドビのセキュリティ・アップデート APSB12-10
o アドビのセキュリティ・アップデート APSB12-11
o アドビのセキュリティ・アップデート APSB12-12
o アドビのセキュリティ・アップデート APSB12-13
o アドビのセキュリティアドバイザリ(日本語 抄訳)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/-windows-net-framework-office-201258.html http://www.watchguard.co.jp/securityalert/2012/05/-windows-net-framework-office-201258.html セキュリティニュース Fri, 11 May 2012 15:43:06 +0900 ウォッチガード Windows セキュリティ更新プログラム .NET Framework + Office も修正 2012年5月8日 Windows セキュリティ更新プログラム
.NET Framework + Office も修正


2012年5月8日

コーリー・ナクライナー
概要:
  • 対象:
     現バージョンのウィンドウズとオプションの.NET Framework コンポーネント Office とSilverlight に影響するアドバイザリ (1 件)
  • 悪用方法:
     特別に細工したドキュメントをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  • 影響:
    最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細:
今日、マイクロソフトは主にウィンドウズとオプションの.NET Framework コンポーネントに影響を与えている 15 の脆弱性について 4 件のセキュリティアドバイザリをリリースした。その他にも Office と Silverlight にも影響するアドバイザリが 1 件ある。各脆弱性の対象製品のバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールできるようになる。 できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる(特に深刻と評価されているもの)。 危険性の高い問題から順番にまとめた概要は以下の通り:
MS12-034:
Windows、Office、.NET Framework と SilverLight にも影響 普段とは異なるこのマイクロソフトのセキュリティアドバイザリは、4つのマイクロソフト製品(Windows、Office、.NET Framework、Silverlight)において、外見上異なる脆弱性を修正している。こうした製品すべてのファイルに欠陥が影響しているため、マイクロソフトはこれらをひとつのアドバイザリにまとめている。 様々なコード実行の脆弱性や ドライブバイ・ダウンロード 系の問題、ローカルの 特権昇格 の欠陥、 サービス拒否(DoS) の脆弱性などがあり、これら10 件の脆弱性は大きく異なる。アドバイザリによると、研究家または攻撃者達は更新プログラムが用意される前に 3 つの脆弱性を公表、攻撃者達は少なくとも対象が限定されている攻撃 1 つをすでに実行している。 通常のユーザにとってもっともリスクの高いのは、フォントやイメージ処理の脆弱性だろう。 TrueType フォント EMF イメージ を処理するためにWindowsが使用するコンポーネントは複数のコード実行欠陥の影響を受けている。細工済みのイメージやTrueTypeフォントをユーザが取り扱うように仕向けることに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用し、そのユーザのコンピュータへのアクセス権を入手できる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。攻撃者はこうした悪質なフォントやイメージをウェブサイトやドキュメントまたはメールなどに埋め込むことができる。しかし、こうした攻撃方法の中には、ユーザからのインタラクションを必要とするものもある。このアドバイザリは様々な製品に見られる深刻な脆弱性を多々修正しているため、(攻撃者達がすでに一般の環境下で悪用しているものも含む)できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる。 マイクロソフトの評価:深刻
MS12-035 :
.NET Framework 遠隔操作によるコード実行の脆弱性(2)
.NET Framework は新しいウィンドウズやウェブアプリケーションを作成するために開発者が使う ソフトウェア・フレームワーク だ。コンピュータにおいて、 シリアル化 はデータ構造やデジタル保存、トランスミッションを許可する状態のオブジェクトを変換するプロセスだが、.NET Framework はシリアル化プロセスに関与する2つのコード実行問題の影響を受けている。特別に細工したウェブサイトに .NET Frameworkをインストールし、そのサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はこうした欠陥を利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は社内で開発し実際に使用しているカスタムの.NET Framework をベースにしたプログラムにも影響を及ぼすことができるので、.NET Framework をネットワークで使用している場合は、この更新プログラムをできる限り早急に取り入れることをすすめる。 マイクロソフトの評価:深刻
MS12-032 :
TCP/IP 特権昇格の欠陥とファイアウォール迂回問題 Windowsのネットワーキング・コンポーネントの2つがセキュリティ欠陥の影響を受けている。Windows TCP/IP スタックは、IPv6アドレスからローカル・ネットワーク・インターフェイスをバインドする方法に関与するローカル特権昇格の欠陥の影響を受けている。 特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。とはいっても、攻撃者はまず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とする。
また、Windowsのホストベースのファイアウォールはファイアウォール迂回の脆弱性の影響を受けている。Windows ファイアウォールはパケットを ブロードキャスト するアウトバウンド・ファイアウォール・ポリシーを適切に用いることができず、ユーザのWindowsコンピュータへのアクセス権を持つ攻撃者は、この問題を悪用して Windowsコンピュータに適用していたアウトバウンド・ファイアウォールのポリシーを迂回するために、これを悪用することができる。この欠陥は、外部からの攻撃者がユーザのシステムへのアクセスを得るように許可することはないが、マルウェアがユーザのシステムを感染させ、コマンドやコントロール(C&C)接続を攻撃者に返しやすくすることができる。
マイクロソフトの評価:重要
MS12-033 :
パーティション管理の特権昇格の脆弱性
コンピュータにおいて、 ディスクパーティション はハードドライブを1つのロジカル・ストレージ・ユニット以上に分けることを意味する。 Windowsはパーティション管理コンポーネントを搭載しており、ユーザがハードドライブを分割できるようにしているが、パーティション管理は別のWindowsコンポーネント(特にプラグアンドプレイの設定管理)と相互作用する点に関与する特権昇格の問題の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。しかし攻撃者は、まず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とするため、この問題の危険性を大きく緩和させている。
マイクロソフトの評価:重要


解決方法:
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。 • MS12-034
MS12-035
MS12-032
MS12-033
セキュリティ情報一覧(日本語)


解決策: ウォッチガードユーザ専用
攻撃者はユーザがローカルで実行可能ファイルを実行するように説得するなど、様々な方法で欠陥を悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、このような欠陥から自分のネットワークをしっかりと守ることをすすめる。 とはいっても、ウォッチガードのファイアウォールやXTMセキュリティアプライアンスは、こうした欠陥の多くのリスクを緩和させることができる。例えば、攻撃者はWindowsファイアウォールの欠陥を利用してホストベースのファイアウォール・ポリシーを迂回するかもしれないが、その攻撃はウォッチガードのゲートウェイ・ファイアウォールをごまかすことはできない。さらに、ウォッチガードのゲートウェイ・ウィルス対策を利用していれば、ウォッチガードのアプライアンスがユーザのコンピュータに対するマルウェア攻撃を阻止するケースもある。
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
セキュリティ情報一覧(日本語)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/windows-net-framework-office.html http://www.watchguard.co.jp/securityalert/2012/05/windows-net-framework-office.html セキュリティニュース Fri, 11 May 2012 15:01:39 +0900 ウォッチガード Word / Visio / Excel でドキュメント処理の脆弱性 2012年5月8日 Word / Visio / Excel でドキュメント処理の脆弱性


2012年5月8日

コーリー・ナクライナー
概要:
  • 対象:
     Windows や Mac 版の現バージョンのマイクロソフト Office製品
    Visio Viewer、Office Compatibility Packs などの関連製品
  • 悪用方法:
     悪質に細工されたOffice ドキュメントをユーザが開くように誘導するのが一般的
  • 影響:
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
  • 対策:
    状況に適した Office のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細:
マイクロソフトは、 Microsoft Office や関連コンポーネントに影響を与えている 8 つの脆弱性について 3 件のセキュリティアドバイザリをリリースした。Windows や Mac で使用している Office に影響するものや、Office Compatibility Pack や Visio Viewer といったコンポーネントに影響するものなどがある。
その他にも、マイクロソフトは Office 関連のセキュリティアドバイザリ (MS12-034) をもう1件リリースしている。この問題は、その他様々なマイクロソフト製品に影響を与えている。このアドバイザリはWindowsユーザにも影響を与えているため、ウォッチガードでは次のウィンドウズ関連のアラートでその詳細を説明する予定。Office を使用しているユーザも、その Windows アドバイザリを参照して更新プログラムを適用することをすすめる。
マイクロソフトがリリースした Office 関連のアドバイザリ 3 件は、Office が別の種類のドキュメントを処理する方法に関与する 8 つのコード実行問題について説明している。欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じだ。悪質に細工された Office ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザレベルの特権や許可権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類である。

影響を受けている Office ドキュメントの種類は次のとおり:
• Word で開く Rich Text Files (RTF)
• Excel (XLS)
• Visio (VSD, VSS, etc.)
それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリにある「脆弱性の詳細」を参考にすることをすすめる:
MS12-029:Word RTF のコード実行問題: 緊急
MS12-030:Excel のコード実行問題(複数): 重要
MS12-031:Visio Viewer のコード実行問題: 重要


解決方法:
マイクロソフトは、こうした脆弱性を修正する更新プログラムをいくつもリリースしている。 このアラートで取り上げた Office や Office 関連のコンポーネントを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。

注意:
日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」へのリンクについては、次を参照すること。

MS12-029 - Office + Word セキュリティ更新プログラム
MS12-030 - Office + Excel セキュリティ更新プログラム
MS12-031 - Visio Viewer セキュリティ更新プログラム

解決策: ウォッチガードユーザ専用
ウォッチガードのアプライアンスには受信用の Office ドキュメントがネットワークに入り込まないようにすることができるものも多々あるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても Office ドキュメントが必要というのでなければ、更新プログラムをインストールするまでは Firebox のプロキシを使って Office ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっている Office ドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。
• XTM アプライアンス + WSM 11.x
o FTP プロキシでファイルをブロックするには?
o HTTP プロキシでファイルをブロックするには?
o POP3 プロキシでファイルをブロックするには?
o SMTP プロキシでファイルをブロックするには?
• Firebox X Edge + 10.x
o FTP プロキシでファイルをブロックするには?
o HTTP プロキシでファイルをブロックするには?
o POP3 プロキシでファイルをブロックするには?
o SMTP プロキシでファイルをブロックするには?
• Firebox X Core & X Peak + Fireware 10.x
o FTP プロキシでファイルをブロックするには?
o HTTP プロキシでファイルをブロックするには?
o POP3 プロキシでファイルをブロックするには?
o SMTP プロキシでファイルをブロックするには?

