次世代型UTM＆ファイアウォール：ウォッチガード・テクノロジー・ジャパン

B335367

ウォッチガード — Sat, 04 Feb 2012 21:32:12 +0900

Build番号:335367
対象機器: 2 Series、3 Series、5 Series、8 Series、1050、2050

BUG64669: Resolved a Firebox crash and reboot when using FireCluster.
　⇒FireCluster機能時にリブートするとXTMがクラッシュしてしまう点を改修しました。

BUG63793: Improved proxy debug logging when using FireCluster.
　⇒FireCluster利用時、Proxyのデバッグログ取得を向上しました。

BUG65026: Iked stack trace eip=0x080c4013 caused by Mobile VPN with IPSec connection.
　⇒MUVPN with IPsecが接続時にIked stack trace eip=0x080c4013に影響を与えてしまい接続できなくなる点を改修しました。

BUG63860: snmpd memory leak
　⇒snmdがメモリリークする点を修正しました。

B334971

ウォッチガード — Sat, 04 Feb 2012 21:30:20 +0900

Build番号:334971
対象機器: 2 Series、3 Series、5 Series、8 Series、1050、2050

BUG64440: Static Arp entries are lost in FireCluster Active / Active when external interfaces goes down and comes backup
　⇒Active/ActiveのFireCluster利用時、登録したスタティックARPテーブルがインターフェースダウン時に削除されてしまう点を修正しました。

BUG64201, BUG64763: configuration changes not taking effect until reboot (potential fix).
　⇒一部の機能が設定変更後にリブートしないと反映されない点を修正しました。

BUG65105: when using 1 to 1 Nat IP ranges configuration saves may causes packet loss, connection count increase and one way BOVPN tunnel traffic.
　⇒1to1NAT機能利用時（IP範囲指定にて）、BOVPNのパケットロスが発生する可能性がある点を修正しました。

XTM 33：中小企業向けの新しいセキュリティ･アプライアンスを発表

ウォッチガード — Wed, 01 Feb 2012 10:30:00 +0900

ウォッチガード、中小企業向けの新しいセキュリティ･アプライアンスを発表
http://www.watchguard.co.jp/press_news/2012/01/post-67.html

「WatchGuard 2012新製品発表会」開催決定！

ウォッチガード — Wed, 18 Jan 2012 15:00:00 +0900

2012年、WatchGuard Technologiesは、製品ラインナップを強化し、エンドユーザのセキュリティを向上、パートナのビジネスに貢献する、市場で求められている真の「VALUE」を提供していきます。

WatchGuard 新製品発表会 ~ WatchGuardが2012年に実現する「VALUE」とは ~ では、2012年のWatchGuard 戦略、製品ロードマップに加え、新しいハードウェア・OS・サービスを発表するほか、これらの新機能を活用したソリューションもご紹介。日本の中小企業のニーズに応える「セキュリティ」「ソリューション」「サービス」をデモンストレーションと共に発表させていただきます。また、3月に発表予定の、仮想環境に対応したWatchGuardバーチャルファイアウォールのプレビューもご紹介させていただきます。

WatchGuardが日本市場に提供できる「VALUE」をご紹介させていただきますので、この機会に是非ご参加ください！！

「WatchGuard 2012 新製品発表会」イベント開催概要

日時

2012年2月9日（木）13:30～17:00 （受付開始 13：15～）

会場

コンベンションルーム AP渋谷

プログラム

13:15	開場
13:30	ご挨拶：WatchGuardが日本で実現するVALUE 代表取締役社長本富顕弘
13:50	Moving Forward: WG 2011 Business Review and 2012 Product Roadmap WatchGuard Technologies, Inc. Vice President International Sales, Terry Haas
14:20	WatchGuard XTM新製品　XTM 330、XTM 33、そのほか営業本部長真田賢太
14:40	WatchGuard Fireware XTM新機能（11.5.1、11.5.2）アカウントマネージャ猪股修
15:10	休憩
15:20	フルマネージのセキュリティ管理サービス：WatchGuard MSXのご紹介営業本部長真田賢太
15:50	XTMでVPN：iPhone/iPadからリモートアクセス、ほかアカウントマネージャ高橋弘之
16:20	社内PCのアプリケーション利用が全て見通し！！XTMのレポート活用アカウントマネージャ猪股修
16:45	バーチャルUTM新登場！XTMvプレビュープリセールスエンジニア正岡剛

参加対象

WatchGuardパートナー、WatchGuard取り扱いを検討頂いている販社、
SIer、エンドユーザ等

主催

ウォッチガード・テクノロジー・ジャパン株式会社

参加費用

無料（事前登録制）

定員

80名　※申込者多数の場合は抽選とさせて頂きます。予めご了承ください。

申込方法

下の受講申込ボタンをクリックしてお申し込みください。

※プログラム内容は変更する場合がありますので、予めご了承ください。
※競合他社のお申し込みはお断りさせていただきます。

B329167

ウォッチガード — Tue, 17 Jan 2012 09:41:23 +0900

Build番号：329167
対象機器：XTM 1050, 8-Series, 5-Series, 2-Series

BUG56592:SSL connection attempt causes frequent CPU spikes
⇒ SSL-VPN通信時、CPUが高負荷にならないよう修正しました。

