次世代型UTM&ファイアウォール:ウォッチガード・テクノロジー・ジャパン http://www.watchguard.co.jp/ 次世代型UTM&ファイアウォール ウォッチガード・テクノロジー・ジャパン ja Copyright WatchGuard Technology Japan 2012 http://www.rssboard.org/rss-specification ウィンドウズのセキュリティ更新プログラム(6件) 2012年1月11日 ウィンドウズのセキュリティ更新プログラム(6件) 
深刻なケース(1件)
ウィンドウズ / メディアコンポーネント / CSRSS/SSL / TLS、他 
  2012年1月11日  
コーリー・ナクライナー  
危険度:高  

概要:
  • 対象: 
    現バージョンのウィンドウズと搭載されているコンポーネント  
  • 悪用方法: 
    罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、 様々な攻撃方法がある 
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
  • 対策:  
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
詳細:
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する 7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと 各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールすることができる。 
 
危険性の高い問題から順番にまとめた概要は以下の通り:
  • MS12-004
    ウィンドウズのメディアコード実行の欠陥(2)
ウィンドウズにはWindows Media PlayerやDirectShowなど、メディア レンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズ メディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。 マイクロソフトの評価:深刻 
  • MS12-001
    ウィンドウズカーネルのSafeSEHバイパスの脆弱性
ここ何年もの間、マイクロソフトは攻撃者がバッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々なデータ実行防止(DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者がシェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズのStructured Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。 マイクロソフトの評価:重要 
  • MS12-002
    ウィンドウズのオブジェクト パッケージャーにあるコード実行の脆弱性
マイクロソフトによると、ウィンドウズのオブジェクト パッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC Magazineの用語集によると、それはオブジェクト パッケージャーをObject Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクト パッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクト パッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer 2003 のみである。 マイクロソフトの評価:重要 
  • MS12-003
    CSRSS 特権昇格の脆弱性
クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズやスレッドの作成・削除の役割を担っているが、CSRSSはローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。 マイクロソフトの評価:重要 
  • MS12-005
    マイクロソフトのClickOnceコード実行の欠陥
マイクロソフトのClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。 マイクロソフトの評価:重要 
  • MS12-006
    SSL/TLSプロトコルの脆弱性(BEAST攻撃)
去年9月、Ekoparty セキュリティ コンフィレンスにて、研究家達がBEAST SSL/TLS攻撃のデモを行った。BEASTは[Browser Exploit Against SSL/TLS]の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006 アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。 マイクロソフトの評価:重要  
解決方法: マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで[影響を受けている(または受けていない)ソフトウェア]の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。 
 
次のリンクは、各セキュリティアドバイザリの[影響を受けているソフトウェアと受けていないソフトウェア]の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。
解決策: 
ウォッチガードユーザ専用 攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。  
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  

参考資料:  
日本語版セキュリティアドバイザリ一覧 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2012/01/6-2012111.html http://www.watchguard.co.jp/securityalert/2012/01/6-2012111.html セキュリティニュース Mon, 16 Jan 2012 15:27:38 +0900 ウォッチガード アドビ、Reader と Acrobat の更新プログラムをリリース 2012年1月11日 アドビ、Reader と Acrobat の更新プログラムをリリース
2012年1月11日

コーリー・ナクライナー
概要:
  • 対象: 
    ウィンドウズ、Mac、UNIXで使用している Adobe Reader、Acrobat X 10.1.1、それ以前のバージョン 
  • 悪用方法: 
    故意に作成した PDF ドキュメントをユーザに閲覧させる 
  • 影響: 
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある 
  • 対策:  
    ウィンドウズユーザは、アドビの Reader や Acrobat X 10.1.2 または 9.5 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラム をインストールすることをすすめる
 
詳細:
今月のパッチデーで、アドビはAdobe ReaderとAcrobat X 10.1.1(それ以前のバージョンも対象)で発見された6つのセキュリティ脆弱性について説明した セキュリティアドバイザリ をリリースした。アドビはそうした欠陥の技術詳細を説明していないが、ReaderやAcrobatコンポーネント内に見られる問題はメモリ 破損関連が大方だ。故意に作成された PDF ファイルをユーザが開くように攻撃者が誘導した場合、攻撃者はこうしたタイプの問題を悪用し、ユーザの特権を使い、 そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権があれば、攻 撃者はユーザのコンピュータを完全に操作できるようにもなる。 過去に掲載した 記事でも説明したが、定例外にリリースされたアドビの更新プログラムはReaderとAcrobat 9.4.6 およびそれ以前のバージョンにあった2つのゼロデイ脆弱性を修正している。こうしたゼロデイ欠陥は Reader とAcrobat X にも影響を与えているが、アドビは 実社会での悪用においては、Xに搭載している保護機能でこの欠陥の悪用を防げると見ていたため、その時点でX対象の更新 プログラムをリリースしなかった。しかし、今回リリースされたReaderの更新プログラムは ReaderとAcrobat Xで見られる2つの未解決問題を修正している。 【アップデート】アドビが公式にセキュリティアドバイザリを公開してから、無所属の研究家達や組織ら が欠陥詳細に関する情報をシェアしている。技術面に精通しているセキュリティプロで、問題の詳細を知りたいならば次の セキュリティメーリングリストに登録するといいだろう:FullDisclosure / Security Focus  
解決方法:
アドビはReaderやAcrobat X 10.1.2(レガシーユーザ対象の9.5も含む)を対象とした更新プログラムをリリースしており、こうした問題を修正できるようにしている。状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア・アップデート機能に任せることをすすめる。  
解決策:ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは、PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。大抵、ただ GAV サービスを有効にしておくだけで、このように有名で一般的に見られるセキュリティ脅威からネットワークを守ることができる。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ・ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することができる。  
ステータス:
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  
参考資料:
アドビ(日本版)のセキュリティ・アップデート(抄訳) 
 
 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2012/01/6.html http://www.watchguard.co.jp/securityalert/2012/01/6.html セキュリティニュース Mon, 16 Jan 2012 15:14:23 +0900 ウォッチガード ゼロデイ脆弱性を修正するReaderと Acrobat のセキュリティ更新プログラム 2011年12月16日 ゼロデイ脆弱性を修正するReader と Acrobat のセキュリティ更新プログラム
2011年12月16日
 
コーリー・ナクライナー 

概要:
  • 対象: 
    ウィンドウズ / Mac / UNIX で使用している Adobe Reader、Acrobat 9.x、それ以前のバージョン(厳密にいえば Readerへの影響もあるが、悪用しにくい) 
  • 悪用方法: 
    故意に作成した PDF ドキュメントをユーザに閲覧させようとする 
  • 影響: 
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある 
  • 対策:  
    ウィンドウズ・ユーザは、アドビの Reader や Acrobat X9.4.6 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細:
過去に掲載した記事でアドビの Reader にあるゼロデイ脆弱性を利用して攻撃者達が特定の業界に攻撃を仕掛けていると警告した。攻撃者達は故意に細工した PDF ファイルをメールに添付し、対象を絞り込んだフィッシングメールで攻撃は仕掛けているのだが、ユーザがその PDF ファイルを開いてしまうと、これまで知られていなかった脆弱性を攻撃者が利用してユーザの特権を使い、ユーザのコンピュータでコードを実行することが可能になってしまう。 アドビは、今週内にそのゼロデイ問題に対応する更新プログラムをリリースすると約束しており、今日、そのプログラムが公開された。このセキュリティアドバイザリによると、定例外にリリースされたこの更新プログラムは一般環境下で攻撃者達が悪用したことがある2つのセキュリティ脆弱性を修正しているという。アドビはこれまでと同様に欠陥の詳細については説明していないが、Reader や Acrobat のコンポーネントであるU3DPRC コンポーネントとのメモリ破損に関係しているとは述べている。先にも説明したが、故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこの問題を悪用してユーザの特権でコードを実行できるようになる。また、ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようになる。 解決方法: アドビは、ウィンドウズ・システムに見られるこうした脆弱性を修正するウィンドウズ用の Reader や Acrobat 9.4.6 をリリースしている。Mac や Unix など別のプラットフォームで使用している Reader のバージョンも、こうした問題の影響を受けやすいのだが、アドビはそれらを対象とする更新プログラムは 2012年1月10日に予定されている次回の更新プログラム・リリース日まで用意する予定はないという。 また、最近の Reader や Acrobat X (10.1.1) バージョンも、これに対して脆弱なので注意が必要だ。とはいっても、アドビは保護機能が搭載されているXバージョンでこうした欠陥を攻撃者が悪用することはないだろうと見ている。それでもアドビは 1 月に Reader X のセキュリティ更新プログラムをリリースする予定だという。 ウィンドウズ版の Reader や Acrobat 9.x のユーザは、次のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる。  
解決策: ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上、この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックとして PDF ファイルをスキャンできる点を覚えておこう。多くの場合、ただ GAV サービスを有効にしておくだけで、有名で一般的なセキュリティ脅威からネットワークを守ることができるのだ。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ・ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することが可能だ。  
ステータス:
アドビは特定のウィンドウズ・システムで見られる脆弱性を修正するセキュリティ更新プログラムをリリースしている。 また、アドビはこの他のセキュリティ更新プログラムを 1 月にリリースする予定だ。  
参考資料:   
 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/12/reader-acrobat-20111216.html http://www.watchguard.co.jp/securityalert/2011/12/reader-acrobat-20111216.html セキュリティニュース Wed, 21 Dec 2011 14:11:45 +0900 ウォッチガード WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正 2011年12月15日 WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正
2011年12月15日
コーリー・ナクライナー
危険度:高
2011年12月15日

概要:
  • 対象: 
    WatchGuard System Manager (WSM) v11.5.1 
  • 悪用方法: 
    故意に作成したリンクをユーザがクリックするように誘導したり、細工した悪質なネットワーク・トラフィックをXTMアプライアンスを介して送信し、ウォッチガードのウェブUIにあるログ結果を見せるなど、攻撃方法は複数ある 
  • 影響: 
    最悪の場合は、攻撃者がユーザのブラウザで特権を昇格させた状態でコードを実行、場合によっては、ユーザのウェブ・ブラウザをハイジャックする可能性もある 
  • 対策:  
    都合がつき次第、[WSM 11.5.1 Update 1] をインストールすることをすすめる
詳細:
数週間前、ウォッチガードは [Fireware XTM OS] と [WatchGuard System Manager (WSM) v11.5.1] をリリースした。それには、新たにデザインした [Log and Report Manager Web UI] もあり、ロギングやレポートのインターフェイスを大きく改善、これまでに比べ、そのスピードと使い勝手が大幅に向上した。 しかしWSM v11.5.1をリリースしてすぐに、 [Log and Report Manager Web UI] に影響を与えるセキュリティ問題が発見された。そのうち非公開に報告されたものは2件、社内で発見したものは2件あった。[WSM v11.5.1 Update 1] は、それら4件すべてのセキュリティ問題を修正している。 
  • BUG 64549: 
    ログ・メッセージの頑固なXSS 脆弱性(CVE-2011-4774)
    [Log and Report Manager Web UI] が、ログ・データベースから取り出すログ・データをウェブUIで表示する前に適切にサニタイジングしていないことが分った。攻撃者は細工した悪質なトラフィック(故意に作成したメールやFTP接続など)をユーザのXTM アプライアンス経由で送信し、悪質なウェブスクリプトを含むメッセージでユーザのログをいっぱいにすることができる。そして、ユーザがそうしたログを [Log and Report Manager Web UI] で閲覧した場合、クロスサイト・スクリプティング(XSS)脆弱性を誘発することになり、ウォッチガードのウェブUI環境下で攻撃者はユーザのウェブ・ブラウザでスクリプトを実行できるようになる。悪質なログは、ユーザが削除するまでユーザのログ・データベースに残るため、この欠陥は頑固なXSS脆弱性の欠陥となる。
    概して攻撃者達は、XSS攻撃を利用してユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトへの誘導、また脆弱なサイトでユーザとして動くことができる。場合によってはXSS攻撃を利用してユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることも可能だ。とはいっても、この問題の危険性を緩和させる要因がいくつかあり、まず欠陥を悪用するにあたって攻撃者は、ユーザがWSM server でv11.5.1を管理しているという情報を掴んでいなければならない。また、細工した悪質なトラフィックをユーザのXTMアプライアンス経由で送信しなければならないほか、トラフィックを許可するポリシーも必要となる。この攻撃により、ユーザのウェブ・ブラウザで攻撃者が特権を昇格させることも可能な場合はあるが、攻撃者はXTMアプライアンスへのアクセス権を得ることも、ファイアウォールのルールを変更することもできない。それでもウォッチガードとしては、これをかなり深刻な問題として見ており、できる限り早急にアップデートすることをすすめている。 
     