ステータス:
マイクロソフトはこうした脆弱性を修正する Office 対象の更新プログラムをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/word-visio-excel-201258.html http://www.watchguard.co.jp/securityalert/2012/05/word-visio-excel-201258.html セキュリティニュース Fri, 11 May 2012 13:47:28 +0900 ウォッチガード ゼロデイ脆弱性を修正する Flash アップデート 2012年5月4日 ゼロデイ脆弱性を修正する Flash アップデート


2012年5月4日

コーリー・ナクライナー
概要:
  • 対象:
     すべてのプラットフォーム (Android も対象) で使用されているAdobe Flash Player 11.2.202.233 及びそれ以前のバージョン
  • 悪用方法:
     有害な Flash コンテンツを含むウェブサイトにユーザを誘導
  • 影響:
    最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    Adobe Flash Player の最新バージョン(コンピュータの場合はバージョン 11.2.202.235)をダウンロードしインストールすること
詳細:
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザ がマルチメディアのウェブコンテンツを閲覧するためにそれをダウンロードし、インストールしている。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。

今日リリースされたセキュリティアドバイザリ で、アドビはすべてのプラットフォーム (Android も対象) で使用されている Adobe Flash Player 11.2.202.233 とそれ以前のバージョンで発見された深刻な脆弱性を修正するアップデートをリリースした。

そのアドバイザリでAdobe は「オブジェクト混乱」の脆弱性 (CVE-2012-0779) という深刻な欠陥について説明し、現在、一般の環境下で攻撃者達がこの欠陥を悪用していると警告した。問題の詳細については触れていないが、その影響力については解説している。攻撃者が特別に細工した Flash を含む悪質なウェブサイトにユーザを誘導したり、ユーザがそうした Flash コンテンツを扱った場合、攻撃者は、この脆弱性を悪用してユーザの特権でそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

現在の時点で Adobe が確認しているのは Windowsコンピュータでこの脆弱性が悪用されたケースのみであるため、これは Windows を対象とした 「プライオリティ 1」レベル問題として評価されている。また、アドビはできる限り早急に(72時間以内)セキュリティ更新プログラムを取り入れることをすすめている。しかし、他のプラットフォームでこの脆弱性を利用することも可能なため、Flash を使うことができるデバイスには、できる限り早急に最新バージョンを取り入れることをすすめる。

解決方法:
アドビはこうした問題を修正する新しいバージョン Flash Player をリリースしている(11.2.202.235 はコンピュータ用のバージョン、Android 版は11.1.11x.x) 。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。Flash Player の「サイレント・アップデート」オプションをオンにしている場合は、このアップデートを自動的に取り入れることができる。

・ Flash Player コンピュータ用:
Android Flash Player の最新バージョン は Google Play からダウンロード可能(Android から直接入手可能)

注意:
Chrome には独自のバージョンの Flash が搭載されているので、 Chrome を使用している場合は、それも別個にアップデートしておく必要がある。とはいっても、大方 Chrome はセキュリティ更新プログラムを自動的に受け取るようになっている。

解決策: ウォッチガードユーザ専用
XTM アプライアンスでは HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。
ウォッチガードのプロキシではファイル拡張子MIMEタイプ またはメッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Flash ファイルを識別するいくつかの方法:

ファイル拡張子:
・ .flv - Adobe Flash ファイル(大方ウェブサイトで使用)
・ .fla - Flash ムービーファイル
・ .f4v - Flash ビデオファイル
・ .f4p - Flash ビデオ保護ファイル
・ .f4a - Flash オーディオファイル
・ .f4b - Flash オーディオブックファイル

MIM タイプ:
・ video/x-flv
・ video/mp4 (普通の Flash より使用率が高い)
・ audio/mp4 (普通の Flash より使用率が高い)

マジックバイトのパターンにより報告された FILExt.com:
・ 16進数(Hex) FLV:46 4C 56 01
・ ASCII FLV:FLV
・ 16進数(Hex) FLA:D0 CF 11 E0 A1 B1 1A E1 00

(ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意すること。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。
それでも Flash ファイルをネットワークから遮断したいというのであれば、下記の URL を参考にし、先に説明したファイルや MIME 情報を使った方法で Firebox プロキシのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x
FTP プロキシでファイルをブロックするには?
HTTP プロキシでファイルをブロックするには?
POP3 プロキシでファイルをブロックするには?
SMTP プロキシでファイルをブロックするには?

Firebox X Edge + 10.x
FTP プロキシでファイルをブロックするには?
HTTP プロキシでファイルをブロックするには?
POP3 プロキシでファイルをブロックするには?
SMTP プロキシでファイルをブロックするには?

Firebox X Core & X Peak + Fireware 10.x
FTP プロキシでファイルをブロックするには?
HTTP プロキシでファイルをブロックするには?
POP3 プロキシでファイルをブロックするには?
SMTP プロキシでファイルをブロックするには?

ステータス:
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料:
2012 年 4 月 Adobe Flash セキュリティアドバイザリ
Adobe 最新のセキュリティ情報(日本語版)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/-flash-201254.html http://www.watchguard.co.jp/securityalert/2012/05/-flash-201254.html セキュリティニュース Wed, 09 May 2012 14:23:32 +0900 ウォッチガード Windows セキュリティ更新プログラム.NET Framework やAuthenticode の欠陥を修正 2012 年4月10日 Windows セキュリティ更新プログラム
.NET Framework やAuthenticode の欠陥を修正

2012 年4月10日

コーリー・ナクライナー
危険度:高

概要:
  • 対象:
     現バージョンのウィンドウズとオプションの.NET Framework コンポーネント
  • 悪用方法:
     特別に細工した実行可能ファイルをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  • 影響:
    最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細:
今日、マイクロソフトはウィンドウズと、そのオプションの.NET Framework コンポーネントに影響を与えている脆弱性について 2 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールすることができる。
危険性の高い問題から順番にまとめた概要は以下の通り:
・ MS12-024

Windows Authenticode 署名検証の脆弱性
Windows には デジタル署名 ベースコードの Authenticode 技術が含まれており、ユーザとオペレーティング・システムがソフトウェアの整合性と評判を確認することを可能にしている。例えば、ユーザが WatchGuard (ベンダー)が署名したソフトウェアをダウンロードしたとする。そのソフトウェアが Windows の Authenticode の検証確認をパスしている場合、そのソフトウェアは実際に WatchGuard のものであり、いかなる方法においても変更が施されていないソフトウェアであると信頼することができる。
しかし、このアドバイザリが説明している欠陥は、 Windows の Authenticode 署名検証機能(WinVerifyTrust)が Portable Executable (PE) ファイルをチェックする方法に関与している。つまり、攻撃者は実行可能ファイルを悪質なものに変更した後でも、WindowsのAuthenticode検証をパスできる、特別に細工した PE ファイルを作成することができる。ユーザがそうした実行可能ファイルをダウンロードし、それを実行するように仕向けると、攻撃者は欠陥を悪用してユーザの特権を使い、そのユーザのコンピュータへのアクセス権を手に入れることができる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。しかし、大方のユーザはメールやウェブを介して勝手に送られてきた実行可能ファイルを不審に思うだろう。とはいっても、この欠陥はユーザがファイルの評判を確認できるようにするためにマイクロソフトが使っている機能を迂回するため、腕の立つ攻撃者であれば 実行可能ファイルを実行するようにユーザを納得させてしまう場合もあるだろう。こうした理由から、できる限り早急に更新プログラムを取り入れることをすすめる。
マイクロソフトの評価:緊急
・ MS12-025

.NET Framework の遠隔操作によるコード実行問題
.NET Framework は、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使う ソフトウェア・フレームワーク CISSP だ。.NET Framework は特定のファンクション CISSP にパスされる、特定のパラメータを適切に確認できない点に関係したコード実行問題の影響を受けている。特別に細工したウェブサイトに.NET Frameworkをインストールしたユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用し、そのユーザの特権を使ってコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作することもできる。この欠陥は、.NET Framework エレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NET ベースプログラムにも影響している。ひとことで言うならば、サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。
マイクロソフトの評価:緊急

解決方法:
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。

・ MS12-024

・ MS12-025

解決策: ウォッチガードユーザ専用
攻撃者は、ローカルで実行可能ファイルを実行するようにユーザを説得するなど、こうした欠陥を様々な方法で悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、こうした欠陥から自分のネットワークをしっかりと守ることをすすめる。
多くの WatchGuard 製品のプロキシポリシーでは、規定設定により実行可能ファイルを阻止することができるので、ユーザがインターネットで見つけた悪質である可能性を持つ実行可能ファイルへのアクセスを回避できる。つまり、規定設定でプロキシポリシーを使えば、こうした欠陥を利用する悪質な実行可能ファイルへのアクセスを避け、それにより生じるリスクを緩和することができる。

ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料:
マイクロソフト セキュリティアドバイザリ一覧(日本語) CISSP

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/windows-net-framework-authenticode-2012-410.html http://www.watchguard.co.jp/securityalert/2012/04/windows-net-framework-authenticode-2012-410.html セキュリティニュース Mon, 16 Apr 2012 16:47:02 +0900 ウォッチガード 複数の Office セキュリティ更新プログラム:別のサーバ製品に影響も 2012年4月10日 複数の Office セキュリティ更新プログラム:
別のサーバ製品に影響も

2012 年4月10日

コーリー・ナクライナー
概要:
  • 対象:
     Microsoft Office, Works, SQL Server, BizTalk Server 2002, Commerce Server, Visual FoxPro, Visual Basic 6.0 Runtime
  • 悪用方法:
     有害なウェブサイトや URL にユーザを誘導したり、悪質な Works ファイルを開くように促すなど、様々な攻撃方法がある
  • 影響:
    最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細:
今日、マイクロソフトは Office やそうしたタイプのソフトウェアで見つかった脆弱性について説明したセキュリティアドバイザリを 2 件公開した。マイクロソフトはそのうち1件を深刻、もう 1 つの問題を重要と評価している。この深刻な更新プログラムは、Office の他に下記の機能にも影響を与えている。
・SQL Server(大方のバージョン)

・BizTalk Server 2002

・Commerce Server(すべてのバージョン)

・Visual FoxPro

・Visual Basic Runtime

概要は以下のとおり:
・MS12-027:

コモン コントロールの遠隔操作によるコード実行問題
Office (上記など、その他多くのマイクロソフト製品も対象)には、マイクロソフトが Windows コモン コントロール (MSCOMCTL.OCX)と呼んでいる ActiveX コントロールの一連が搭載されている。この ActiveX ライブラリにある3つのコントロールは、未特定の遠隔操作によるコード実行脆弱性の影響を受けており、攻撃者は有害なウェブページにユーザを誘導したり、特別に作成した URL をユーザにクリックさせたりすることで欠陥のいずれかを悪用し、ユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトの更新プログラムは、脆弱な ActiveX コントロールでキルビット を設定するようになっている。現在、攻撃者達は、この脆弱性を一般環境下で悪用しているとマイクロソフトは述べており、すでに深刻なこの脆弱性のリスクをさらに高めている。このため、更新プログラムを至急取り入れることをすすめる。
マイクロソフトの評価:緊急
・ MS12-028:

Works 変換ドキュメント解析の脆弱性
マイクロソフトWorksは、マイクロソフト Office に似ている軽めのパッケージで、Office に比べると特性や機能が少ない。マイクロソフト Office や最近のバージョンの Works には、様々な Works ドキュメントを開けるようにする Works 変換コンポーネントが搭載されている。しかし、Works 変換機能は Works.wps ファイルを確認し解析する方法に関係する脆弱性の影響を受けていることが分った。攻撃者は、悪質に細工した .wps ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。(注意:この欠陥の影響を受けているのはOffice 2007 w/SP2 と Works 9 のみ)。
マイクロソフトの評価:重要

解決方法:
マイクロソフトは脆弱性を修正する更新プログラムをいくつもリリースしている。 このアラートで取り上げたソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、テストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。 各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。 注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。

・MS12-027

・ MS12-028

解決策: ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って Works ドキュメントがネットワークから遮断されるように設定できるので、そういった方法でこの問題のリスクを緩和することも可能だ。しかし、そうすることで問題があるないにかかわらず、すべての Works ファイルを遮断してしまう点に注意しよう。仕事上、ネットワークの外に Works ファイルを定期的に移動させている場合は Works を遮断することは避けた方がいいかもしれない。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Works ファイル(.wps)を識別するいくつかの方法:

ファイル拡張子:
・wps - Works ドキュメント

MIME タイプ:
・application/vnd.ms-works

・application/x-msworks-wp

・zz-application/zz-winassoc-wps

マジックバイトのパターンにより報告されたFILExt.com: ・16進数(Hex):D0 CF 11 E0 A1 B1 1A E1 00

それでも Works ファイルをネットワークから遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?



Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?



Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?


ステータス:
マイクロソフトは脆弱性を修正できる更新プログラムをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧) CISSP この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/-office-2012-4.html http://www.watchguard.co.jp/securityalert/2012/04/-office-2012-4.html セキュリティニュース Mon, 16 Apr 2012 15:54:55 +0900 ウォッチガード ドライブバイ・ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート 2012年4月10日 ドライブバイ・ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート

2012年4月10日

コーリー・ナクライナー

危険度:高
概要:
  • 対象:
     現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン
  • 悪用方法:
     有害なウェブページにユーザを誘導する方法が一般的
  • 影響:
    この問題による影響は様々だが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
  • 対策:
    状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細:
マイクロソフトはパッチデーに発表した セキュリティアドバイザリ で、現バージョンのウィンドウズで使われている Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで発見された 5 つの新しい脆弱性について説明し、その危険度を「緊急」と評価した。
これら 5 つの欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じである。これらはすべて様々なHTMLオブジェクトやエレメントを IE が処理する方法に関係した遠隔操作によるコード実行の欠陥だ。有害なウェブコードを含むウェブページにユーザを誘導することに成功した攻撃者は、こうした脆弱性のいずれかを悪用してユーザの特権を利用し、そのユーザのコンピュータでコードを実行できるようになる。通常、ウィンドウズ ユーザはローカル管理者の特権を持っているため、そうした場合は攻撃者が欠陥を悪用し、そのユーザのコンピュータを完全に操作できるようになる。
欠陥の技術詳細については、マイクロソフトのアドバイザリにある 「脆弱性の情報」 の欄を閲覧することをすすめる。しかし、技術面を別にしても IE に見られるリモートコード実行の欠陥は深刻なリスクを掲げており、攻撃者がドライブバイ・ダウンロード攻撃を開始できるようにすることがある。さらに、攻撃者は正当なウェブサイトをハイジャックし、有害なウェブコードをホストするように仕向けることがよくある。そのため、このタイプの欠陥はユーザがどのサイトを訪れようとも、影響を及ぼすことができる。IE を使用している場合は、累積修正プログラムを至急ダウンロードしインストールすることをすすめる。
解決方法:
マイクロソフトは、脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。
注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。詳細リンクは 「影響を受けるソフトウェアおよび影響を受けないソフトウェア」 の欄を参照。

解決策: ウォッチガードユーザ専用
通常、このタイプの攻撃は普通の HTTP トラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ(www)にアクセスできるようにするには、HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス:
マイクロソフトはこうした脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/5ie-2012410.html http://www.watchguard.co.jp/securityalert/2012/04/5ie-2012410.html セキュリティニュース Mon, 16 Apr 2012 15:41:04 +0900 ウォッチガード Adobe Reader をアップデートまたは悪質な可能性のある PDF を避けよう 2012 年4月10日 Adobe Reader をアップデートまたは
悪質な可能性のある PDF を避けよう

2012 年4月10日

コーリー・ナクライナー
概要:
  • 対象:
     ウィンドウズ、Mac、Linux で使用している Adobe Reader、Acrobat X 10.1.2 およびそれ以前のバージョン
  • 悪用方法:
     故意に作成した PDF ドキュメントをユーザが閲覧するように誘導
  • 影響:
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり
  • 対策:
    ウィンドウズ・ユーザは、アドビの Reader や Acrobat X 10.1.3 もしくは 9.5.1 のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細:
今月のパッチデーで、アドビは利用可能なプラットフォームで使用している Adobe Reader と Acrobat X 10.1.2 およびそれ以前のバージョンで発見された 4 つのセキュリティ脆弱性について説明した セキュリティアドバイザリ をリリースした。アドビはこうした欠陥の技術詳細を説明していないが、Reader や Acrobat コンポーネント内に見られる 整数のオーバーフロー やメモリ破損に関係しているものが大方である。技術面では異なるものの、4 つの脆弱性の作用範囲と影響力はよく似ている。故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこうしたタイプの問題を悪用して、ユーザの特権を使いユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権がある場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

PDF ドキュメントを開く際に Adobe Reader を使っている場合は、この Reader の更新プログラムをできる限り早急にダウンロードしインストールすることをすすめる。

解決方法:
アドビは脆弱性を修正できる Reader と Acrobat X 10.1.3 (レガシーユーザ対象の9.5.1 も含む)をリリースしているので、状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア アップデート機能に任せることをすすめる。

Adobe Reader X 10.1.3

Windows

Mac

Linux



Adobe Acrobat X 10.1.3

Standard & Pro for Windows

Pro Extended for Windows

Pro for Mac



解決策: ウォッチガードユーザ専用
WatchGuard のアプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って PDF ドキュメントがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべての PDF ファイルを遮断してしまう点に注意しよう。社内で PDF ドキュメントを頻繁に使用している場合、これはベストな回避策ではないかもしれない。

ウォッチガードのプロキシでは、ファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。 PDF ドキュメントを識別するいくつかの方法:

ファイル拡張子:

・PDF - Adobe Reader ドキュメント

MIME タイプ:

・application/pdf

・application/x-pdf

・application/acrobat

・applications/vnd.pdf

・ text/pdf

・text/x-pdf



マジックバイトのパターンにより報告されたFILExt.com:

・16進数(Hex):25 50 44 46 2D 31 2E

・ASCII: %PDF-1

それでも PDF ファイルをネットワークから遮断したいという場合は、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定すればいい。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。多くの場合、ただ単に GAV サービスを有効にしておくだけで PDF ベースのマルウェアからネットワークを守ることができる。



XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?



Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?



Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?



ステータス:
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
アドビ(日本版)のセキュリティ・アップデート(抄訳)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/adobe-reader-pdf-2012-410.html http://www.watchguard.co.jp/securityalert/2012/04/adobe-reader-pdf-2012-410.html セキュリティニュース Mon, 16 Apr 2012 15:06:14 +0900 ウォッチガード Mac のマルウェア感染を避けるMac のマルウェア感染を避ける 2012年4月5日 Mac のマルウェア感染を避ける
OS X Java のアップデート

2012年4 月5 日
コーリー・ナクライナー

概要:
  • 対象:
     OS X 10.7.x (Lion) および 10.6.x (Snow Leopard)
  • 悪用方法:
    故意に作成した Java を含むウェブサイトにユーザを誘導する
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザの特権を持った状態で、そのユーザのコンピュータでコードを実行できるようになる
  • 対策:
    OS X Lion 2012-001 対象の Java またはOS X 10.6 Update 7 対象の Java を至急インストールするか、アップルの自動更新プログラムに任せること
詳細:
米国時間の 4 月 4 日、アップルは OS X 10.6.x と 10.7.x. を対象にした Java セキュリティ更新プログラムについて説明したアドバイザリをリリースした。この更新プログラムは OS X の Java コンポーネントで発見された 12 件の脆弱性を修正している(数字は CVE-ID による情報)。 アップルは、各欠陥の詳細について説明をしていないが、最悪の場合に生じる影響については情報を提供している。故意に作成した Java コードを含むウェブサイトにユーザを誘導することに成功した場合、攻撃者はこうしたタイプの脆弱性を悪用し、ユーザの特権を使ってユーザの OS X コンピュータでコードを実行できるようになる。 このアップルの更新プログラムは、 オラクルが OS X ユーザ対象に 2 月にリリースした Java セキュリティ更新プログラムを含んでいるのだが、残念なことに攻撃者達はすでに一般の環境下のMacユーザに対し、こうしたJava脆弱性のひとつを使い攻撃を仕掛けている。Mac のトロイの木馬 「フラッシュバック 」 は、こうした Java 欠陥やこれまでの Flash 脆弱性を利用し、すでに 600,000 台の Mac を感染させたと報告されている。このため、仕事場で Mac を使っている場合は、アップルの OS X Java のセキュリティ更新プログラムを至急インストールすることを強くすすめる。Flashback マルウェアについて、自分の Mac を調べる方法には このリンク を参照することをすすめる。
解決方法:
アップルは、こうした欠陥を修正する OS X Lion 2012-001 対象の Java と、OS X 10.6 Update 7 対象のJava をリリースしている。OS X 10.6.x または 10.7.x を入れているコンピュータを管理している場合は、こうしたセキュリティ更新プログラムをダウンロードしデプロイするか、自動ソフトウェア更新プログラムツールに任せることを強くすすめる。