    この場をお借りし、この欠陥について我々に連絡して下さったSec-1ウェイン・マーフィー氏に御礼申し上げます。
    危険度:高 
  • BUG 64551: 
    URL パラメータの    反射型XSS脆弱性(CVE-2011-4774)
    [Log and Report Manager Web UI] は、特定のURLパラメータに入力された情報も、適切にサニタイジングしていない。細工した悪質なリンクをユーザがクリックするように誘導したり、URLパラメータを傍受したり変更したりすることで、攻撃者は欠陥を悪用して別のXSS脆弱性を誘発させることができる。この欠陥による影響力は、先に説明したものと同じだ。攻撃者は、これを利用してウェブ・クッキーを盗んだり、ユーザのウェブ・セッションをハイジャックしたり、[Log and Report Web UI] でユーザのように動きが取れるようになる。この攻撃は、ユーザが有害なリンクをクリックした時に限り一度だけ起きるので反射型XSS欠陥であるといえる。
    先に説明した欠陥と似たように、この欠陥を悪用するにあたり攻撃者は、まずユーザがXTMアプライアンスでv11.5.1を管理しているという情報を掴んでいなければならない。また、攻撃者は有害なリンクをユーザがクリックするように誘導しなければならないため、上記の問題に比べると危険性は低いといえる。 
     
    この場をお借りし、この欠陥について我々に連絡して下さったSec-1ウェイン・マーフィー氏に再度、御礼申し上げます。
    危険度:中 
  • Nessus報告による危険性の低い2つの脆弱性
    社内テストで Nessus スキャンをかけた結果、マイナーなセキュリティ問題2件を [Log and Report Web UI] で発見した。この問題の詳細については、次のリンクを参照:
    どちらのケースにおいても、ユーザのWSMサーバは XTM アプライアンスで保護しているため、外部の攻撃者が、このようなマイナーな欠陥を悪用する可能性は低い。これによるリスクは実に低いものと我々は見ているが、それでもできる限り早急に Update 1を取り入れることをすすめる。
    危険度:
 
解決方法:
[WSM v11.5.1 Update 1] は、4件すべてのセキュリティ問題を修正している。XTMアプライアンスでWSM v11.5.1をインストールした管理者は、都合がつき次第 Update 1をダウンロードし、インストールしておくことをすすめる。  
FAQ: 他のウォッチガード製品への影響は?
ありません。我々が知る限り、この脆弱性が影響しているのは新しい [WSM v11.5.1 Log and Report Manager Web UI] のみです。  
脆弱性は?
こうした4つの脆弱性の中で、もっとも悪質なのはクロスサイト・スクリプティング(XSS)脆弱性で、ウォッチガードのウェブ UI 環境下で攻撃者がユーザのウェブ・ブラウザでスクリプトを実行できるようにするものです。概して攻撃者達はXSS攻撃を利用して、ユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトにユーザを誘導したり、脆弱なウェブサイトでユーザとして動きを取れるようになります。場合によっては、攻撃者が XSS 攻撃を利用して、ユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることもできます。とはいっても、攻撃者達がこれを利用し、ユーザのXTMアプライアンスへのアクセス権を獲得したり、ファイアウォールのルールを変更したりすることはできません。  
この脆弱性はかなり深刻ですか?
XSS脆弱性2件はかなり深刻であると我々は捉えています。けれど、攻撃者が実社会において欠陥を悪用することを限定する要因もいくつかあります。概してXSS欠陥は非常に危険なものです。[Browser Exploitation Framework (BeEF)] のようなツールは、攻撃者が簡単なXSS欠陥を利用して、ユーザのブラウザを大きくコントロールし、ユーザのコンピュータにおいても、その力が及ぶ可能性があることを例証しています。とは言うものの、XSS 脆弱性を悪用するには攻撃者達がユーザそしてその組織について十分な情報を把握していなければなりません。特に、ユーザがWSM v11.5.1サーバを管理しているということを知っておく必要があるほか、ユーザにリンクをクリックさせるように誘導したり、ウェブUIにある特定のログ・メッセージをユーザが閲覧するようにしなければならないため、これは対象を絞り込んだ攻撃であるといえるでしょう。ちなみに、こうした欠陥は攻撃者にユーザのXTMアプライアンスへのアクセス権を与えることはしません。とはいっても、セキュリティ会社のウォッチガードとしては、弊社製品におけるあらゆる種類の脆弱性を非常に深刻に捉えていますので、ユーザの皆様には [WSM v11.5.1 Update 1] をできる限り早急にインストールいただくよう、おすすめしています。  
Update 1をインストールする他に、回避策はありますか?
とくにありません。悪質なフィッシング・リンクをクリックしなければ、攻撃者がこの反射型XSS攻撃を悪用することはできません。とはいっても、実に腕の立つセキュリティのプロでさえ、時々間違ったリンクをクリックしてしまうことはあります。XTMアプライアンスで、受信用トラフィックを一切許可していなければ、攻撃者は細工した悪質なメッセージでユーザのログファイルに罠を仕掛けることはできないかもしれません。ただ、大方の組織では少なくともメール・トラフィックを許可するポリシーがあるので、それだけでも外部攻撃者がユーザのログを破損させる可能性につながります。このため、ウォッチガードでは [WSM v11.5.1 Update 1] をインストールし、問題を修正することをおすすめしています。  
ホットフィックスを入手するには?
現在、ウォッチガードのサポートセンターにある [Articles & Software] で [WSM 11.5.1 Update 1] を入手することができます。XTMアプライアンスは [Management Software] にあります。  
どうやって問題を発見したか?
脆弱性4件中2件は、Sec-1 (@Sec1Ltd) のウェイン・マーフィー氏が発見し、未公開の状態でウォッチガードがその報告を受けました。この場をお借りして、弊社お客様の安全維持にご協力頂いたマーフィー氏に感謝申し上げます。また、他2件は社内で発見しました。  
この脆弱性が一般環境下で悪用されている兆しはありますか?
ありません。現時点において、この脆弱性が一般の環境下で悪用されているという兆しはありません。また、今後その可能性は大きくないと我々は見ています。  
他にも質問がある場合は、ウォッチガードの誰に連絡をすればいいですか?
この問題に関して他に質問がある場合、またはウォッチガード製品関連その他セキュリティについて懸念があれば、次の連絡先までお問い合わせください。  
コーリー・ナクライナーCISSP 
 
シニア・ネットワーク・セキュリティ・ストラテジスト 
WatchGuard Technologies, Inc. 
 
http://www.watchguard.com(本社) 
http://www.watchguard.co.jp(日本) 
 
corey.nachreiner@watchguard.com 
]]> http://www.watchguard.co.jp/securityalert/2011/12/watchguard-wsm-v1151-update-1---xss-20111215.html http://www.watchguard.co.jp/securityalert/2011/12/watchguard-wsm-v1151-update-1---xss-20111215.html セキュリティニュース Wed, 21 Dec 2011 14:05:51 +0900 ウォッチガード ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正 2011年12月13日 ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正
2011年12月13日

コーリー・ナクライナー
カーネルモード・ドライバ、Windows Media Player、Active Directory、その他
危険度:高

概要:
  • 対象: 
    現バージョンのウィンドウズと搭載されているコンポーネント  
  • 悪用方法: 
    有害なウェブサイトにユーザを誘導したり、罠を仕掛けたファイルを開くように仕向けるなど、様々な攻撃方法がある 
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
  • 対策:  
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
詳細:
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響を与えている 7 つの脆弱性について、セキュリティアドバイザリを7 件リリースした。各脆弱性の対象となるウィンドウズ・バージョンと影響は異なるが、 リモート攻撃者はその中でも悪質な欠陥を利用しユーザのウィンドウズ PC を完全にコントロールできるようになる。  
 
危険性の高い問題から順番にまとめた概要は以下の通り:
  • MS11-087
    カーネルモード・ドライバ TrueType フォント解析の脆弱性
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素となる部分だ。 ウィンドウズには様々なカーネルレベルのデバイスを処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。 しかし、カーネルモード・ドライバは TrueType フォントを適切に解析できないことから、入力確認における脆弱性の影響を受けている。 有害なウェブサイトにユーザを誘導したり、特別に細工したドキュメントを開かせたり、 悪質なプログラムを実行させるように導くなどして攻撃者は欠陥を悪用し、 ユーザのウィンドウズ・コンピュータを完全に操作できるようになる。 
 
今現在、攻撃者達はDuquマルウェアを使ってこの脆弱性を一般環境下で悪用している。 一般的な悪用方法として見られるのは、攻撃者が有害な Office ドキュメントをメールに添付させた [スピアフィッシングメール] を送信する方法だ。添付ファイルはTrueTypeの処理機能で見つかった欠陥を利用し、悪質な Duqu ワームをユーザのコンピュータに入れることができる。こうした理由から、 できる限り早急に更新プログラムを取り入れることをすすめる。 マイクロソフトの評価:深刻 
  • MS11-090
    タイムリモートのコード実行問題(+ActiveX kill bits)
このセキュリティアドバイザリは、ウィンドウズのマイクロソフト・タイムコンポーネントで実行されるリモートコードを修正している。 マイクロソフトは、このタイムコンポーネント問題について詳細を説明していないのだが、タイムコンポーネントの [バイナリ ビヘイビア] を不適切に使用してしまうとシステム状態の破損につながる可能性があり、その場合は攻撃者がコードを実行し ユーザのコンピュータを完全に操作できるようになる可能性があるという点については説明がされている。 もちろん、攻撃者がこの欠陥を悪用するには、まず細工したサイトにユーザを誘導しなければならない (もしくは攻撃者の有害なサイトにリンクしている正当なサイトへの誘導が必要)。 この欠陥はウィンドウズのコンポーネントに影響を与えているが、 Internet Explorer (IE) がコンポーネントとの相互作用をする点にも関与している。幸い、この欠陥の影響を受けやすいのは IE 6 とそれ以前のバージョンに限り、最近のバージョンを使用している場合においては問題ないだろう。 とはいっても、ウィンドウズのタイムコンポーネントに欠陥があるため、そのアップデートをしておくことをすすめる。 マイクロソフトの評価:深刻 
  • MS11-092
    Windows Media Player DVR-MS メモリ破損の脆弱性
ウィンドウズ・バージョンには(XP / Vista / 7)、Media Player やメディアセンターを搭載しているものもある。それは便利なインターフェースを通じてユーザのメディアを整理したり 閲覧したり聴けるようにするものなのだが、Media Player は特別に細工されたマイクロソフトのデジタルビデオ録画 (.dvr-ms) のメディア・ファイルを適切に処理できず、メモリ破損の脆弱性の影響を受けている。細工した.dvr-ms ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用し、 そのユーザの特権で悪質なコードを実行できるようになる。ユーザがローカル管理者の特権を持っていた場合、 攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 マイクロソフトの評価:深刻 
  • MS11-093
    OLE リモートのコード実行問題
オブジェクトのリンクと埋め込み (OLE)は、ウィンドウズが特別な複合文書を処理できるようにするプロトコルだ。そうした文書には、 別のフォーマットと種類のドキュメントにつながる埋め込みリンクが含まれている。 
 