解決策: ウォッチガードユーザ専用
攻撃の中には、悪質なJava バイトコード を含むウェブページにユーザが訪れることに依存しているものもある。大方のウォッチガード製品に搭載されている HTTP プロキシー・ポリシーは、Java バイトコード を規定設定でブロックするようになっているため、このような脆弱性をいくつかを緩和することが可能だ。

ステータス:
アップルは欠陥を修正する更新プログラムをリリースしている。

参考資料:
アップルのOS X:Javaアドバイザリ(3月分)

アップルのソフトウェア・ダウンロード先

アップルのセキュリティ更新プログラム

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept)]]> http://www.watchguard.co.jp/securityalert/2012/04/mac-os-x-java-2012-4.html http://www.watchguard.co.jp/securityalert/2012/04/mac-os-x-java-2012-4.html セキュリティニュース Wed, 11 Apr 2012 13:37:37 +0900 ウォッチガード 半年に一度の Cisco 定例セキュリティアップデート公開日:DoS 欠陥を修正する IOS セキュリティ更新プログラム 2012 年3月28日 半年に一度の Cisco 定例セキュリティアップデート公開日:
DoS 欠陥を修正する IOS セキュリティ更新プログラム

2012年3月28日

コーリー・ナクライナー
概要:
  • 対象:
     Cisco IOS を使用している数々のデバイス
  • 悪用方法:
    細工したネットワークパケットを送信するなど、攻撃手段は多々ある
  • 影響:
    IOS デバイスをリロードするように攻撃者が促し、欠陥を繰り返し悪用してサービス拒否(DoS)状態に追い込むケースがもっともよく見られる。
  • 対策:
    Cisco IOS デバイスを管理している管理者は、状況に適した Cisco の更新プログラムを至急ダウンロードしテストしてから取り入れることをすすめる。

詳細:
一年ほど前、 Cisco は年に2 回(3 月と 9 月の第四水曜日)、セキュリティアップデートをリリースすることにした。そして今回のセキュリティアップデート公開日に Cisco はインターネットワーク・オペレーティングシステム( IOS )ソフトウェアを使用しているデバイスに関連する 9 つのセキュリティアドバイザリをリリースした。 IOS は大方の Cisco ルーターやスイッチで使われている オペレーティングシステム である。9 つの IOS アドバイザリの技術面や影響する IOS コンポーネントはそれぞれ異なるが、ほとんどの欠陥の作用範囲と影響力は同じだ。

特別に細工したネットワークトラフィックを IOS へ送ったり、それを経由させて送信した場合、攻撃者は大方の問題を悪用してデバイスをリロードできるようになる。また、攻撃者は脆弱性を繰り返し悪用することでユーザのルーターやスイッチで サービス拒否(DoS) 状態にさせることもできる。

今回報告された IOS アラートの全リストについては、Cisco のセキュリティアドバイザリ とレスポンスのページを参照することをすすめる。以下の IOS アドバイザリ 3 件の概要を参考に、欠陥がもたらす影響力の大まかな点を確認しておくことをすすめる。

アドバイザリ ID:cisco-sa-20120328-ssh
リバース SSH DoS 脆弱性

Cisco のセキュアシェル (SSH) コンポーネントは、リバース SSH 接続を処理する方法に関係する DoS 脆弱性の影響を受けている。特別に細工したユーザ名を使ってリバース SSH ログインを試すことで、未認証状態にある攻撃者は欠陥を悪用してユーザの IOS デバイスをリロードさせることができる。また、攻撃者は、この問題を何度も繰り返すことでユーザの IOS デバイス(ゲートウェイ・ルーターなど)をオフライン状態にすることができる。

ベースCVSS スコア : 7.8 (もっとも深刻な数値は 10)

アドバイザリ ID:cisco-sa-20120328-nat
DirectWrite DoS の脆弱性

Cisco IOS の ネットワークアドレス変換(NAT) コンポーネントは、 セッション確立プロトコル(SIP) トラフィックを処理する方法に関係する脆弱性の影響を受けている。攻撃者は特別に細工した SIP トラフィックを IOS デバイスを通じて送信することで脆弱性を悪用し、ユーザの IOS デバイスのメモリを消耗させてリロードを強制する可能性がある。ユーザがCisco IOS ルーターを使用してインターネットに接続している場合、攻撃者は脆弱性を繰り返し悪用してそのネットワークをインターネットから落とすことができる。

ベースCVSS スコア : 7.8

アドバイザリ ID:cisco-sa-20120328-ike:
IKE DoS の脆弱性

インターネットキー交換(IKE) は、 IPSec VPN トンネルをビルドする場合に必要な暗号の特性値を交渉するために開発されたプロトコルだ。Cisco IOS の IKE コンポーネントは、未特定脆弱性の影響を受けており、攻撃者はそれを利用してユーザの IOS デバイスを強制的にリロードさせることができる。攻撃者は特別に細工した IKE トラフィックを IOS デバイスに送信することで欠陥を繰り返し悪用し DoS 状態に追い込むことができる。

ベースCVSS スコア : 7.8

この他の IOS アドバイザリも、多くの場合がここで説明した欠陥と同じように深刻な DoS 欠陥を修正している。中にはコマンド認証バイパスの脆弱性もある。各アドバイザリの詳細を知りたい場合は、このアラートの「参考資料」の欄を参照することをすすめる。


解決方法:
Cisco は脆弱性を修正するセキュリティ更新プログラムをリリースしている。IOS ソフトウェアを実行しているCiscoデバイスを管理している場合は、Ciscoのアドバイザリにある「Software Versions and Fixes」と「Obtaining Fixed Software」を参照し、状況に適したフィックスやその入手方法を確認することをすすめる。各アドバイザリへのリンクは、このアラートの「参考資料」で確認できる。

全ユーザ対象:
こうした脆弱性は、通常ファイアウォールの前に設置しているルーターに影響するため、できる限り早急に Cisco のセキュリティ更新プログラムを適用することをすすめる。

ステータス:
Cisco はこうした問題を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
Cisco のセキュリティアドバイリとレスポンスのページ
Cisco リバース SSH DoS 脆弱性
Cisco IOS RSVP DoS 脆弱性
トラフィックを最適化するコンポーネントに見られる Cisco IOS DoS 脆弱性
Cisco IOS MSDP DoS 脆弱性
Cisco IOS NAT DoS の脆弱性
Cisco IOS IKE DoS の脆弱性
Cisco IOS Smart Install DoS の脆弱性
Cisco IOS コマンド認証バイパスの欠陥
Cisco IOS ゾーンベースのファイアウォール脆弱性
Cisco 日本語サイト
Cisco セキュリティ アドバイザリ

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept)]]> http://www.watchguard.co.jp/securityalert/2012/04/-cisco-dos-ios-2012-328.html http://www.watchguard.co.jp/securityalert/2012/04/-cisco-dos-ios-2012-328.html セキュリティニュース Mon, 02 Apr 2012 13:31:03 +0900 ウォッチガード 7 つのセキュリティホールを塞ぐ Windows のセキュリティ更新プログラム 4 件 2012 年3月13日 7 つのセキュリティホールを塞ぐ Windows のセキュリティ更新プログラム 4 件

2012 年3月13日

コーリー・ナクライナー
RDP / DNS サーバ/ カーネルモード・ドライバ他
危険度:高

概要:
  • 対象:
    現バージョンのウィンドウズと搭載されているコンポーネント (スモールビジネスサーバ 2003 に影響している欠陥も 1 つあり)
  • 悪用方法:
    細工したパケットを脆弱なコンピュータに送信するなど、攻撃手段は多々ある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザの Windows を完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、Windowsの自動アップデート機能に任せることをすすめる
詳細:
今日、マイクロソフトはWindowsと搭載されているコンポーネントに影響を与えている 7 つの脆弱性について 4 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるWindowsのバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのWindows PC を完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り:
  • MS12-020: RDP リモートコード実行と DoS 脆弱性
リモート デスクトップ プロトコル(RDP) はマイクロソフトの通信規格で、ユーザがネットワーク上のコンピュータにアクセスでき、自分のデスクトップを直接管理できるようにデザインされている。 一台のマシンを何人ものリモートユーザで共有できるようにするため、Windows ターミナルサーバも RDP を使用している。
しかし残念ながら、全バージョンのWindowsに搭載されているRDPコンポーネントは 2 つの脆弱性の影響を受けている。中でもリモートコード実行の欠陥は深刻な問題であり、この欠陥は特別に細工したパケットシーケンスを RDP コンポーネントが処理する方法に関与している。攻撃者は RDP サービスを実行しているコンピュータにパケットを連続的に送信することで欠陥を悪用し、そのコンピュータを完全にコントロールできるようになる。また、比較的軽度ではあるが RDP コンポーネントは サービス拒否 欠陥の影響も受けており、攻撃者はその欠陥を利用して RDP サービスが新しい接続に反応しないようにすることができる。
RDPリモートコード実行の欠陥は深刻な脆弱性ではあるが、このサービスはWindowsシステムで既定設定として有効にされていないので、意図的にRDP接続を有効にしていない限り脆弱にはならない。そうとはいっても、RDP サービスを有効にしているウィンドウズ ターミナル サーバを管理している企業は多い。そうしたサーバを管理している場合は RDP セキュリティ更新プログラムを至急インストールすることを強くすすめる。
アップデート: マイクロソフトのスモール ビジネス サーバ (SBS) 2003には、リモート ウェブ ワークプレイスという機能があるが、これも RDP 問題において脆弱である。


マイクロソフトの評価:「深刻」
管理者が自分達のネットワークで ドメイン名システム を提供できるようにするため、サーバ版のWindows には DNS サーバが搭載されている。しかし DNS サーバは DNS リソース・レコード を調べている時にメモリでオブジェクトを処理する方法に関与する DoS 脆弱性の影響を受けている。このため、攻撃者は Windows DNS サーバに特別に細工したDNSリクエストを送信することで欠陥を悪用し、DNS サーバの反応を停止させ再起動が必要となるように仕向けることができる。
通常、DoS 欠陥はコード実行の欠陥に比べるとさほど深刻ではないと思う人が多いと思うが、攻撃者が DNS サーバを無反応にさせることに成功すれば、基本的にネットワークをオフラインにすることができるため、人が読めるアドレスを使ってユーザがインターネットを利用することができなくなる。マイクロソフトはこの問題を「重要」としか評価していないが、DNSの管理者にとっては、かなり深刻な問題を修正しているものと我々は判断している。