しかし、OLE は文書内にある細工済み OLE オブジェクトを適切に処理できない点に関与する、 未特定のオブジェクト処理欠陥の影響を受けている。攻撃者が細工したドキュメントをユーザが開くと、 攻撃者は欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。 また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 マイクロソフトのOfficeドキュメントや第三者による様々なファイルには、この欠陥を悪用するために使われる OLE オブジェクトを入れることが可能だ。 マイクロソフトの評価:重要 
  • MS11-095
    Active Directory バッファオーバーフローの脆弱性
ウィンドウズ用の集中認証や認証サービスである Active Directory (AD) は、ウィンドウズ・サーバ版に搭載されているのだが、AD は特別に細工されたクエリを処理できない点に関与するバッファオーバーフロー問題の影響を受けている。細工したプログラムを実行すると、 ローカル攻撃者は欠陥を悪用してユーザの AD サーバでコードを実行し、そのコンピュータを完全に操作できるようになる。しかし、 攻撃者がこの欠陥を利用するには有効なドメインユーザのクレデンシャルが必要となるため、 その危険性は大幅に低下するので、この脆弱性は主に内部脅威であるといえるだろう。 マイクロソフトの評価:重要 
  • MS11-097
    CSRSS 特権昇格の脆弱性
クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに不可欠なコンポーネントであり、 コンソールウィンドウズ、 スレッドの作成・削除の役割を担っている。攻撃者が特別に細工したアプリケーションを実行すると、 攻撃者は欠陥を利用して特権昇格 (EoP) を行ったり、ユーザのウィンドウズ・マシンで SYSTEM レベルのコントロール権を自分のものにすることができる。 しかし攻撃者がそのプログラムを実行できるようにするには、まずユーザのウィンドウズへ有効なクレデンシャルを使った ローカルアクセス権が必要となるため、この脆弱性によるリスクは大幅に低下する。 マイクロソフトの評価:重要 
  • MS11-098
    カーネル特権昇格の脆弱性
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素な部分だが、 ウィンドウズ・カーネルは特権昇格(EoP)問題の影響を受けている。先の CSRSS と似たように、細工したプログラムを実行すると認証済みの攻撃者は欠陥を悪用してユーザのウィンドウズ・ コンピュータを完全に操作できるようになる。しかし、この問題においても攻撃者は有効なクレデンシャルを使ったユーザの ウィンドウズへのローカルアクセス権が必要となる。ちなみに、この欠陥においてウィンドウズの 64-bit や Itanium 版への影響はない。 マイクロソフトの評価:重要  
解決方法: マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、 状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。 また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。  
 
注意:日本語版をダウンロードするには [Change Language:] と表記されたドロップダウンから [Japanese] を選択すること。 MS11-087: MS11-090: * Server Core インストールへの影響なし MS11-092: MS11-093: MS11-095: Active Directory 更新プログラム: MS11-097: MS11-098:  
解決策: ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくるが、適切に設定してあるファイアウォールならば、こうした問題によるいくつかのリスクを緩和させることが可能だ。また、 欠陥を悪用するために必要なコンテンツには、WatchGuard のプロキシポリシー設定でブロックできるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。  
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料:
マイクロソフトのセキュリティアドバイザリ一覧 
 
 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/12/-7---duqu-3-20111213.html http://www.watchguard.co.jp/securityalert/2011/12/-7---duqu-3-20111213.html Mon, 19 Dec 2011 14:23:19 +0900 ウォッチガード Officeのセキュリティ更新プログラム(5)主に処理関係の脆弱性を修正 2011年12月13日 Office のセキュリティ更新プログラム(5)- 主に処理関係の脆弱性を修正
2011年12月13日 
コーリー・ナクライナー

概要:
  • 対象: 
    現バージョンのマイクロソフトOfficeやPublisherなどの関連製品(Windows/Mac 版) 
  • 悪用方法: 
    悪質に細工された Office ドキュメントをユーザが開くように誘導するのが一般的 
  • 影響: 
    攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる 
  • 対策:  
    状況に適した Office セキュリティ更新プログラムを至急インストールするか、 ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細:
今日、マイクロソフトはセキュリティアドバイザリを5件公開し、ウィンドウズや Mac 版のマイクロソフトOffice で見つかった 9 つの脆弱性について説明した。マイクロソフトPublisherや、 その他のOfficeコンポーネントなどの関連製品も対象となっている。特に影響を受けているOfficeアプリケーションや コンポーネントは次の通り:
  • Word
  • Excel Viewer
  • Powerpoint
  • Publisher
  • オプション機能のOffice インプットメソッドエディター (IME) - 中国語のピンイン対象
5件中4件の Office セキュリティアドバイザリは、様々なコード実行問題について説明している。いずれも Office やその様々なアプリケーションが異なる種類のドキュメントを処理する方法に関与している。欠陥の技術面は異なるが、 その作用範囲と影響力はほぼ同じである。攻撃者は、悪質に細工された Office ドキュメントをユーザがダウンロードし開くように誘導すると、様々な脆弱性を悪用する。 大方、攻撃者はそのユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。 また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類だ。影響を受けているOfficeドキュメントの種類は Word / PowerPoint / Excel / Publisher である。 5 件目のOfficeセキュリティアドバイザリは、他に比べて危険度がいくらか低い脆弱性について説明しており、 その問題の影響を受けているOfficeユーザはごく一部だ。この問題は、オプション機能の Office インプット・メソッド・エディター (IME) - (中国語の ピンイン版)を使用しているユーザを対象としている。IME はアルファベットを表示するキーボードを使っているユーザが Office やウィンドウズでアルファベット以外の言葉を入力できるようにするオプションのコンポーネントである。 しかし残念ながら、中国語のピンイン版のOffice IMEは特権昇格(EoP)問題の影響を受けている。 有効なウィンドウズ・クレデンシャルを使って攻撃者がユーザのコンピュータへのローカルアクセス権を入手した場合、 攻撃者は特別に細工したプログラムを実行し、ユーザのコンピュータの完全SYSTEMレベルの特権を手に入れることが可能になる。 もちろん、攻撃の対象となるのは中国語のピンイン版 IME をインストールしているユーザのみであり、攻撃者がこの問題を悪用するには有効なログインが必要となる。 それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリから「脆弱性の詳細」を参考にすることをすすめる:
  • MS11-089:Office (Word) のコード実行問題: 重要
  • MS11-091:Publisherのコード実行問題(複数): 重要
  • MS11-094:PowerPoint のコード実行問題: 重要
  • MS11-096:Excelのコード実行問題: 重要
  • MS11-088:マイクロソフトOffice IME (中国語)を対象とした特権昇格の脆弱性: 重要
 
解決方法:
マイクロソフトは、こうした問題をすべて修正できる Office の更新プログラムをリリースしているので、できる限り早急に状況に適した更新プログラムをネットワーク全体にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。  
 
注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択:  MS11-089: MS11-091: MS11-094: Powerpoint: MS11-096: Excel: MS11-088:  
解決策:ウォッチガードユーザ専用
WatchGuard のアプライアンスには受信用のOffice ドキュメントがネットワークに入り込まないようにすることができるものも多々ある。しかし、大方の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしてもOfficeドキュメントが必要というのでなければ、更新プログラムをインストールするまで Firebox のプロキシを使い、Officeファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっているOfficeドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。 ステータス:
マイクロソフトは脆弱性を修正できるOffice対象の更新プログラムをリリースしている。  
参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧) 
 
 
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/12/office5-20111213.html http://www.watchguard.co.jp/securityalert/2011/12/office5-20111213.html Mon, 19 Dec 2011 14:06:21 +0900 ウォッチガード IEの累積セキュリティ更新プログラムで新たに3 つのセキュリティ欠陥を修正 2011年12月13日 IE の累積セキュリティ更新プログラムで新たに 3 つのセキュリティ欠陥を修正  
2011年12月13日 
コーリー・ナクライナー
危険度:中

概要:
  • 対象: 
    現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン 
  • 悪用方法: 
    有害なウェブページにユーザを誘導する方法が一般的  
  • 影響: 
    問題による影響は多々あるが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、 そのコンピュータを操作できるようになる  
  • 対策:  
    状況に適した Internet Explorer の更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
詳細:
マイクロソフトは、毎月恒例のパッチデーにセキュリティアドバイザリを公開し、現バージョンのウィンドウズで使用している Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで見つかった 3 つの新しい脆弱性について説明し、その危険度を「重要」と評価した。 中でも深刻なのは、動作が不安定なダイナミック リンク ライブラリ(DLL) のローディング脆弱性問題で、過去のアラートでも説明した問題と似ている。一言でいえば、 この種類の欠陥は細工済みのDLLファイルと同じ場所にある罠を仕掛けたファイルをユーザに開かせることに 関与している。罠が仕掛けられているファイルをユーザが開くと、攻撃者はそのユーザの特権を利用して有害な DLL ファイルでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、 攻撃者はこの問題を悪用してユーザのコンピュータを完全に操作できるようになる。今回の場合は HTML ファイルによって、脆弱性が誘発されるようになっている。 攻撃者が動作不安定なライブラリローディングの脆弱性をネットワークやインターネットで悪用するのは、大方困難といえる。 攻撃者達は、まずユーザが自分のデスクトップに HTML ファイルや DLL ファイルをダウンロードして保存するように誘導しなければならないほか、ユーザがその HTML ファイルを開くように仕向けなければならないため、この攻撃のリスクを大きく低下させている。理論的に言えば、 攻撃者が UNCWebDAV のロケーションをユーザが自分のウィン ドウズ PATH に追加するように仕向けるこ とができれば、ネットワーク上で攻撃を仕掛けることが可能だ。とはいっても、その可能性は低いだろう。 その他の脆弱性の危険性は比較的に見れば軽いもので、 クロスサイトやクロスドメイン・スクリプティング (XSS) 欠陥、情報開示問題などがある。 また、攻撃者が XSS 脆弱性を利用し本来ならばアクセス権を持たない他のドメインやサイトから情報を閲覧したり(クッキーなど)、 別のドメインやサイトの特権を使ってスクリプトを実行したりする可能性もある。 最近の攻撃者達は正当なウェブページをハイジャックし、有害なコードで罠を仕掛けたりする手口をよく使うため、 その点においても注意が必要だ。通常、攻撃者達はウェブ広告や SQLインジェクション、XSS 攻撃などを通じて攻撃を仕掛けている。見覚えのあるサイトや信頼できるはずの ウェブサイトでも、そのようにハイジャックされてしまえばユーザにとっては危険である。 解決方法: こうした重要な問題を修正するには、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。  
 
注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択: * Server Core インストールへの影響なし  
解決策: ウォッチガードユーザ専用
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ(www)にアクセスできるようにするには HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。  
ステータス:
マイクロソフトは脆弱性を修正できるセキュリティ更新プログラムをリリースしている。  
参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧) 
 
 
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/12/ie3-20111213.html http://www.watchguard.co.jp/securityalert/2011/12/ie3-20111213.html Mon, 19 Dec 2011 13:57:18 +0900 ウォッチガード ウィンドウズのセキュリティアドバイザリ(4) 2011年11月8日 ウィンドウズのセキュリティアドバイザリ(4): 
リモートルートを許可するTCP/IP緊急問題

2011年11月8日 
 
コーリー・ナクライナー 対象: TCP/IP、Active Directory、Windows メールなど  

危険度:高 
 
概要:
  • 対象: 
    現バージョンのウィンドウズと搭載されているコンポーネント(但し、最近のバージョンの方がより影響を受けている模様) 
  • 悪用方法: 
    特別に細工したパケットを送信したり、罠が仕掛けられたファイルを開くようにユーザを誘導したりするなど、様々な攻撃方法がある  
  • 影響: 
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる 
  • 対策: 
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動 アップデート機能に任せること
  詳細: 
今日、マイクロソフトはウィンドウズやウィンドウズに搭載されているコンポーネントに影響を与えている4つの脆弱性について それぞれ説明するため、セキュリティアドバイザリを4件リリースした。各脆弱性による影響はウィンドウズのバージョンにより異なるが、 今回影響を大きく受けているのは Windows Vista 7 と Server 2008 である。リモート攻撃者は中でも悪質な欠陥を悪用して、ユーザのウィンドウズ PC を完全に操作することができる。 
 
危険性が高い問題から順番にまとめた概要は以下の通り:
  • MS11-083:  
    TCP/IP リモートコード実行の脆弱性
想像通り、ウィンドウズのTCP/IP スタックはコンピュータがインターネットにアクセスすることを可能にするネットワーキング・プロトコルのセットだ。 しかし残念ながら、ウィンドウズのTCP/IP スタックは特別に作成されたUDPパケットの連続フローを適切に解析できない点に関与する 整数のオーバーフロー問題の影響を受けている。 攻撃者は、そうしたパケットを送信することで欠陥を利用し、ユーザのウィンドウズを完全に操作できるようになる。 この欠陥の影響を受けているウィンドウズのバージョンはWindows Vista、7、Server 2008 のみである。とはいっても、これは深刻な脆弱性であるため、 更新プログラムを至急インストールすることをすすめる。 
 
マイクロソフトの評価:緊急 
  • MS11-085:  
    Windows メールとミーティング スペースの脆弱性による、安全でないライブラリのロード脆弱性
Windows メールはウィンドウズやミーティング スペースに搭載されているメールクライアントで、ドキュメントやデスクトップ共有用のアプリケーションだ。 しかし、残念なことに、どちらのコンポーネントも安全でないダイナミックリンクライブラリ(DLL) クラス ローディングの影響を受けている。その点については過去のマイクロソフトのアラートでも説明したと思うが、 簡潔に言うと、攻撃者は特別に細工した悪質なDLLファイルの保存先と同じ場所にある罠を仕掛けたファイルをユーザが 開くように誘導し、ユーザがその罠に掛かると、そのユーザの特権を持った状態で悪質なDLLに潜むコードを実行することができる。 また、ユーザにローカル管理者の特権があった場合、攻撃者は問題を悪用してユーザのコンピュータを完全に操作できるようにもなる。 今回のこのケースでは、メールやミーティング スペースに関係する.EMLや.WCINVといった拡張子のファイルにより、脆弱性が誘発されている。 
 
マイクロソフトの評価:重要 
  • MS11-086:  
    Active Directory の特権昇格問題
Active Directory (AD) は、ウィンドウズ用の一元認証や集中管理サービスを可能にするもので、 ウィンドウズのサーバ版に搭載されている。そのオプションは様々だが、AD は証明書で認証することを可能にしている。しかしAD はSSL (LDAPS)でLDAPを 使って設定しようとする際に脆弱性を処理する証明書の影響を受けている。つまり、AD は撤回されたSSL証明書を適切に認識しないため、攻撃者はその証明書を使ってユーザのシステムにアクセスできる可能性がある。 とはいっても攻撃者がこの欠陥を利用するには、まずユーザのドメインで有効なアカウント用の撤回済み証明書にアクセスすることが 必要であるため、この危険性のレベルは大きく低下する。しかし、攻撃者が有効なアカウントの証明書にアクセスできる場合は、 それが撤回されていようがいまいが深刻な問題につながってしまう。 
 
マイクロソフトの評価:重要 
  • MS11-084:  
    カーネルモード ドライバの脆弱性によるサービス拒否問題
 
カーネルは、 あらゆるコンピュータのオペレーティングシステムにおいて中心となるコンポーネントだ。ウィンドウズは様々なカーネル レベルのデバイスを処理するカーネルモードのデバイスドライバ(win32k.sys)も搭載している。しかし、カーネルモード ドライバは細工されたTrueTypeフォントの処理法に関係するサービス拒否(DoS)問題の影響を受けている。攻撃者は細工されたフォント ファイルをユーザが開くように誘導したり、ファイルのホスト先をユーザがブラウズするように仕向けたりすることで欠陥を悪用し、 ユーザのシステムが再起動するまで応答しないようにすることができる。ちなみに、この欠陥の影響を受けているのはWindows 7とServer 2008 R2 のみである。 
 
マイクロソフトの評価:警告  
解決方法: 
  マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、 状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、 ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 
 
注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。 MS11-083: MS11-085: * Server Core インストールには影響なし: 
「Server Core」インストールオプションを選択した場合、ウィンドウズはメールやミーティングスペースなど、不必要なクライアント アプリケーションをインストールしないようになっている。 MS11-086: Active Directory のアップデート: MS11-084: * Server Core インストールへの影響はなし  
ウォッチガードユーザ専用 
 
攻撃者達は様々な悪用方法を使って、こうした欠陥を悪用することができる。適切に設定してあるファイアウォールは、こうした問題のうち、いくつかのリスクを緩和させることができる。とはいってもFireboxでローカル攻撃を阻止することはできず、また、通常のHTTPトラフィックを利用する攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。 
 
 
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。 
参考資料:
マイクロソフトのセキュリティアドバイザリ一覧 (11月)  
 
 
 
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/11/4-2011118.html http://www.watchguard.co.jp/securityalert/2011/11/4-2011118.html セキュリティニュース Wed, 16 Nov 2011 13:17:08 +0900 ウォッチガード コード実行欠陥(8)を修正するIE 更新プログラム 2011年10月11日 コード実行欠陥(8)を修正するIE 更新プログラム
コーリー・ナクライナー
危険度:高
2011年10月11日

概要:
  • 対象:
    IE9を含むInternet Explorerすべてのバージョン
  • 悪用方法:
    悪質なウェブページにユーザを誘導したり、有害なリンクをクリックするように仕向ける方法が一般的
  • 影響:
    最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細:
昨日、マイクロソフトは現バージョンのウィンドウズ(Windows 7 and Windows Server 2008も対象)で使用しているInternet Explorer(IE)バージョン9.0と、それ以前のバージョンで発見された8つの新しい脆弱性についてセキュリティアドバイザリを発表し、その危険度を深刻と評価している。 欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じであり、それらはすべてIE が様々なHTMLオブジェクトやエレメントを処理する方法に関係するリモートコード実行の欠陥である。有害なウェブコードを含んだウェブページにユーザを誘導すると、攻撃者は欠陥を悪用してユーザのコンピュータでユーザの特権でコードを実行できるようになる。通常、ウィンドウズユーザにはローカル管理者の特権があるが、その場合はリモート攻撃者が欠陥を利用し、ユーザのコンピュータを完全にコントロールできるようになる可能性がある。

欠陥の技術面における違いが気になるのであれば、マイクロソフトのアドバイザリにある「脆弱性の情報」の欄を閲覧することをすすめる。しかし、そうした技術面を別にしてもIEに見られるリモートコード実行の欠陥は深刻なリスクを掲げており、攻撃者がドライブバイ・ダウンロード攻撃を開始できるようにすることがあるため、IE の累積修正プログラムを至急ダウンロードし、インストールすることをすすめる。

解決方法:
マイクロソフトは、脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適したIEのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
*:Server Core インストールオプションを使ってインストールしたWindows Server 2008 administratorsにおいては、この欠陥の影響はない。

解決策:ウォッチガードユーザ専用
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ(www)にアクセスできるようにするにはHTTPトラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。
ステータス:
マイクロソフトはこうした脆弱性を修正できるセキュリティ更新プログラムをリリースしている。
参考資料:
マイクロソフトのセキュリティアドバイザリ(一覧)


この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/10/8ie-20111011.html http://www.watchguard.co.jp/securityalert/2011/10/8ie-20111011.html Mon, 17 Oct 2011 14:09:16 +0900 ウォッチガード ウィンドウズのセキュリティアドバイザリ(危険性の高い問題1件、他) 2011年10月11日 ウィンドウズのセキュリティアドバイザリ(危険性の高い問題1件、他)

2011年10月11日
コーリー・ナクライナー .NET Framework / メディアセンター / カーネルモード・ドライバ
危険度:高

概要:
  • 対象:
    現バージョンのウィンドウズと搭載されているコンポーネント
  • 悪用方法:
    有害なウェブサイトにユーザを誘導したり、罠を仕掛けたファイルを開くように仕向けるなど、様々な攻撃方法がある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細:
今日、マイクロソフトはウィンドウズとウィンドウズに搭載されているコンポーネントに影響を与えている8つの脆弱性について、5件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンと、その影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズPCを完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り:
  • MS11-078:
    .NET FrameworkとSilverlight のコード実行問題
.NET Frameworkは、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワークだ。.NET Framework とSilverLightはクラス内での継承を適切に制限していない。攻撃者は、その点を悪用してユーザと同じ特権で何かを実行できるウェブコードを作成することができる。攻撃者がこの欠陥を悪用するには、まず細工したサイトにユーザを誘導する必要がある(もしくは攻撃者の有害なサイトにリンクしている正当なサイトへ誘導)。また、ユーザがローカル管理者である場合、攻撃者はこの問題を悪用してユーザのコンピュータを完全に操作できるようになる。この欠陥は.NET FrameworkやSilverlightエレメントを使うウェブサイトにも影響を与えている。

マイクロソフトの評価:深刻
  • MS11-075:
    Active Accessibilityの動作が不安定なライブラリ・ローディングの脆弱性
ウィンドウズにはActive Accessibilityコンポーネントが搭載されている。それは、障害を持つユーザがコンピュータを使いやすくする方法を提供するための機能である。しかし残念ながら、Active Accessibilityのコンポーネントは動作が不安定なダイナミック リンク ライブラリのローディング・クラス問題の影響を受けている。それについては過去のアラートでも説明したことがあるが、一言でいえば、この種類の欠陥は、攻撃者が細工済みのDLLファイルと同じ場所にある罠を仕掛けたファイルをユーザに開かせることに関与している。罠が仕掛けられているファイルをユーザが開くと、悪質なDLLファイルでユーザの特権を利用した状態でコードを実行することができる。ユーザにローカル管理者の特権がある場合、攻撃者はこの種の問題を悪用してユーザのコンピュータを完全に操作できるようになる。マイクロソフトは、攻撃者がこの欠陥を悪用する場合に使うファイルの種類について、それが正当なファイルという以外には説明をしていない。こうした理由から、ウィンドウズで処理できるファイルの種類であれば、攻撃者は何でも使うことができるのであろうと我々は推測している。

マイクロソフトの評価:重要
  • MS11-076:
    メディアセンターの動作が不安定なライブラリ・ローディング問題
ウィンドウズ・バージョンの中には(Vistaや7)、メディアセンターを搭載しているものもある。メディアセンターは、便利なインターフェースを通じてユーザのメディアを整理したり閲覧したり、聴いたりすることができるようにする機能だ。しかし、メディアセンターは動作が不安定なライブラリ・ローディング問題の影響を受けており、これは先述の問題とほぼ同様である。つまり、コンポーネントは異なるものの、その作用範囲と影響力はActive Accessibilityの問題とまったく同じである。ユーザが、悪質なDLLファイルと同じ場所にある罠が仕掛けられたファイルをダウンロードし開くと、攻撃者はこの欠陥を悪用してユーザの特権でユーザのコンピュータでコードを実行することができるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