マイクロソフトの評価:重要
  • MS12-018: カーネルモード・ドライバのコード実行問題
カーネル は、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素である。Windows には OS のデバイス・インタラクションをカーネルレベルで処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。しかし、カーネルモード・ドライバは深刻なコード実行欠陥の影響を受けており、カーネルモード・ドライバが Windows の機能(特にPostMessage)からパスされたインプットを処理する際に入力確認できない点が原因となっている。ローカル攻撃者が特別に細工したプログラムを実行した場合、攻撃者は欠陥を悪用してユーザの Windows コンピュータを完全に操作できるようになる。しかし、攻撃者は有効なクレデンシャルを使った、ユーザのウィンドウズへのローカルアクセス権が必要となるため、この欠陥が掲げているリスクは大幅に緩和される。

マイクロソフトの評価:重要
DirectWrite は Windows の API で、Windows GUI においてアプリケーションがテキストを処理できるように開発者が使う機能である。しかし、深刻ではないものの、DirectWrite は特別に細工したユニコード文字列のシーケンス処理に関与する DoS の脆弱性問題の影響を受けている。特別に細工したユニコードのコンテンツを DirectWrite API を使うアプリケーションを通じてユーザが閲覧するように誘導すると、攻撃者はこの欠陥を利用してそのアプリケーションをクラッシュさせることができる。DirectWrite を使うアプリケーションには Internet Explorer や Windows インスタントメッセンジャーなどがある。前述した DNS サーバの DoS の脆弱性と違い、この欠陥はそれほど深刻ではない。攻撃者がこの問題を悪用しても、できることはユーザのマシンでクライアントアプリケーションを1つクラッシュさせるだけで、ユーザはアプリケーションを簡単に再起動させ、クラッシュの原因となったコンテンツを避けることができる。 マイクロソフトの評価:「中」

解決方法:
マイクロソフトは、こうした問題をすべて修正できる Windows 対象の更新プログラムをリリースしているので、状況に適した Windows のプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、Windows の自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。
解決策: ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を利用して欠陥を悪用することができる。適切に設定したファイアウォールであれば、こうした問題のいくつかのリスクを緩和させることができる。ただし、ウォッチガードのアプライアンスでローカル攻撃を阻止することはできないので、マイクロソフトのセキュリティ更新プログラムをインストールし、欠陥から自分のネットワークを完全に守ることをすすめる。
そうとはいっても、ウォッチガードのアプライアンスは Windows RDP 脆弱性によるリスクを緩和させることができる。既定設定では WatchGuardの XTM と Firebox アプライアンスはエクスターナル RDP アクセスをブロックすることができる(通常TCP ポート3389; SBS 2003 はTCP ポート4125を使用)。意図的にRDPを許可していなければ、ウォッチガードの規定設定により、インターネットベースの攻撃者がRDP欠陥を利用してサーバに攻撃を仕掛けることを妨げることができる。
また、ターミナルサーバへのエクスターナルアクセスを許可しなければならない場合は、ウォッチガードの認証機能を使って信頼できるユーザにだけ RDP アクセス権を与えるように制限することも可能だ。ウォッチガードの認証機能の詳細については ヘルプページ を参考にすることをすすめる。

ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
2012 年 3 月版マイクロソフトのセキュリティ更新プログラム(一覧)

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/03/7-windows-4.html http://www.watchguard.co.jp/securityalert/2012/03/7-windows-4.html セキュリティニュース Mon, 19 Mar 2012 13:37:33 +0900 ウォッチガード 予想外の FlashPlayer アップデート  2 件の深刻な問題を修正 2012年3月5日 予想外の Flash Player アップデート  2 件の深刻な問題を修正

2012 年3月5 日

コーリー・ナクライナー 
概要:
  • 対象: 
    すべてのプラットフォーム (Android も対象) で使用している Adobe Flash Player 11.1.102.62 とそれ以前のバージョン 
  • 悪用方法: 
    有害な Flash コンテンツを含むウェブサイトにユーザを誘導 
  • 影響: 
    最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる 
  • 対策:  
    Adobe Flash Player の最新バージョン(コンピュータの場合はバージョン 11.1.102.63)をダウンロードしインストールすること
詳細:
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザ がマルチメディアのウェブコンテンツを閲覧するためにダウンロードしインストールしている機能だ。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。 このブラウザではこの画像を表示できない可能性があります。  
 
しかし、アドビはこの予想外にリリースされたセキュリティアドバイザリで、すべてのプラットフォーム (Android も対象) で使われている Adobe Flash Player 11.1.102.62 と、それ以前のバージョンで発見された2つのセキュリティ問題を修正するアップデートについて警告している。アドビのアドバイザリは欠陥の詳細については説明してないが(1つはメモリ破損、もう1つは整数符号のエラーであることは公表)、もし攻撃者が特別に細工した Flash コンテンツを含む悪質なウェブサイトにユーザを誘導した場合、攻撃者は中でも悪質な脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになると注意を呼びかけている。また、ウィンドウズ ユーザがローカル管理者の特権を持っていた場合は、攻撃者がユーザの PC を完全に操作できるようになる。 アドビはこのアップデートを「プライオリティ2」と評価している。このプライオリティ2というレベルは、かなり重大な欠陥を修正しているが、攻撃者達はまだ一般の環境下でこの欠陥を悪用していないという意味である。アドビは、このセキュリティ更新プログラムを 30 日以内に取り入れることを提案しているが、1週間以内に対応した方がいいだろう。
解決方法:
アドビはこうした問題を修正する新しいバージョン Flash Player (11.1.102.63 はコンピュータ用のバージョン、Android 版は11.1.11x.x) をリリースしている。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。
  • Flash Player コンピュータ用(全プラットフォーム):
このブラウザではこの画像を表示できない可能性があります。 注意:
Chrome には独自のバージョンの Flash が搭載されているので、ウェブ・ブラウザに Chrome を使用している場合は、それはそれでアップデートする必要がある。
解決策: ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。 ウォッチガードのプロキシではファイル拡張子MIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。 
 
Flash ファイルを識別するいくつかの方法:
ファイル拡張子:
  • .flv -  Adobe Flash ファイル(大方ウェブサイトで使用)
  • .fla - Flash ムービーファイル
  • .f4v - Flash ビデオファイル
  • .f4p - Flash ビデオ保護ファイル
  • .f4a - Flash オーディオファイル
  • .f4b - Flash オーディオブックファイル
MIME タイプ:
  • video/x-flv
  • video/mp4 (普通の Flash より使用率が高い)
  • audio/mp4 (普通の Flash より使用率が高い)
マジックバイトのパターンにより報告されたFILExt.com:
  • 16進数(Hex) FLV:46 4C 56 01
  • ASCII FLV:FLV
  • 16進数(Hex) FLA:D0 CF 11 E0 A1 B1 1A E1 00
(ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意してほしい。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。  それでもネットワークから Flash ファイルを遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定することをすすめる。
ステータス:
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。
参考資料:
]]> http://www.watchguard.co.jp/securityalert/2012/03/-flashplayer-2-201235.html http://www.watchguard.co.jp/securityalert/2012/03/-flashplayer-2-201235.html セキュリティニュース Wed, 07 Mar 2012 14:07:56 +0900 ウォッチガード Adobe Flashアップデート、ゼロデイ XSS セキュリティホールなどに対応 2012年2月16日 Adobe Flash アップデート、ゼロデイ XSS セキュリティホールなどに対応
2012年2月16日
コーリー・ナクライナー

概要:
  • 対象: 
    すべてのプラットフォームで使われている Adobe Flash Player 11.1.102.55 とそれ以前のバージョン。アンドロイド版の Flash にも影響あり。 
  • 悪用方法: 
    有害な Flash コンテンツを含むウェブサイトにユーザを誘導 
  • 影響: 
    最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる 
  • 対策:  
    Adobe Flash Player の最新バージョンをダウンロードしインストールすること
 
詳細:
Adobe Shockwave Playerは、Flashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、マルチメディアのウェブコンテンツを閲覧するために、 99% の PC ユーザがそれをダウンロードしインストールしている。Flash を使用できるオペレーティングシステムは多々あり、アンドロイドのようなモバイルもそれに対応している。 このブラウザではこの画像を表示できない可能性があります。  
 
しかし、アドビはきのうリリースしたセキュリティアドバイザリで、アンドロイド も含むすべてのプラットフォームで使われている Adobe Flash Player 11.1.102.55 とそれ以前のバージョンが脆弱性7件の影響を受けていると警告した(数字はCVE によるもの)。アドビのセキュリティアドバイザリは 詳細について触れていないが、特別に細工したFlashコンテンツを含む悪質なウェブサイトにユーザを誘導することに成功した攻撃 者は、いくつもある未特定の脆弱性を悪用してユーザの特権で、そのコンピュータでコードを実行できるようになると注意を呼び かけている。また、ウィンドウズ ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザの PC を完全に操作できるようになる。 さらに、攻撃者はこうした欠陥を悪用して一般環境下でゼロデイXSS脆弱性を悪用しているともアドビは警告している。ネットワークで Adobe Flash Player の使用を許可している場合は、この攻撃によるリスクを低下させるために至急ネットワーク全体に最新バージョン をインストールすることをすすめる。  

解決方法:
アドビはこうした問題を修正する新しいバージョン Flash Player (11.1.102.62 はコンピュータ用のバージョン、アンドロイド版は11.1.11x.x) をリリースしている。 ネットワークでAdobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。
  • Flash Player コンピュータ用(全プラットフォーム):
このブラウザではこの画像を表示できない可能性があります。  
解決策: ウォッチガードユーザ専用
XTMアプライアンスでは、HTTPプロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、 すべてのFlash コンテンツを阻止してしまう点に注意しよう。 ウォッチガードのプロキシでは ファイル拡張子MIMEタイプまたは メッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、 様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。 
 
Flash ファイルを識別するいくつかの方法: ファイル拡張子:
  • .flv -  Adobe Flash ファイル(大方ウェブサイトで使用)
  • .fla - Flash ムービーファイル
  • .f4v - Flash ビデオファイル
  • .f4p - Flash ビデオ保護ファイル
  • .f4a - Flash オーディオファイル
  • .f4b - Flash オーディオブックファイル
MIME タイプ:
  • video/x-flv
  • video/mp4 (普通の Flash より、よく使用されている)
  • audio/mp4 (普通の Flash より、よく使用されている)
マジックバイトのパターンにより報告されたFILExt.com:
  • 16進数(Hex) FLV:46 4C 56 01
  • ASCII FLV:FLV
  • 16進数(Hex) FLA:D0 CF 11 E0 A1 B1 1A E1 00
(ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意してほしい。 パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。)  それでもネットワークからFlash ファイルを遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルや MIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定すればよい。  
ステータス:
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料:
アドビ(日本版)のセキュリティ・アップデート(抄訳) 
 
 
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。  
(ツイッター:(@SecAdept
]]> http://www.watchguard.co.jp/securityalert/2012/02/adobe-flash-xss-2012216.html http://www.watchguard.co.jp/securityalert/2012/02/adobe-flash-xss-2012216.html セキュリティニュース Mon, 20 Feb 2012 14:59:48 +0900 ウォッチガード Sharepoint とVisioの欠陥を修正するマイクロソフトOfficeのセキュリティ更新プログラム 2012年2月15日 Sharepoint とVisio の欠陥を修正するマイクロソフト Office のセキュリティ更新プログラム
2012年2月15日
コーリー・ナクライナー

概要:
  • 対象: 
    SharePoint / SharePoint Foundation / Visio Viewer 2010 - すべてマイクロソフト Office の一部 
  • 悪用方法: 
    有害なウェブサイトや URL にユーザを誘導したり、有害なVisioファイルを開くように促すなど、様々な攻撃方法がある 
  • 影響: 
    最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある 
  • 対策:  
    状況に適した SharePoint や Visio のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
 
詳細:
米国時間の2月14日、マイクロソフトは Office 関連のセキュリティアドバイザリを 2 件リリースし、SharePoint / SharePoint Foundation / Visio Viewer 2010(すべてマイクロソフト Office の一部)に見られる脆弱性8件について報告した。マイクロソフトはどちらのアドバイザリについても[重要]と評価している。 
 
概要は以下のとおり:
  • MS12-011: SharePoint XSS の脆弱性(3)
SharePoint と SharePoint Foundation はマイクロソフトによるウェブおよびドキュメントのコラボレーションと管理を行うプラットフォームだが、どちらもクロスサイト・スクリプティングの脆弱性(XSS)問題(3つ)の影響を受けているため、攻撃者が特権昇格を試みることが可能になっている。有害なウェブページにユーザを誘導したり、特別に作成したURLをクリックさせたりすることで、攻撃者は任意に欠陥を悪用し、ユーザのSharePointサーバで特権を獲得することができる。つまり、攻撃者はユーザと同等にドキュメントを閲覧したり変更したりすることができるようになる。ただし、この欠陥の影響を受けているのは最新バージョンである 2010 の SharePoint のみである。 マイクロソフトの評価:重要
  • MS12-015: Visio Viewer のメモリ破損の脆弱性(5)
マイクロソフトの Visio は人気のあるダイアグラム プログラムで、多くのネットワーク管理者達がネットワーク図を作成する際に使っている。Visio Viewer は無料プログラムで図を閲覧するために誰でも使うことができるのだが、Visio Viewer は、特別に細工したドキュメントを処理する方法に関与する5つのコード実行問題の影響を受けていることが分った。欠陥の技術面はどれも異なるが、その作用範囲と影響力は同じである。悪質に細工されたVisio ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。ただし、この欠陥の影響を受けているのは Visio Viewer 2010 で、市販の Visio 製品ではない。 マイクロソフトの評価:重要  

解決方法:
マイクロソフトは脆弱性を修正するSharePoint と SharePoint Foundation の更新プログラムをリリースしている。 状況に適した SharePoint の更新プログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。とはいっても、サーバの更新プログラムは実際のプロダクション環境に取り入れる前にテストしておく方がいいだろう。 下記のURLからそれぞれのアドバイザリの「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。  
解決策:  
ウォッチガードユーザ専用 XTMアプライアンスでは、HTTPプロキシやSMTPプロキシ、FTPプロキシを使って マイクロソフトのVisioドキュメントがネットワークから遮断されるように設定することができる。しかし、そうすることで問題があるないにかかわらず、すべてのVisioファイルを遮断してしまうので注意が必要だ。仕事上、定期的にネットワークの外部にVisioファイルを移動させている場合は、Visioを遮断することは避けた方がいいかもしれない。逆に、ネットワークから遮断しても差し支えない場合は、そうした対策をとることで更新プログラムをインストールするまでの間はVisio Viewerの脆弱性によるリスクを緩和させることができる。 ウォッチガードのプロキシではファイル拡張子MIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など(マジックバイトによる検出としても知られる方法)、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。 
 
 
Visioファイルを識別する方法: ファイル拡張子:
  • .vsd - Visio Drawing ファイル
  • .vst - Visio テンプレートファイル
  • .vss - Visio Stencil ファイル
  • .vdx - Visio XML Drawing ファイル
  • .vtx  - Visio XML Template ファイル
  • .vsx - Visio XML Stencil ファイル
MIME タイプ:
  • application/visio
  • application/x-visio
  • application/vnd.visio
  • application/visio.drawing
  • application/vsd
  • application/x-vsd
  • image/x-vsd
  • zz-application/zz-winassoc-vsd
  • application/x-visiotech
マジックバイトのパターンにより報告されたFILExt.com:
  • 16進数(Hex):D0 CF 11 E0 A1 B1 1A E1 00
Visioファイルをネットワークから遮断したいのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定すればよい。  
ステータス:
マイクロソフトは脆弱性を修正できるSharePointとVisio対象の更新プログラムをリリースしている。  

参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧) 
 
 
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 (ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/02/sharepoint-visio-office-2012215.html http://www.watchguard.co.jp/securityalert/2012/02/sharepoint-visio-office-2012215.html セキュリティニュース Mon, 20 Feb 2012 14:43:06 +0900 ウォッチガード ウェブベース攻撃を回避するアドビのShockwave更新プログラム 2012年2月15日 ウェブベース攻撃を回避するアドビのShockwave 更新プログラム
2012年2月15日
コーリー・ナクライナー
   
概要:
  • 対象: 
    ウィンドウズや Mac で使用しているアドビのShockwave Player 11.6.3.633(それ以前のバージョンも含む) 
  • 悪用方法: 
    悪質な Shockwave コンテンツを含むウェブサイトにユーザを誘導する 
  • 影響: 
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり 
  • 対策:  
    ネットワークでShockwaveの使用を許可している場合は、できる限り早急にAdobe Shockwave Player の最新バージョン (11.6.4.634) をインストールすることをすすめる
 
詳細:
アドビによると、Shockwaveと いうインタラクティブな動画のウェブコンテンツやムービーを表示できる Adobe Shockwave Playerは何億台もの PC にインストールされているという。 アドビは火曜日にリリースした セキュリティアドバイザリで、Windows やMacで使われているAdobe Shockwave Player 11.6.3.633 (およびそれ以前のバージョン)に影響している深刻な脆弱性9件について警告した。 アドビのセキュリティアドバイザリは技術詳細については触れていないが、大部分においてはメモリに関連する脆弱性で、  ヒープ・バッファオーバーフロー やその他のメモリ破損の欠陥などがある。欠陥の技術面はどれも異なるが、その作用範囲と影響力は同じだ。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザを誘導することに成功すると、攻撃者はこうした欠陥のいずれかを悪用して ユーザのコンピュータで、ユーザの特権を使ってコードを実行することができるようになる。また、ウィンドウズ ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 このため、ネットワークでShockwaveの使用を許可している場合は、できる限り早急に最新バージョンをインストールすることをすすめる。  

解決方法:
アドビはこうした脆弱性を修正できる Shockwave Player 11.6.4.634 をリリースしているので、ネットワークで Shockwave の使用を許可している場合は、できる限り早急に最新バージョンをインストールすることをすすめる。 
 
最新バージョンは下記の URL からダウンロードすることができる。 このブラウザではこの画像を表示できない可能性があります。  

解決策: ウォッチガードユーザ専用
XTMアプライアンスでは、HTTPプロキシを使って Shockwave コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、 すべてのShockwaveコンテンツを遮断してしまう点に注意しよう。 ウォッチガードのプロキシでは ファイル拡張子MIMEタイプ またはメッセージ本文に見られる特定の16進数パターン別など(マジックバイトによる検出としても知られる方法)、 様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。 
 
 
Shockwave ファイルを識別する方法: ファイル拡張子:
  • .swf -  Adobe Shockwave ファイル
MIME タイプ:
  • application/x-shockwave-flash
  • application/x-shockwave-flash2-preview
  • application/futuresplash
  • image/vnd.rn-realflash
マジックバイトのパターンにより報告されたFILExt.com:
  • 16進数(Hex):46 57 53
(このパターンは短すぎるため誤検知になりやすいので勧められない)  
 Shockwave ファイルをネットワークから遮断したい場合は、下記のURLを参考にし、 先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツ ブロック機能を設定すればよい。  
ステータス:
アドビはこうした脆弱性を修正する Shockwave Player の更新プログラムをリリースしている。  

参考資料:
]]> http://www.watchguard.co.jp/securityalert/2012/02/shockwave-2012215.html http://www.watchguard.co.jp/securityalert/2012/02/shockwave-2012215.html セキュリティニュース Mon, 20 Feb 2012 14:36:10 +0900 ウォッチガード オラクルの深刻なJava 脆弱性(14)を修正する 2012年2月15日 オラクルの深刻な Java 脆弱性(14)を修正する 

セキュリティ更新プログラム  
2012年2月15日
コーリー・ナクライナー  
危険度:高

概要:
  • 対象: 
    JRE(Sun Java Runtime Environment)のすべてのバージョンと、今日までにリリースされた JDK(Java Development Kit) 
  • 悪用方法: 
    細工した Java を含む悪質なウェブページにユーザを誘導する方法が一般的 
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる  
  • 対策:  
    状況に適した JRE (または JDK) の更新プログラムをできる限り早急にインストールすること
 