マイクロソフトの評価:重要
  • MS11-077:
    カーネルモード・ドライバのコード実行問題
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素になる機能だ。ウィンドウズには、様々なカーネル・レベルのデバイスを処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されているが、カーネルモード・ドライバは4つのセキュリティ脆弱性の影響を受けている。もっとも悪質なのは、細工したフォント・ファイル(.fon)を処理する方法に関与するコード実行問題があり、細工したフォント・ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用して、そのユーザのコンピュータを(ユーザの特権に関係なく)完全に操作できるようになる。

マイクロソフトの評価:重要
  • MS11-080:
    Ancillary Function ドライバの特権昇格問題
マイクロソフトによると、Ancillary Functionドライバ (AFD)とは、ウィンドウズのコンポーネントでWindows socketsアプリケーションをサポートするものであるという。ところが、AFDは入力に対する確認が不適切なことから、特権昇格(EoP)問題の影響を受けており、細工したプログラムを実行すると、ローカル攻撃者は欠陥を悪用して、ユーザのウィンドウズ・コンピュータを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行できるようにするには、まず有効なクレデンシャルを使ったユーザのウィンドウズのローカルアクセス権が必要となる。この点は、この欠陥によるリスクを大幅に緩和させている。ちなみに、この欠陥の影響を受けているのはXPとServer 2003 のみである。

マイクロソフトの評価:重要
解決方法: マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。
MS11-078: .NET Frameworkのアップデートは複雑でありバージョンに依存するため、マイクロソフトのセキュリティアドバイザリにあるパッチ詳細で、影響を受けているソフトウェア一覧を確認することをすすめる(もしくは、ウィンドウズの自動アップデート機能に任せること)。 MS11-075: MS11-076: MS11-077: MS11-080:

解決策:ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使って、こうした欠陥を悪用する。適切に設定してあるファイアウォールは、こうした問題のいくつかのリスクを緩和させることができる。とはいっても、Fireboxでローカル攻撃を阻止することはできず、また、通常のHTTPトラフィックを利用する攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料:
マイクロソフトのセキュリティアドバイザリ一覧



この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/10/1.html http://www.watchguard.co.jp/securityalert/2011/10/1.html セキュリティニュース Mon, 17 Oct 2011 13:58:33 +0900 ウォッチガード アドビのReaderとAcrobatの更新プログラム: 13件のセキュリティ欠陥を修正 2011年9月14日 アドビのReaderとAcrobatの更新プログラム:
13件のセキュリティ欠陥を修正

2011年9月14日

概要:
  • 対象:
    ウィンドウズ、Macで使用している ReaderとAcrobat X 10.1、UNIXのReader 9.4.2
  • 悪用方法:
    悪質に作成されたPDFドキュメントをユーザに閲覧させる方法が一般的
  • 影響:
    最悪の場合、攻撃者がユーザのコンピュータでコードを実行し、ユーザのコンピュータを完全に操作できるようになる
  • 対策:
    状況に適したアドビのReaderやAcrobat X10.1.1のセキュリティ更新プログラムを至急インストールするか、アドビのアップデート機能に任せて 必要なプログラムをインストールすること
詳細:
アドビのパッチデーは年に4回ある(マイクロソフトのパッチデーとリリース日が重なっている)。 今回の セキュリティアドバイザリでは、WindowsやMacで使用しているAdobe ReaderとAcrobat X 10.1およびそれ以前のバージョンに影響している
13件のセキュリティ脆弱性について説明している (情報源:CVE-ID)。また、UNIX対象のReader 9.4.2も、この影響を受けているという。欠陥の技術面は異なるが、主に バッファオーバーフロー メモリ破損の脆弱性から成り、その作用範囲と影響力はほぼ同じである。 最悪の場合は、細工されたPDFドキュメント(.PDF)をユーザがダウンロードして開くように攻撃者が誘導し、それに成功すると様々な脆弱性を悪用して ユーザの特権で、そのコンピュータにてコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、 攻撃者はユーザのコンピュータを完全に操作できるようにもなる。

Readerは、ブラウザでPDFドキュメントを閲覧する際に役立つ機能をインストールするので、悪質なPDFを埋め込んだウェブサイトに行くだけで、 この種の攻撃を誘発することになってしまう。 最近の攻撃者は、メールやウェブベースのマルウェアを利用した方法でReaderの脆弱性を活用しているため、 できる限り早急にReaderの更新プログラムを取り入れることを強くすすめる。

解決方法:
アドビは、こうした脆弱性を修正できるReaderとAcrobat X 10.1.1をリリースしている。状況に適した更新プログラムを至急ダウンロードしてインストールするか、アドビのソフトウェア アップデート機能に任せることをすすめる。UNIXユーザの更新プログラム、Reader 9.4.6は2011年11月7日にリリースされる予定だ。


解決策:
ウォッチガードユーザ専用 大方のウォッチガードFireboxシリーズ製品はPDFファイルを遮断することができる。しかし管理者はこの種のファイルを仕事上の目的で許可しておく傾向があるのが一般的だ。とはいえ、仕事をする上でどうしてもPDFファイルが必要でなければ、更新プログラムをインストールするまではFireboxのプロキシを使ってPDFファイルをネットワークから遮断することもできる。 プロキシ機能を使ってPDFドキュメントを阻止したい場合は、下記のビデオ手順を参考にすることをすすめる。

ステータス:
アドビは、こうした脆弱性を修正できるセキュリティ更新プログラムをリリースしている。

参考資料: ]]> http://www.watchguard.co.jp/securityalert/2011/09/readeracrobat-13-2011914.html http://www.watchguard.co.jp/securityalert/2011/09/readeracrobat-13-2011914.html セキュリティニュース Wed, 21 Sep 2011 13:23:55 +0900 ウォッチガード Windows更新プログラム:WINS で発見された問題と動作が不安定なDLLローディングの脆弱性を修正 2011年9月13日 Windows更新プログラム:
WINS で発見された問題と動作が不安定なDLLローディングの脆弱性を修正

危険度:中
2011年9月13日

概要:
  • 対象:
    現バージョンのウィンドウズと搭載されているコンポーネント
  • 悪用方法:
    細工したWINS メッセージの送信、悪質なファイルをユーザが開くように誘導するなど、攻撃手段は多々ある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること

詳細:
米国時間の9月13日、マイクロソフトはウィンドウズとその搭載コンポーネントに影響を与えている複数の脆弱性について、2件のセキュリティアドバイザリを リリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は、その中でも悪質な欠陥を利用してユーザの ウィンドウズPCを完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り(情報源:マイクロソフト)。
ウィンドウズ・インターネット・ネームサービス(WINS) は、基本的にマイクロソフト版 NetBIOSネームサービス(NBNS) だといえる。つまり、人間が読みやすい名称をコンピュータで指定できるようにするサービスだ (ローカルネットワーク・コンピュータにおけるDNSのようなもの)。 しかし、マイクロソフトによるとWINSサービスは細工されたWINSメッセージを適切に処理できず、 ループバック・インターフェイスにて特権昇格の欠陥の影響を受けているという。 攻撃者は細工済みのWINSパケットを送信することで欠陥を利用し、ユーザのWINSサーバがSYSTEM特権で強制的にコードを実行できるため、 攻撃者がサーバを完全に操作できるようになる。

しかし、この欠陥の規模を大幅に縮小させる特定要因がある:
    1. 攻撃者がこの欠陥を悪用するには有効なウィンドウズ・クレデンシャルが必要。
    2. ループバック インターフェースに関係しているため、この攻撃はローカルでのみ実行可能(ネットワーク上では不可能)。
マイクロソフトの評価:重要
  • MS11-071:
    (再度)動作が不安定なDLLローディングの脆弱性
去年、マイクロソフトは多々ある自社製品に影響を及ぼしていた複数の 「動作が不安定なダイナミック リンク ライブラリ(DLL) ローディング」の脆弱性に取り組んでいた。この種の欠陥は、バイナリ・プランティグ欠陥とも呼ばれることがある。 これについては、 マイクロソフトのセキュリティアドバイザリについて説明した 9月のWireで取り上げたが、極めて簡潔に言うと、この種類の欠陥は攻撃者が細工済みのDLLファイルと同じ場所にある悪質なファイルをユーザに開かせること に関与している。悪質なファイルをユーザが開いてしまうと、攻撃者は有害なDLLファイルでユーザの特権を使いコードを実行できるようになる。 また、ユーザにローカル管理者の特権がある場合、攻撃者はこの種の問題を悪用してユーザのコンピュータを完全に操作できるようになる。 今回ターゲットとなっているファイル形式は.rtf / .txt /.docで、ユーザがそうしたファイルを開くと攻撃者が新たな問題を誘発できるようになっている。このセキュリティアドバイザリでは、 また新たに報告された不安定なDLLローディング問題を修正している。

マイクロソフトの評価:重要
解決方法:
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードし、 テストしてからネットワーク全体に取り入れることをすすめる。 また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択すること。
MS11-071:
解決策:ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使って欠陥を悪用する。Fireboxでローカル攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策だろう。
ステータス:
マイクロソフトは、こうした脆弱性を修正できるセキュリティ更新プログラムをリリースしている。
参考資料:
  • マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/09/windowswins-dll-2011913.html http://www.watchguard.co.jp/securityalert/2011/09/windowswins-dll-2011913.html セキュリティニュース Tue, 20 Sep 2011 14:29:06 +0900 ウォッチガード Officeドキュメントの解釈問題 2011年9月13日 Officeドキュメントの解釈問題
危険度:高
2011年9月13日

概要:
  • 対象:
    現バージョンのマイクロソフトOfficeと搭載されているコンポーネント
    (Office SharePointとGroove サーバや製品にも影響)
  • 悪用方法:
    悪質なOfficeドキュメントをユーザが開くように誘導する方法が一般的
  • 影響:
    最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
  • 対策:
    マイクロソフトOfficeのセキュリティ更新プログラムを至急インストールするか、 マイクロソフトの自動アップデート機能に任せて必要なプログラムをインストールすること
詳細:
パッチデーの今日、マイクロソフトはOfficeとそれに搭載されているコンポーネントで発見された欠陥についてセキュリティアドバイザリを3件リリースした。 アドバイザリでは、Office SharePointとGrooveサーバーや製品に関係する脆弱性についても取り上げている。 そのうち2件は、ウィンドウズ版とMac版のOfficeとExcelで発見された脆弱性に関係がある7つのドキュメントについて説明している。 それら脆弱性は技術面では異なるが、その作用範囲と影響力は同じだ。攻撃者は、悪質に細工したOfficeドキュメントをユーザがダウンロードして開くように誘導、 それに成功すると、様々な脆弱性を悪用してユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。 また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 マイクロソフトのセキュリティアドバイザリによると、攻撃者はExcel、Word、PowerPointファイルなど、様々な種類のOfficeドキュメントを利用して 欠陥を悪用するという。また、中には去年マイクロソフトが取り組んでいた動作が不安定なDLLローディングの脆弱性の 影響を受けているものもある。しかし、その場合、攻撃者は悪質なDLLファイルの保存先と同じ場所にあるドキュメントをユーザが開くように誘導しなければ ならないため、攻撃によるリスクは多少軽くなる。 各ドキュメントとその欠陥について知りたければ、下記セキュリティアドバイザリの「脆弱性の詳細」を参考にすることをすすめる:
  • MS11-072: Excelのコード実行問題(5): 重要
  • MS11-073:  Officeのコード実行問題(2): 重要
マイクロソフトは、SharePointとGrooveやForms製品に影響を及ぼしている6つの脆弱性の詳細についても、 セキュリティアドバイザリをリリースしている。これら6つの欠陥は、 主に攻撃者の特権昇格を許してしまうクロスサイト スクリプティング(XSS)の脆弱性だ。具体的に言うと、攻撃者は欠陥を利用してスクリプトを実行したり、コマンドを開始したり、 被害者である認証済みのSharePointユーザとしてコンピュータを操作したりする可能性がある。もちろん、このタイプの攻撃を成功させるにおいて、 攻撃者は細工したリンクやURLを被害者がクリックするように仕向けなければならない。
解決方法:
マイクロソフトは、こうした脆弱性を修正するOffice、SharePoint、Groove製品を対象とした更新プログラムをリリースしているので、 状況に適したプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、マイクロソフトの自動アップデート 機能に任せて必要なプログラムをダウンロードする方法もある。しかし作業を簡単にするため、可能であればWindowsの自動アップデート機能に任せ、 必要な更新プログラムを自動選択することを強くすすめる。
MS11-072: Mac対象の更新プログラム: MS11-073: MS11-074:
アップデートには複雑な箇所があるので、マイクロソフトのSharePointとGrooveのセキュリティアドバイザリにある「影響を受けているソフトウェア」 を参考にし、自分が必要な更新プログラムを探すことを強くすすめる。可能であれば、マイクロソフトの自動アップデート機能に任せて適切な更新プログラム を取りれることをすすめる。