詳細:
サン・マイクロシステムズにより開発された プログラミング言語の Java は、ウェブページを向上させるためによく使われる。オラクルのSun< a href="http://en.wikipedia.org/wiki/Java_%28software_pla tform%29" target="_blank">Java Runtime Environment (JRE)は、現在もっとも人気のある Java インタプリタである。 しかし、米国時間の2月14日にオラクルはセキュリティアラートをリリースし、Windows、Solaris、Linux のプラットフォームで使用しているSun JRE (または Sun Java SDK)における、これまでのバージョンすべてに影響を与えるセキュリティ脆弱性 14 件について警告した。脆弱性の技術面はそれぞれ異なるが、攻撃者は Java を含む特別に細工した悪質なウェブページにユーザを誘導するなどして欠陥を悪用することができる。最悪の場合、もしユ ーザがそうしたサイトに行ってしまった場合、攻撃者はいずれかの Java欠陥を利用し、ユーザの特権を使ってそのコンピュータでコードを実行できるようになる。また、ユ ーザがローカル管理者やルート特権を持っていた場合、攻撃者はこうした欠陥を利用して、そのコンピュータを完全に操 作できるようになることも考えられる。 
 
ウォッチガードが今回の Javaアップデートを深刻な問題として受け止めるに至った理由は、攻撃者達によるJava欠陥をター ゲットにしたドライブバイ・ダウンロード攻撃が次第に増えており、ウェブ・ブラウザ欠陥を悪用するケースよりも頻繁に見 られるようになってきているからだ。 
大方のユーザがそうであるように、Javaをインストールしている場合はオラクルのセキュリティ更新プログラムをできる限 り早急にダウンロードし、インストールすることをすすめる。  

解決方法:
サンはこうした問題を修正するため、JREとSDKを対象にした数々のセキュリティ更新プログラムをリリースしている。 ネットワークでSun JRE を使用している場合は、できる限り早急に状況に適したセキュリティ更新プログラムをダウンロードし取り入れ ることをすすめる。セキュリティ更新プログラムはオラクルのアラートにある「Patch Availability Table」の欄で見つけることができる。  

解決策: ウォッチガードユーザ専用
ウォッチガードのFireboxモデルの中にはウェブサイトからJavaアプレットをユーザがダウンロードできないように設定できるものもある。しかし、そうすることで特に問題のないウェブサイトもJavaアプレットを使うことができなくなるため、Java アプレットを無効にしたくないのであれば、状況に適した Sun JRE セキュリティ更新プログラムをできる限り早急にダウンロードすることをすすめる。また、Javaアプレットを無効にすること でいくつかの脆弱性によるリスクを緩和させることができるかもしれないが、すべてのリスクを抑えるわけではないので、 オラクルの更新プログラムを取り入れることが最善の解決方法であるといえるだろう。 FireboxのHTTPプロキシでJavaバイトコードを無効にする方法については、 ヘルプページを参考にすることをすすめる。  

ステータス:
オラクルは問題を修正する更新プログラムをリリースしている。  

参考資料:
 
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。  
(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/02/java-14-2012215.html http://www.watchguard.co.jp/securityalert/2012/02/java-14-2012215.html セキュリティニュース Mon, 20 Feb 2012 14:04:09 +0900 ウォッチガード 9つのセキュリティ脆弱性を修正する6つのウィンドウズ セキュリティ更新プログラム 2012年2月14日 9つのセキュリティ脆弱性を修正する6つのウィンドウズ セキュリティ更新プログラム
2012年2月14日
コーリー・ナクライナー
.NET Framework / カーネルモード・ドライバ / Indeo コーデック、その他
危険度:高

概要:
  • 対象: 
    現バージョンのウィンドウズと搭載されているコンポーネント。 .NET Framework と SilverLight にも影響あり 
  • 悪用方法: 
    有害なウェブサイトにユーザを誘導したり、有害なメディアやファイルを開くように促すなど様々な攻撃方法がある 
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
  • 対策:  
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
 
詳細:
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響を与えている 9 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。アドバイザリの中には、.NET FrameworkやSilverlightで発見された欠陥について説明しているものもある。この2つはオプション機能だが、 ウィンドウズ開発に使う人気のフレームワークだ。 各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用してユーザ のウィンドウズ PC を完全にコントロールできるようになる。  
 
危険性の高い問題から順番にまとめた概要は以下のとおり:
  • MS12-008: カーネルモード・ドライバの脆弱性(2)
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素である。ウィンドウズには、OSのデバイス インタラクションをカーネル レベルで処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。しかし、 カーネルモード・ドライバは2つの脆弱性の影響を受けており、中でも悪質なのは、カーネルモード・ドライバがWindows  GDIからパスされたインプット 処理で入力確認できない点が原因となっているコード実行の欠陥だ。有害なウェブサイトにユーザを誘導したり、特別に細工したメール を開かせたり、悪質なプログラムを実行させるように促すなどして、攻撃者はこの欠陥を悪用してユーザの Windows コンピュータを完全に操作できるようになる。これは実に深刻な欠陥であるため、できる限り早急に 更新プログラムをインストールすることをすすめる。 マイクロソフトの評価:深刻
  • MS12-013: Msvcrt.dll バッファオーバーフローの脆弱性
Msvcrt.dll はダイナミック リンク ライブラリ (DLL)で、ウィンドウズのシステムレベルのコンポーネントが定期的なタスクを行う場合に よく使う機能だ。しかし、これは未特定の バッファオーバーフローの影響を受けており、細工したメディアファイルをユーザが開くように誘導すると(メールやウェブを使用) 、攻撃者は欠陥を悪用してそのユーザの特権を使い、ユーザのコンピュータでコードを実行できるようになる。また、 ユーザがローカル管理者である場合、攻撃者はユーザのPCを完全に操作できるようにもなる。 マイクロソフトの評価:深刻
  • MS12-016: .NET Frameworkのコード実行欠陥(2)
. NET Frameworkは新しいウィンドウズやウェブアプリケーションの作成に開発者が使う ソフトウェア・フレームワークだが、 .NET Framework と SilverLight は2つのコード実行脆弱性の影響を受けている。2つの欠陥の技術面は異なるが、その作用範囲と影響力は同じだ。.NET Frameworkをインストールした細工済みのウェブサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用して ユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた 場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は .NET FrameworkやSilverlightエレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NETベースプログラムにも影響している。つまり、 サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。 マイクロソフトの評価:深刻
  • MS12-009: Ancillary Function ドライバのEoP 脆弱性(2)
マイクロソフトによると、Ancillary Functionドライバ (AFD)はウィンドウズのコンポーネントで、Winsock TCP/IP コミュニケーションを管理するために役立つという。しかし、それは2つのローカル 特権昇格 (EoP)の問題の影響を受けており、特別に細工したアプリケーションを実行することで、 攻撃者は実際の自分のユーザ特権にかかわらず、欠陥を利用して完全なシステム特権でコードを実行することができる。 しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルでユーザのウィンドウズへのローカル アクセス権を必要とするため、このリスクは大幅に低下する。 マイクロソフトの評価:重要
  • MS12-012: カラーコントロールパネルの動作が不安定なライブラリローディングの脆弱性 
Windows 7 には カラーコントロールパネルなど、様々な「デスクトップ・エクスペリエンス」機能が搭載されている。Windows Server 2008やServer 2008 R2は、こうしたデスクトップ・エクスペリエンス機能を既定的にインストールしていないが、オプションと しては提供している。しかし残念ながら、Server 2008 バージョンのカラーコントロールパネルは、過去のマイクロソフト アラートで何度も説明してきたダイナミック リンク ライブラリ(DLL)のローディングクラス問題の影響を受けている。ひとことでいえば、この種類の欠陥は細工済みのDLLフ ァイルと同じ場所にある罠を仕掛けたファイルを攻撃者がユーザに開かせることに関与している。罠が仕掛けられているファイルをユ ーザが開くと、攻撃者はユーザの特権を利用して、その有害な DLL ファイルでコードを実行できるようになる。ユーザがローカル管理者の特権を持っている場合は、攻撃者がこの種の問題を悪用 してユーザのコンピュータを完全に操作できるようになる。今回の場合はカラーコントロールパネル、特に .ICM や .ICC ファイルに関連したファイルの種類により、脆弱性は誘発されるようになっている。この欠陥の影響を受けているのは、 Windows Server 2008 と Server 2008 R2 のユーザで、オプション機能のカラーコントロールパネルをインストールしている場合に限られている。 マイクロソフトの評価:重要
  • MS12-014: Windows XP のIndeo コーデックの動作が不安定なライブラリローディングの脆弱性 
Indeo コーデックはレガシー ビデオコーデックで、特に圧縮されフォーマットされたビデオをウィンドウズが再生するために使う機能だ。Windows XPに搭載されているIndeo コーデックは、先述の問題とほぼ同じである動作が不安定なライブラリローディング問題の影響を受けている。 その2つが唯一異なるところは、攻撃者は有害なDLLと同じ場所にある .AVIファイルをユーザがダウンロードするように誘導しなければならない点だ。ただし、この欠陥の影響を受けているのはWindows XP のみである。 マイクロソフトの評価:重要  

解決方法:
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィン ドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動ア ップデート機能に任せて必要な更新プログラムをインストールする方法もある。 下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができ る。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。
解決策: ウォッチガードユーザ専用
攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用するが、適切に設定してあるファイアウォールであれば、こうした問題のいく つかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、この欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定でき るものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできないので、マイクロソフトのセキュリティ更新プログラムをインストールし、 こうした欠陥から自分のネットワークを完全に守ることをすすめる。  

ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  

参考資料:
 
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。(ツイッター:(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/02/96-2012214.html http://www.watchguard.co.jp/securityalert/2012/02/96-2012214.html セキュリティニュース Sun, 19 Feb 2012 14:47:56 +0900 ウォッチガード ドライブバイダウンロードを避けるには? IE のセキュリティ更新プログラム 2012年2月14日 ドライブバイ ダウンロードを避けるには?
IE のセキュリティ更新プログラム
2012年2月14日
コーリー・ナクライナー
危険度:高