解決策:ウォッチガードユーザ専用
ウォッチガードのFirebox製品シリーズには、マイクロソフトOfficeのドキュメントをネットワークから遮断するように設定できるものもある。しかし、 仕事上その種のファイルを許可しておくのが一般的であるため、更新プログラムをインストールすることがベストな対策といえるだろう。 それでもOfficeドキュメントをネットワークから遮断したいという場合は、HTTP、SMTP、および(または)POP3プロキシを使い、 拡張子別にファイルを阻止することができる(.xls / .doc / .pptなど)。しかし、そうすると問題のないファイルも受信できないようになる点に注意しよう。 プロキシ機能を使ってOfficeドキュメントをネットワークから遮断するならば、下記のビデオ手順を参考にすることをすすめる。

ステータス:
マイクロソフトはこうした脆弱性を修正できるOffice対象のセキュリティ更新プログラムをリリースしている。

参考資料:
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/09/office-2011913.html http://www.watchguard.co.jp/securityalert/2011/09/office-2011913.html セキュリティニュース Tue, 20 Sep 2011 13:35:40 +0900 ウォッチガード IE9のドライブバイ・ダウンロードによる感染を防ぐ累積的なセキュリティ更新プログラム 2011年8月10日 IE9のドライブバイ・ダウンロードによる感染を防ぐ
累積的なセキュリティ更新プログラム

2011年8月10日 
コーリー・ナクライナー
危険度:高
2011年8月9日

概要:
  • 対象:
    IE9を含むInternet Explorerすべてのバージョン
  • 悪用方法:
    有害なウェブページにユーザを誘導する方法が一般的
  • 影響:
    これにより及ぶ影響は多々あるが、最悪の場合はユーザのコンピュータで攻撃者がコードを実行し、そのコンピュータを攻撃者が完全に操作できるようになる
  • 対策:
    状況に適したInternet Explorerのセキュリティ更新プログラムを至急ダウンロードするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをダウンロードすること
詳細:
月例でセキュリティ更新プログラム(パッチ)を公開しているマイクロソフトは、米国時間の8月9日にセキュリティアドバイザリを リリースした。このアドバイザリは、現バージョンのウィンドウズ(Windows 7 / Windows Server 2008も含む)で使用しているInternet Explorer (IE) 9.0と、それ以前のバージョンで発見された新たな脆弱性7件について説明しており、マイクロソフトは、その危険性を重大と評価している。

報告された脆弱性はどれも技術面では異なるが、中でも悪質な問題3件の主な作用域と影響力は同じだ。IEが様々なHTMLオブジェクトやURLの処理法に関与するリモートコード実行の欠陥に関与しているため、攻撃者がユーザを有害なウェブコードを含むウェブページにユーザを誘導すると、攻撃者はいずれかの脆弱性を悪用し、ユーザの特権を自分のものにした状態で、そのユーザのコンピュータでコードを実行できるようになる。大方、ウィンドウズ・ユーザはローカル管理者の特権を持っているものだが、その場合は攻撃者が欠陥を悪用して被害者のコンピュータを完全に操作できるようになる。 その他の脆弱性は、主に情報開示の欠陥によるものである。 また、最近の攻撃者達は正当なウェブページをハイジャックし、それに有害なコードを罠として仕掛ける攻撃手段を使っているので注意が必要だ。一般的に、攻撃者はウェブ広告やSQLインジェクション、XSS攻撃を利用してそれを行う。言い換えれば、ユーザがそうした方法でサイトをハイジャックしてしまえば、良く知られたサイトや信頼の置けるサイトさえも危険を伴うことになる。

欠陥の技術詳細を知りたい場合は、マイクロソフトのセキュリティアドバイザリにある脆弱性の情報欄を参照にすることをすすめる。しかし、その技術面を別にしても、IEのリモートコード実行問題によるリスクは深刻なものであり、攻撃者がドライブバイ・ダウンロード攻撃を仕掛けられるようにするものなので、IEの累積的なセキュリティ更新プログラムを至急ダウンロードし、インストールすることをすすめる。

解決策:
この累積的セキュリティ更新プログラムは深刻な問題を修正しているので、状況に適した更新プログラムを至急ダウンロードしテストしてから取り入れるか、ウィンドウズの自動アップデート機能に任せること。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。 ※:Server Core インストールオプションを使ってインストールしたWindows Server 2008 administratorsにおいては、この欠陥の影響を受けていない。

解決策:ウォッチガードユーザ専用
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ(www)にアクセスできるようにするには、HTTPトラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス:
マイクロソフトは脆弱性を修正する累積的なセキュリティ更新プログラムをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ MS11-057

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/08/ie9-201110.html http://www.watchguard.co.jp/securityalert/2011/08/ie9-201110.html セキュリティニュース Wed, 17 Aug 2011 14:06:50 +0900 ウォッチガード Visioドキュメントの解析問題2つ 2011年8月10日 Visioドキュメントの解析問題2つ

2011年8月10日 
コーリー・ナクライナー
危険度:中
2011年8月10日

概要:
  • 対象:
    現バージョンのマイクロソフトVisio
  • 悪用方法:
    悪質に細工済みのVisioドキュメントをユーザが開くように誘導
  • 影響:
    攻撃者がコードを実行、ユーザのコンピュータを完全に操作できるようになる
  • 対策:
    状況に適したVisio更新プログラムをできる限り早急に取り入れるか、ウィンドウズの自動アップデート機能に任せること
詳細:
マイクロソフトのVisioは、設計図やダイアグラムなどの作図に使う人気のソフトウェアだ。ネットワーク・ダイアグラムの作成にこれを使う管理者は多く、Office パッケージのいくつかに搭載されている。

しかし、マイクロソフトは昨日リリースした セキュリティアドバイザリで、現バージョンのVisio に影響している2つのセキュリティ脆弱性について説明した。脆弱性の技術面は異なるが、その作用域と影響力は同じで、どちらもVisioがVisioドキュメントを解析する方法に関係する欠陥に関与している。攻撃者は細工済みのVisioファイル(.vsd /.vdx/.vst/.vtxなど)をユーザが開くように誘導し、欠陥を悪用してユーザの特権を自分のものにし、そのユーザのコンピュータでコードを実行する。また、ユーザが管理者特権を持っている場合、攻撃者はそのコンピュータを完全に操作できるようになる。

解決策:
マイクロソフトはこの欠陥を修正する更新プログラムをリリースしているので、状況に適した更新プログラムをできるだけ早急にダウンロードし、テストしてから適用すること。また、ウィンドウズのアップデート機能に任せて必要な更新プログラムをダウンロードすることもできる。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。 解決策:ウォッチガードユーザ専用
仕事場の環境が許すならば、HTTP/SMTP/POP3プロキシなどを使い拡張子別(.vsd /.vdx/.vst/.vtxなど)にVisioドキュメントを阻止することができる。但し、そうすることで有害なファイルだけでなく、問題のない正当なファイルまでも受信できなくなるので注意が必要だ。

プロキシ機能を使ってVisioドキュメントを阻止したい場合は、下記のビデオの手順を参考にすることをすすめる。
ステータス:
マイクロソフトは問題を修正するセキュリティ更新プログラムを提供している。

参考資料:
マイクロソフトのセキュリティアドバイザリ MS11-060
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/08/visio2-201110.html http://www.watchguard.co.jp/securityalert/2011/08/visio2-201110.html セキュリティニュース Wed, 17 Aug 2011 13:54:01 +0900 ウォッチガード アドビの更新プログラム:Flash / Shockwave / Photoshop 2011年8月10日 アドビの更新プログラム:
Flash / Shockwave / Photoshop

2011年8月10日 
コーリー・ナクライナー
危険度:高

概要:
  • 対象:
    アドビのShockwave Player / Flash Player / Flash Media Server / Photoshop
  • 悪用方法:
    有害なファイルをユーザが開くように誘導したり、細工したウェブサイトにユーザを仕向けるなど、攻撃手段は多々ある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作することができる
  • 対策:
    状況に適したアドビのセキュリティ更新プログラムを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすること
詳細:
昨日、アドビは人気のソフトウェア・パッケージに含まれているプログラムで発見された様々なセキュリティ脆弱性について、セキュリティアドバイザリを5件リリースした (Shockwave Player/ Flash Player / Flash Media Server / Photoshop / Robohelpなど)。リモート攻撃者は、その中でも悪質な欠陥を利用してユーザのコンピュータを 完全に操作できるようになる。

今回報告された脆弱性の中でも目立った問題点の概要:
アドビ(日本版)のセキュリティ・アップデート(抄訳)
アドビ(英文)のセキュリティ・アップデート

APSB11-19:
Shockwave Player のセキュリティ脆弱性(7件)
Adobe Shockwave Playerは、Shockwaveと呼ばれるインタラクティブな動画のウェブコンテンツやムービーを再生するもので、アドビ曰く世界中で4億5000万台のコンピューターでインストールされているという。

アドビのセキュリティアドバイザリは、Shockwave Player 11.6.0.626とそれ以前のバージョン(ウィンドウズとMac対象)に影響を及ぼしているセキュリティ脆弱性7件について警告した。しかし、アドビのアドバイザリは技術詳細について述べておらず、各欠陥の性質と主な影響力についてのみ説明している。欠陥は未特定のメモリ破損問題から成り立っているものが大方で、どれも技術面では異なるが、その作用域と影響力はほぼ同様だ。攻撃者は何らかの有害なShockwaveコンテンツを含むウェブサイトにユーザを誘導、様々な脆弱性を悪用してユーザの特権を獲得し、そのユーザのコンピュータでコードを実行できるようになる。また、ウィンドウズのユーザがローカル管理者の特権を持っていた場合、攻撃者は欠陥を悪用してユーザのPCを完全に操作することが可能になる。

アドビによる評価:緊急

APSB11-20:
Flash Media Server DoS 脆弱性
Flash PlayerはFlashと呼ばれるインタラクティブな動画ウェブコンテンツを表示させるもので、Flash Media Server は管理者がFlashコンテンツをストリームできるようにする機能だ。

しかし、Flash Media Server 4.0.2とそれ以前のバージョンは未特定のサービス拒否(DoS)脆弱性の影響を受けている。ただ、アドビはそれに関する詳細情報も、攻撃者がそれをどう悪用する可能性があるのかについても公開していない。唯一、アドビが公開している情報は、攻撃者が何らかの方法で欠陥を悪用し、ユーザのメディアサーバに対してDoS攻撃を仕掛けるという点だけである。