概要:
  • 対象:
    現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン(程度に違いあり)
  • 悪用方法:
    有害なウェブページにユーザを誘導する
  • 影響:
    この問題による影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
  • 対策:
    状況に適した Internet Explorer の更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せること
詳細:
マイクロソフトは米国時間2月14日に 月例パッチを発表した。このセキュリティアドバイザリでは、現バージョンのウィンドウズで使用している Internet Explorer (IE) バージョン 9.0 とそれ以前のバージョンで発見された 4 つの新しい脆弱性について説明、その危険度を「深刻」と評価している。 欠陥の技術面はそれぞれ異なるが、そのうち2つの欠陥の作用範囲と影響力は同じである。その2つは、IE が多々ある HTML オブジェクトの取り扱いを誤る点に関係したメモリ破損欠陥の影響を受けている。有害なウェブコードを含む ウェブページにユーザを誘導することに成功すると、攻撃者は脆弱性を悪用してユーザの特権をもってそのコンピュータでコード を実行できるようになる。通常、ウィンドウズ ユーザはローカル管理者の特権を持っているが、その場合は攻撃者がユーザのコンピュータを完全に操作できるようになる。 このセキュリティ更新プログラムは他にも二つの情報開示問題も修正している(先述の脆弱性に比べれば深刻性は低い)。 詳細についてはマイクロソフトのセキュリティアドバイザリを参照することをすすめる。 最近の攻撃者達は、正当なウェブページをハイジャックして有害なコードで罠を仕掛ける手口を使うため、 その点においても注意が必要だ。見覚えのあるウェブサイトや正当なウェブサイトでさえも、その方法でハイジ ャックされドライブバイ・ダウンロード攻撃に利用されているケースがよく見られる。こうした攻撃を避けるには、 マイクロソフトが提供している IE のセキュリティ更新プログラムをできる限り早急にインストールすることをすすめる。

解決方法:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。 マイクロソフトが提供しているIE アドバイザリの「影響を受けているソフトウェアと受けていないソフトウェア」の欄には、 下記にまとめた リンクから直接いくことができる。また、IE の各種セキュリティ更新プログラムのダウンロード先も、ここで確認することができる。

解決策: ウォッチガードユーザ専用
通常、このタイプの攻撃はごく普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがインターネ ットにアクセスできるようにするには HTTPトラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。 大方の場合、ウォッチガードの IPS / AV / RED (Reputation Enabled Defense) サービスを使ってこの種の攻撃からネットワークを守ることができる。

ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧)


この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
(ツイッター:(@SecAdept)

]]> http://www.watchguard.co.jp/securityalert/2012/02/-ie-2012214.html http://www.watchguard.co.jp/securityalert/2012/02/-ie-2012214.html セキュリティニュース Sun, 19 Feb 2012 14:11:29 +0900 ウォッチガード 52のセキュリティ脆弱性を修正、2012年初のOSX アップデート 2012年2月1日 52のセキュリティ脆弱性を修正、2012年初のOS X アップデート
2012年2月1日  
コーリー・ナクライナー

概要:
  • 対象: 
    現バージョンの OS X 10.6.x (Snow Leopard) と OS X 10.7.x (Lion) 
  • 悪用方法: 
    有害なウェブサイトにユーザを誘導したり、ユーザがドキュメントやメディアファイルを開くように仕向けるなど、様々な攻撃方法がある 
  • 影響: 
    結果は様々だが最悪の場合は攻撃者がユーザのコンピュータでコードを実行できるようになる 
  • 対策:  
    OS Xの管理者は、できる限り早急にOS X 10.7.3 またはセキュリティアップデート2012-001をダウンロードしテストしてからインストールするか、アップルのソフトウェアアップデートに任せ、必要な更新プログラムを取り入れることをすすめる 
詳細:
アップルは米国時間の2月1日にセキュリティアップデートをリリースし、OS Xの現バージョンで発見された脆弱性をすべて修正した。このアップデートは27のコンポーネント内で発見されたセキュリティ問題(52件)を修正することができる(数字はCVE-IDより)。こうしたコンポーネントにはApacheやQuicktime、Time Machine などがあり、OS X やOSX Serverの一部として搭載されている。 
 
今回修正された脆弱性のいくつかを次に説明する:
  • ImageIOバッファ・オーバーフローの脆弱性(複数) 
    ImageIO は、様々な種類のイメージファイルをOS Xが処理できるようにするコンポーネントだが、残念なことにバッファ・オーバーフローなど様々なセキュリティ脆弱性の影響を受けている。この脆弱性は特定の種類のイメージファイルを処理する方法に関与しており、技術面は異なるものの、その作用範囲と影響力はどれもほぼ同じである。細工された悪質なイメージファイルをユーザが閲覧すると、その罠を仕掛けた攻撃者はいずれかの欠陥を悪用してアプリケーションをクラッシュさせたり、被害者のコンピュータでコードを実行することが可能になる。また、デフォルトにより攻撃者はユーザの特権でのみコードを実行することができる。 
     
    問題の影響を受けているイメージタイプ:TIFFPNGなど。 
  • CoreAudioバッファ・オーバーフローの脆弱性 
    CoreAudioは オーディオコンテンツをOS Xが再生できるようにするコンポーネントだが、バッファ・オーバーフローの影響を受けている。細工済みの悪質なオーディオファイルをユーザに再生させると、攻撃者はこの欠陥を悪用してユーザのシステムをクラッシュさせたり、ユーザの特権を使ってコードを実行できるようになる。
  • Quicktimeの脆弱性(複数) 
    QuicktimeはOS X(およびiTunes)に搭載されており、ビデオやメディアの再生を可能にするものだが、6つのセキュリティ問題の影響を受けていることが分った(数字はCVE-IDによる)。こうした脆弱性は、特定のイメージやビデオファイルを処理する方法に関与しており、それぞれの技術面は異なるが作用範囲と影響力は同じだ。攻撃者は、悪質に細工されたイメージやビデオをユーザがQuickTimeで閲覧するように仕向け、それに成功するといずれかの欠陥を悪用し、ユーザの特権でそのユーザのコンピュータでコードを実行できるようになる。 
     
アップルのアラートは、サービス拒否(DoS)欠陥や特権昇格の脆弱性そして情報開示の欠陥など、その他にも様々なコード実行の脆弱性について説明している。 
 
今回のセキュリティ更新プログラムで修正された主なコンポーネント:
Apache ATS
CFNetwork ColorSync
CoreAudio CoreMedia
CoreText CoreUI
curl Data Security
dovecot filecmds
ImageIO Internet Sharing
Libinfo libresolv
libsecurity OpenGL
PHP QuickTime
SquirrelMail Subversion
Time Machine Tomcat
WebDAV Sharing Webmail
X11  
 
詳細に関してはアップルの OS X 10.5.x と10.6.x のアラートを参照することをすすめる。  

解決方法:
アップルはOS X Security Update 2012-001 と OS X 10.7.3をリリースし、こうしたセキュリティ問題を修正しているので、OS Xの管理者はできる限り早急に更新プログラムをダウンロードしテストしてから取り入れるか、アップルの自動ソフトウェアアップデート機能に任せて必要な更新プログラムをインストールすること。  
注意:
セキュリティ更新プログラムの中にはサイズが大きなものもあるので(700MBまたはそれ以上)、再起動の必要がある。  
全ユーザ対象:
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用するが、中にはユーザのぺリメター・ファイアウォールに気付かれずに攻撃が行われるローカルの悪用方法もある(社内の部署間でファイアウォールを設置している場合は別)。このためセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。 
ステータス:
アップルは欠陥を修正できる更新プログラムをリリースしている。  
参考資料:
この記事はコーリー・ナクライナー CISSP が調査し書いたものです。 
ツイッター:@SecAdept 
]]> http://www.watchguard.co.jp/securityalert/2012/02/522012osx-201221.html http://www.watchguard.co.jp/securityalert/2012/02/522012osx-201221.html セキュリティニュース Wed, 08 Feb 2012 14:12:58 +0900 ウォッチガード ウィンドウズのセキュリティ更新プログラム(6件) 2012年1月11日 ウィンドウズのセキュリティ更新プログラム(6件) 
深刻なケース(1件)
ウィンドウズ / メディアコンポーネント / CSRSS/SSL / TLS、他 
  2012年1月11日  
コーリー・ナクライナー  
危険度:高  

概要:
  • 対象: 
    現バージョンのウィンドウズと搭載されているコンポーネント  
  • 悪用方法: 
    罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、 様々な攻撃方法がある 
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
  • 対策:  
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
詳細:
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する 7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと 各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールすることができる。 
 
危険性の高い問題から順番にまとめた概要は以下の通り:
  • MS12-004
    ウィンドウズのメディアコード実行の欠陥(2)
ウィンドウズにはWindows Media PlayerやDirectShowなど、メディア レンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズ メディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。 マイクロソフトの評価:深刻 
  • MS12-001
    ウィンドウズカーネルのSafeSEHバイパスの脆弱性
ここ何年もの間、マイクロソフトは攻撃者がバッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々なデータ実行防止(DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者がシェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズのStructured Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。 マイクロソフトの評価:重要 
  • MS12-002
    ウィンドウズのオブジェクト パッケージャーにあるコード実行の脆弱性
マイクロソフトによると、ウィンドウズのオブジェクト パッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC Magazineの用語集によると、それはオブジェクト パッケージャーをObject Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクト パッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクト パッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer 2003 のみである。 マイクロソフトの評価:重要 
  • MS12-003
    CSRSS 特権昇格の脆弱性
クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズやスレッドの作成・削除の役割を担っているが、CSRSSはローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。 マイクロソフトの評価:重要 
  • MS12-005
    マイクロソフトのClickOnceコード実行の欠陥
マイクロソフトのClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。 マイクロソフトの評価:重要 
  • MS12-006
    SSL/TLSプロトコルの脆弱性(BEAST攻撃)
去年9月、Ekoparty セキュリティ コンフィレンスにて、研究家達がBEAST SSL/TLS攻撃のデモを行った。BEASTは[Browser Exploit Against SSL/TLS]の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006 アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。 マイクロソフトの評価:重要  
解決方法: マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで[影響を受けている(または受けていない)ソフトウェア]の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。 
 
次のリンクは、各セキュリティアドバイザリの[影響を受けているソフトウェアと受けていないソフトウェア]の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。
解決策: 
ウォッチガードユーザ専用 攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。  
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  

参考資料:  
日本語版セキュリティアドバイザリ一覧 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2012/01/6-2012111.html http://www.watchguard.co.jp/securityalert/2012/01/6-2012111.html セキュリティニュース Mon, 16 Jan 2012 15:27:38 +0900 ウォッチガード