アドビによる評価:緊急

APSB11-21:
Flash Player のアップデート、13件のセキュリティ欠陥を修正
Flash PlayerはFlashと呼ばれるインタラクティブな動画ウェブコンテンツを表示させることができる。Secuniaによる最近の報告では、99%のウィンドウズコンピュータがAdobe Flash Playerをインストールしていると報告している。だとすると、おそらく君のユーザもFlash Playerを使っていることだろう。

アドビのアップデートは、Flash Player(Windows / Mac / Linux / Solaris 対象)で発見された13のセキュリティ脆弱性を修正しているが、その主な作用域と影響力以外の詳細については説明していない。最悪の場合、攻撃者は有害なウェブサイトにユーザを誘導し、欠陥を悪用してユーザのコンピュータを操作できるようになる。ただ、その場合に攻撃者が獲得できる特権は、その時点でログインしているユーザの特権だけだろうと我々は見ている。とはいっても、大方のウィンドウズユーザはローカル管理者の特権を持っているため、攻撃者はおそらくウィンドウズコンピュータを完全に操作できるようになるだろう。

アドビによる評価:緊急

APSB11-22:
Photoshop GIF 処理の脆弱性
Photoshopはイメージ編集を可能にするアドビの人気プログラムだが、Photoshop CS5は特別に作成されたGIFイメージを適切に処理できない点に関与する未特定問題の影響を受けている。攻撃者は、まず有害なGIFイメージをユーザがダウンロードし、それをPhotoshopで開くように 仕向ける。そして、欠陥を悪用してユーザの特権を獲得し、そのユーザのコンピュータでコードを実行する。また、ユーザがローカル管理者の特権を持っている場合、攻撃者はそのコンピュータを完全に操作できるようにもなる。

アドビによる評価:緊急

APSB11-23:
RoboHelp XSS 欠陥
ヘルプシステムの作成に使うソフトウェア、RoboHelp 9は未特定のクロスサイト・スクリプティング(XSS)脆弱性の影響を受けている。攻撃者は細工したリンクをユーザがクリックするように仕向け、Robohelpコンポーネントの状況下にてユーザのコンピュータでスクリプトを実行することができる。

アドビによる評価:重要
解決策: アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムを用意している。下記のリストにあるソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、取り入れることをすすめる。また、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることもできる。

解決策:
ウォッチガードユーザ専用 攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用する。適切に設定されたファイアウォールであれば問題のリスクを緩和させることができるが、Fireboxでローカル攻撃を阻止したり、通常のHTTPトラフィックを利用した攻撃を阻止したりすることはできないため、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス:
アドビは問題を修正するセキュリティ更新プログラムをリリースしている。

参考資料:
アドビ(日本版)のセキュリティ・アップデート(抄訳)
アドビ(英文)のセキュリティ・アップデート


この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
]]> http://www.watchguard.co.jp/securityalert/2011/08/flash-shockwave-photoshop-201110.html http://www.watchguard.co.jp/securityalert/2011/08/flash-shockwave-photoshop-201110.html セキュリティニュース Wed, 17 Aug 2011 13:37:01 +0900 ウォッチガード ウィンドウズのセキュリティアドバイザリ 2011年8月10日 ウィンドウズのセキュリティアドバイザリ6件(危険度:中〜重要)
2011年8月10日 
コーリー・ナクライナー

対象:TCP/IP Stack、データアクセス・コンポーネント、カーネル、その他
危険度:中

概要:
  • 対象:
    現バージョンのウィンドウズと搭載されているコンポーネント
  • 悪用方法:
    細工したネットワーク・パケットの送信、悪質なファイルをユーザが開くように誘導、有害なアプリケーションをローカルで実行するなど、攻撃手段は多々ある
  • 影響:
    結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細:
昨日、マイクロソフトはウィンドウズと搭載されているコンポーネントで発見された7つの脆弱性について、6件のセキュリティアドバイザリをリリースした。 各脆弱性の対象となるウィンドウズ・バージョンは異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズPCを完全にコントロール できるように なる。

危険性の高い問題から順番にまとめた概要は以下の通り:
MS11-059:
Data Access Components のコード実行問題
マイクロソフトによると、Windows Data Access Components (Windows DAC)は、エンタープライズに渡る情報へのアクセスを提供する機能だという。しかし残念ながら、Windows DACは外部ライブラリに制限なしのアクセスを許可している。攻撃者は有害なDLLと同じ場所にある細工済みのエクセル・ファイルをユーザが開くように 誘導することで欠陥を悪用し、ユーザの特権を使って、そのユーザのシステムでコードを実行できるようになる。ユーザにローカル管理者の特権がある場合は、 攻撃者はそのマシーンを完全にコントロールできるようになる。
この欠陥の影響を受けているのはWindows 7およびそれ以降のものに限る。

マイクロソフトの評価:重要

MS11-061:
リモート・デスクトップのウェブ・アクセスXSS脆弱性
ウィンドウズ・リモート・デスクトップ(RD)は、自分のウィンドウズ・デスクトップのネットワークに、どこからでもアクセスできるようにする機能だ。 ウェブ・アクセスのコンポーネントは、ウェブ・ブラウザを介してこの機能を提供するようになっているのだが、残念ながら、 RDウェブ・アクセスのコンポーネントはクロスサイト・スクリプティング (XSS) 脆弱性の影響を受けていることが分った。攻撃者は、細工済みのリンクをユーザがクリックするように仕向け、RDウェブ・アクセス・コンポーネントの状況にて、 ユーザのコンピュータでスクリプトを実行できるようになる。また、場合によっては攻撃者がユーザのリモート・デスクトップにもアクセスできるようになる可能性がある。
この欠陥の影響を受けているのは、Windows Server 2008 R2 x64だけである。

マイクロソフトの評価:重要

MS11-062:
RAS NDISTAPI ドライバー特権昇格の脆弱性
リモート・アクセス・サービス(RAS)は電話回線を通じてネットワークにアクセスできるようにするコンポーネント、 そして、NDISTAPIドライバーはその機能提供にかかわるRASコンポーネントのひとつである。しかし、NDISTAPIドライバーはウィンドウズのカーネルに送るユーザの インプットを適切に認証していないため、攻撃者は細工したアプリケーションを実行して欠陥を利用すると、特権昇格を行うことができるようになる。そうなると、 攻撃者はユーザのウィンドウズを完全にコントロールすることも可能になる。しかし、攻撃者が細工したプログラムを実行するには、ユーザのウィンドウズにて有効な クレデンシャルでのローカル・アクセス権が必要なるため、この欠陥のリスクは大幅に緩和される。
この欠陥の影響を受けているのはXPとServer 2003のみである。

マイクロソフトの評価:重要

MS11-063:
CSRSS 特権昇格の脆弱性
クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、コンソール・ウィンドウズと スレッドの作成と削除の役割を担う必要不可欠なウィンドウズ・コンポーネントだが、特権昇格(EoP)脆弱性の影響を受けていることが分った。 上記のNDISTAPIドライバー欠陥と同様に、攻撃者が細工したプログラムを実行すると、認証を受けた攻撃者は欠陥を利用してユーザのウィンドウズ・ コンピュータでSYSTEM-レベルの完全な操作権利を獲得できる。とはいっても、先述の問題と同じく、攻撃者はまずユーザのウィンドウズで有効なクレデンシャルを使った ローカル・アクセス権を必要とするため、この欠陥のリスクは幾分緩和される。

マイクロソフトの評価:重要

MS11-064:
TCP/IP スタックDoS 脆弱性
ウィンドウズのTCP/IPスタックは、IPベースのネットワーク接続をユーザのコンピュータに提供できる。しかし、これらは2つのサービス拒否(DoS)脆弱性の影響を受けている ことが分った。 そのうちの1つは非常に古いPing of Deathの脆弱性で、攻撃者は細工したICMPメッセージを送信してユーザのシステムが反応しなくなるようにしたり、再起動が必要になるようにさせたりする。 WatchGuardのXTMアプライアンス、そして大方のファイアウォールは、この昔ながらのDoS欠陥を使った外部からの悪用を阻止することができる。 また、2つめの欠陥は細工済みのURLをTCP/IPスタックが処理する方法に関係するもので、攻撃者はユーザのウィンドウズ・ウェブサーバに細工済みのURLを送信し、 欠陥を悪用してサーバを動かなくさせたり、再起動を必要にさせたりする。
影響を受けているのはWindows Vistaとそれ以降のものに限る。

マイクロソフトの評価:重要

MS11-068:
Windows カーネルのDoS 脆弱性
カーネルは、コンピュータのオペレーティング・システムに とって中心となるコンポーネントだ。しかし、ウィンドウズのカーネルはファイル内のメタデータの解析欠陥に関係するサービス拒否(DoS)脆弱性の影響を受けている。 攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのウンィンドズ・コンピュータを完全に操作できるようになる。しかし、攻撃者はユーザのウィンド ウズ・コンピュータで有効なクレデンシャルを使ったローカル・アクセス権を必要とするため、この欠陥によるリスクは大幅に緩和される。
この欠陥の影響を受けているのはWindows Vistaとそれ以降のものに限る。

マイクロソフトの評価:中

解決策:
マイクロソフトは、脆弱性を修正するウィンドウズ用のセキュリティ更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてから取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意:日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
MS11-059: MS11-061: MS11-062: MS11-063: MS11-064:  MS11-068:
解決策:ウォッチガードユーザ専用
攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用する。適切に設定されたファイアウォールであれば問題のリスクを緩和させることができるが、 Fireboxでローカル攻撃を阻止したり、通常のHTTPトラフィックを利用した攻撃を阻止したりすることはできないため、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。


参考資料:
マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。 ]]> http://www.watchguard.co.jp/securityalert/2011/08/-201110.html http://www.watchguard.co.jp/securityalert/2011/08/-201110.html セキュリティニュース Wed, 17 Aug 2011 13:19:24 +0900 ウォッチガード Visio 2003 不正ドキュメントがマルウェアをインストール? 2011年7月12日 Visio 2003 不正ドキュメントがマルウェアをインストール?
コーリー・ナクライナー 
危険性:中
2011年7月12日 

概要:
  • 対象:
    Visio 2003
  • 悪用方法:
    故意に細工したVisio ドキュメントをユーザが開くように攻撃者が誘導する
  • 影響:
    攻撃者がコードを実行、ユーザのコンピュータを完全に操作できるようになる
  • 対策:
    Visio 2003 のパッチをできる限り早急に取り入れるか、Windows のアップデート機能に任せること
詳細:
マイクロソフトのVisio は、設計図やダイアグラムなどの作図に使う人気のソフトウェアだ。ネットワーク・ダイアグラムの作成にこれを使う管理者は多く、Office パッケージのいくつかに搭載されている。

米国時間の12日にリリースした セキュリティアドバイザリで、マイクロソフトはVisio 2003 にのみ影響しているセキュリティ脆弱性の説明を公開した。安全ではない DLL(ダイナミック・リンク・ライブラリ)には脆弱性をローディングしてしまう問題があり、Visio 2003 はその影響を受けているというのだ。ちなみに、これはバイナリ・プランティング欠陥とも呼ばれている。この種の欠陥についての解説は、 9月のWire でマイクロソフトの セキュリティアドバイザリについて説明したのが初めてだ。

特別に細工したDLLがある場所からVisio 関連のファイル(.vsd /.vdx/.vst/.vtxなど)を ユーザが開くように誘導すると、攻撃者は欠陥を悪用し、ユーザのシステム特権を自分のものにした状態でユーザのコンピュータで コードを実行できるようになる。つまり、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

解決策:
マイクロソフトは、この欠陥を修正するVisio 2003 のパッチをリリースしているので、できる限り早急にそれをダウンロード し導入するか、Windowsのアップデート機能に任せることをすすめる。

ウォッチガード・ユーザの解決策:
ビジネス環境が許すのであれば、HTTP やSMTP、POP3プロキシなどを使って、拡張子別に(.vsd /.vdx/.vst/.vtxなど)Visioドキュメントをネットワークから阻止することができる。しかし、その方法では悪質なファイルだけでなく、 問題のないファイルもブロックしてしまう。

プロキシ機能を使ってVisioドキュメントをネットワークから阻止したい場合は、次のリンクをクリックし、ビデオ手順を参考にしよう。
ステータス:
マイクロソフトはこのフィックスをリリースしている。

参考資料:
マイクロソフトのセキュリティアドバイザリ MS11-055
この記事はコーリー・ナクライナー CISSPにより調査され書かれたものです。
ご感想を是非お寄せ下さい: your.opinion.matters@watchguard.com. これまでの記事一覧はこちらからどうぞ: LiveSecurityアーカイブ ]]> http://www.watchguard.co.jp/securityalert/2011/07/visio-2003-201112.html http://www.watchguard.co.jp/securityalert/2011/07/visio-2003-201112.html セキュリティニュース Fri, 15 Jul 2011 14:09:31 +0900 ウォッチガード Windowsアップデート(3):ワイヤレス・ブルートゥース攻撃 2011年7月12日 Windowsアップデート(3):ワイヤレス・ブルートゥース攻撃
コーリー・ナクライナー 
CSRSSやカーネルモード・ドライバーも
危険性:高 
2011年7月12日 

概要:
  • 対象:
    Windowsおよび搭載されているコンポーネント
  • 悪用方法:
    特別に細工したワイヤレス・ブルートゥース・トラフィックを送信するなど、攻撃方法は様々ある
  • 影響:
    攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能に任せること
詳細:
米国時間の12日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響している21件のセキュリティ脆弱性について 説明したアドバイザリを3件リリースした。各脆弱性は、影響を及ぼすWindowsのバージョンも、その度合いも異なる。 しかし、リモート攻撃者は3つの欠陥のうち、中でも悪質なものを選び、ワイヤレスでそれを悪用してユーザのWindows PCを完全にコントロールできるようになる。

次の概要一覧では、危険性の高いものから順にまとめた(危険性についてはマイクロソフトの概要を参考にした)。
  • MS11-053: ブルートゥース・スタック・コード実行問題

    ブルートゥースはオープン・ワイヤレス・テクノロジーで、近距離にてデータを送信する規格だ。しかし、 最近のWindowsバージョンに搭載されているブルートゥース・スタックは、まだ削除されていないメモリや、 初期化されていないメモリにアクセスする方法に関係するコード実行問題の影響を受けている。 特別に細工したブルートゥース・パケットを連続して無線送信することで、攻撃者はこの欠陥を利用し、 ユーザの脆弱なコンピュータを完全にコントロールできるようになる。しかし、攻撃者はこの攻撃を実行するにあたりブルートゥースの範囲内にいなければならない (ブルートゥースの平均範囲は5メートルから100メートル)。 とはいっても、「Snipers」 というブルートゥースの特別ギアを使えば、その範囲をキロメートルまで拡大することができる。この欠陥の影響を受けているのはWindows Vistaと7 のみだ。

    マイクロソフトの評価:緊急

  • MS11-054 : カーネルモード・ドライバーの特権昇格問題(15)

    カーネルは、 あらゆるコンピュータのオペレーティングシステムの中軸となるコンポーネントだ。 Windowsにはカーネルモード・デバイスドライバー(win32k.sys)も搭載されており、 様々なカーネルレベルのデバイスを処理している。しかし、このカーネルモード・ドライバーは15の特権昇格問題(EoP)の影響を受けているという。 この欠陥はどれも技術面では異なるものの、その範囲と影響は大体共通している。特別に細工したプログラムを実行することで、 ローカルの攻撃者はこうした欠陥を利用し、ユーザのWindowsを完全にコントロールできるようになる。とはいっても、 攻撃者はまずユーザのWindowsで使える有効なクレデンシャルを獲得しなければならないため、この欠陥のリスクを大きく減少させている。

    マイクロソフトの評価:重要

  • MS11-056: CSRSS ローカル特権昇格の脆弱性

    CSRSS(クライアント/サーバ・ランタイム・サブシステム) は、スレッドを作成したり削除したりし、コンソール・ウィンドウズを担う必要不可欠なウィンドウズ・コンポーネントである。 ところが、これは5つの特権昇格(EoP)の脆弱性による影響を受けており、どれも技術面では異なるが機能的には似通っている。 先のカーネルモード・ドライバー欠陥と同様に、特別に細工したプログラムを実行した認証済みの攻撃者は、こうした欠陥を利用してユーザの WindowsのSYSTEMレベル・コントロール全権を獲得することができる。 とはいっても上述の問題と同じく、攻撃者はまずそのユーザのWindowsで使える有効なクレデンシャルを必要とするため、この欠陥のリスクを大幅に減少させている。

    マイクロソフトの評価:重要

    解決策:
    マイクロソフトは、こうした脆弱性をすべて修正するWindowsのパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてから ネットワーク全体に導入することをすすめる。また、Windowsの自動アップデート機能に任せてその作業を行うこともできる。

    日本語版をインストールする場合は、ドロップダウンメニューから「Japanese」を選択すること。
MS11-053: * 注:Windows Vista SP1は、ワイヤレスのオプション機能パックをインストールした場合に限り対象となる。 MS11-054: MS11-056:
ウォッチガード・ユーザの解決策:
攻撃者は、ローカルまたはブルートゥース・ワイヤレス・トランスミッションを使ってこうした欠陥を悪用する。 ウォッチガードのワイヤードおよび802.11ワイヤレス・アプライアンスは、そうした攻撃方法からはネットワークを保護しないため、 マイクロソフトのアップデートをインストールすることがもっとも安全な対策方法となる。

ステータス:
マイクロソフトはこの問題を修正するパッチをリリースしている。

参考資料:
この記事はコーリー・ナクライナー CISSPにより調査され書かれたものです。

ご感想を是非お寄せ下さい: your.opinion.matters@watchguard.com. これまでの記事一覧はこちらからどうぞ: LiveSecurityアーカイブ ]]> http://www.watchguard.co.jp/securityalert/2011/07/windows3-201112.html http://www.watchguard.co.jp/securityalert/2011/07/windows3-201112.html セキュリティニュース Fri, 15 Jul 2011 13:39:41 +0900 ウォッチガード Apple OSX: Leopardのチェックアップ  2011年6月23日 Apple OSX: Leopardのチェックアップ コーリー・ナクライナー

日付:2011年6月23日

概要:
  • 対象:
    現バージョンの OS X 10.5.x (Leopard) と OS X 10.6.x (Snow Leopard)
  • 悪用方法:
    悪質なウエブサイトにユーザを誘導したり、不正ドキュメントやイメージをユーザがダウンロードし閲覧するように仕向けるなど、攻撃方法は様々ある
  • 影響:
    攻撃結果は様々だが、最悪の場合には、攻撃者がユーザのコンピュータでコードを実行できるようになる
  • 対策:
    OS X の管理者はOS X 10.6.8かSecurity Update 2011-004をダウンロードし、テストしてからインストールまたはアップルのソフトウェア・アップデート機能に任せること
詳細:
米国時間の6月23日、アップルは現バージョンのOS X に見られる脆弱性を修正するセキュリティアップデートをリリースした。このアップデートはOS X やOS X Server (Airport / Quicktime / MobileMe を含む)の一部として搭載されている22のコンポーネントで発見された、39件ほどの(情報源CVE-ID)セキュリティ問題を修正している。そのうちのいくつかの概要については、下記を参照することをすすめる。
  • ImageIO コード実行の欠陥(2)
    ImageIOは、OS Xが様々なファイル形式を処理しやすくするコンポーネントのひとつだが、残念ながら、 これは特定のタイプのイメージファイル処理に関与するセキュリティ脆弱性2つの影響を受けている (例:バッファオーバーフローなど)。これらは技術面では異なるものの、脆弱性の有効範囲と影響力は同じだ。 攻撃者は、特別に細工したイメージファイルを悪質なウエブサイトにホストするなどして、 被害者がそれを閲覧するように仕向ける。それがうまくいくと、 攻撃者は欠陥を悪用して被害者のコンピュータでアプリケーションをクラッシュさせたり、 攻撃コードを実行させたりすることができる。ただし、デフォルトにより攻撃者はユーザの特権でのみ、 コードを実行することができる。 この影響を受けているイメージ形式には JEPG2000TIFFがある。
  • ATS バッファオーバーフローの脆弱性
    Apple Type Service (ATS)は、OS X がフォントを処理しやすくする機能だが、これは埋め込みフォント TrueTypeフォントの処理に関与するバッファオーバーフローの脆弱性の影響を受けている。 細工したフォントを含む悪質なドキュメントをユーザがダウンロードし閲覧するように仕向けると、 攻撃者は欠陥を悪用し、ユーザのコンピュータでコードを実行できるようになる。ただし、デフォルトにより攻撃者はユーザの特権でのみ、 このコードを実行することができる。
  • Quicktimeの脆弱性(5)
    Quicktime は、OS X (および iTunes)に搭載されているビデオやメディアを再生する人気のプレイヤーだが、 特定のイメージやオーディオ、ビデオ・ファイルの処理に関係する5件のセキュリティ問題の影響を受けている。どれも技術面では異なるが、 その基本的な有効範囲と影響力は同じだ。攻撃者は、悪質に細工されたメディアをユーザがQuickTimeで閲覧するよう罠を仕掛け、それに成功すると、 欠陥を悪用しユーザの特権を使ってそのコンピュータでコードを実行できる。
アップルのアラートは、この他にも多数のコード実行の脆弱性やサービス拒否(DoS)欠陥、特権昇格の脆弱性、情報開示の欠陥といった問題についても説明している。

このセキュリティアップデートでパッチされたコンポーネントには以下も含まれている。
AirPort App Store
ATS Certificate Trust Policy
ColorSync CoreFoundation
CoreGraphics FTP Server
ImageIO International Components for Unicode
Kernel Libsystem
libxslt MobileMe
MySQL OpenSSL
patch QuickLook
QuickTime Samba
servermgrd subversion
詳細についてはアップルのOS X 10.5.x と 10.6.x のアラートを参照すること。

解決策:
アップルは、OS X Security Update 2011-004とOS X 10.6.8で、こうしたセキュリティ問題を修正しているので、OS Xの管理者は状況に適したアップデートを出来る限り早急にダウンロードし、テストしてから取り入れることをすすめる。 注意:使用しているOS Xバージョンに適したパッチがどれか定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、必要なアップデートを自動的に選ぶこともできる。

全ユーザへ:
こうした欠陥は、様々な悪用方法を使うが、中にはローカルのものもある。その場合、ペリメター・ファイウォールが攻撃に気付かないため(部署間にファイアウォールを設置している場合は別)、アップデートをインストールすることが主な安全策となる。

ステータス:
アップルはこうした欠陥を修正するアップデートをリリースしている。

参考資料:
2011年6月のセキュリティアップデート:OS X 10.5x / 10.6.x


この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
ツイッター:@SecAdept ]]> http://www.watchguard.co.jp/securityalert/2011/06/apple-osx-leopard2011623.html http://www.watchguard.co.jp/securityalert/2011/06/apple-osx-leopard2011623.html セキュリティニュース Wed, 29 Jun 2011 14:09:03 +0900 ウォッチガード