2012年2月のトレーニングスケジュールをアップしました

ウォッチガード — Tue, 17 Jan 2012 09:00:00 +0900

2012年2月のトレーニングスケジュールをアップしました。
http://www.watchguard.co.jp/training/

ウィンドウズのセキュリティ更新プログラム（6件） 2012年1月11日

ウォッチガード — Mon, 16 Jan 2012 15:27:38 +0900

ウィンドウズのセキュリティ更新プログラム（6件）
深刻なケース（1件）
ウィンドウズ / メディアコンポーネント / CSRSS/SSL / TLS、他
2012年1月11日
コーリー・ナクライナー
危険度：高

概要：

対象：
現バージョンのウィンドウズと搭載されているコンポーネント
悪用方法：
罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、様々な攻撃方法がある
影響：
結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
対策：
状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる

詳細：
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する 7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールすることができる。

危険性の高い問題から順番にまとめた概要は以下の通り：

MS12-004:
ウィンドウズのメディアコード実行の欠陥（2）

ウィンドウズにはWindows Media PlayerやDirectShowなど、メディアレンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズメディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。マイクロソフトの評価：深刻

MS12-001:
ウィンドウズカーネルのSafeSEHバイパスの脆弱性

ここ何年もの間、マイクロソフトは攻撃者がバッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々なデータ実行防止（DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者がシェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズのStructured Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。マイクロソフトの評価：重要

MS12-002:
ウィンドウズのオブジェクトパッケージャーにあるコード実行の脆弱性

マイクロソフトによると、ウィンドウズのオブジェクトパッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC Magazineの用語集によると、それはオブジェクトパッケージャーをObject Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクトパッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクトパッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer 2003 のみである。マイクロソフトの評価：重要

MS12-003:
CSRSS 特権昇格の脆弱性

クライアント/サーバ･ランタイム･サブシステム（CSRSS）は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズやスレッドの作成・削除の役割を担っているが、CSRSSはローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。マイクロソフトの評価：重要

MS12-005:
マイクロソフトのClickOnceコード実行の欠陥

マイクロソフトのClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。マイクロソフトの評価：重要

MS12-006:
SSL/TLSプロトコルの脆弱性（BEAST攻撃）

去年9月、Ekoparty セキュリティコンフィレンスにて、研究家達がBEAST SSL/TLS攻撃のデモを行った。BEASTは［Browser Exploit Against SSL/TLS］の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006 アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。マイクロソフトの評価：重要
解決方法： マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで［影響を受けている（または受けていない）ソフトウェア］の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。

次のリンクは、各セキュリティアドバイザリの［影響を受けているソフトウェアと受けていないソフトウェア］の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。

解決策：
ウォッチガードユーザ専用攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
日本語版セキュリティアドバイザリ一覧
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

アドビ、Reader と Acrobat の更新プログラムをリリース 2012年1月11日

ウォッチガード — Mon, 16 Jan 2012 15:14:23 +0900

アドビ、Reader と Acrobat の更新プログラムをリリース
2012年1月11日

コーリー・ナクライナー
概要：

対象：
ウィンドウズ、Mac、UNIXで使用している Adobe Reader、Acrobat X 10.1.1、それ以前のバージョン
悪用方法：
故意に作成した PDF ドキュメントをユーザに閲覧させる
影響：
攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
対策：
ウィンドウズユーザは、アドビの Reader や Acrobat X 10.1.2 または 9.5 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる

詳細：
今月のパッチデーで、アドビはAdobe ReaderとAcrobat X 10.1.1（それ以前のバージョンも対象）で発見された6つのセキュリティ脆弱性について説明したセキュリティアドバイザリをリリースした。アドビはそうした欠陥の技術詳細を説明していないが、ReaderやAcrobatコンポーネント内に見られる問題はメモリ破損関連が大方だ。故意に作成された PDF ファイルをユーザが開くように攻撃者が誘導した場合、攻撃者はこうしたタイプの問題を悪用し、ユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。過去に掲載した記事でも説明したが、定例外にリリースされたアドビの更新プログラムはReaderとAcrobat 9.4.6 およびそれ以前のバージョンにあった2つのゼロデイ脆弱性を修正している。こうしたゼロデイ欠陥は Reader とAcrobat X にも影響を与えているが、アドビは実社会での悪用においては、Xに搭載している保護機能でこの欠陥の悪用を防げると見ていたため、その時点でX対象の更新プログラムをリリースしなかった。しかし、今回リリースされたReaderの更新プログラムは ReaderとAcrobat Xで見られる2つの未解決問題を修正している。 【アップデート】アドビが公式にセキュリティアドバイザリを公開してから、無所属の研究家達や組織らが欠陥詳細に関する情報をシェアしている。技術面に精通しているセキュリティプロで、問題の詳細を知りたいならば次のセキュリティメーリングリストに登録するといいだろう：FullDisclosure / Security Focus
解決方法：
アドビはReaderやAcrobat X 10.1.2（レガシーユーザ対象の9.5も含む）を対象とした更新プログラムをリリースしており、こうした問題を修正できるようにしている。状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア・アップデート機能に任せることをすすめる。

Adobe Reader X 10.1.2

Windows
Mac

Adobe Acrobat X 10.1.2

解決策：ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは、PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。大抵、ただ GAV サービスを有効にしておくだけで、このように有名で一般的に見られるセキュリティ脅威からネットワークを守ることができる。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ･ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することができる。

XTM アプライアンス + WSM 11.x

Firebox X Edge + 10.x

Firebox X Core & X Peak + Fireware 10.x

ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

B333437

ウォッチガード — Thu, 05 Jan 2012 11:20:04 +0900

Build番号:333437
対象機器: 2 Series、330、5 Series、8 Series、1050、2050

BUG63764: If the packet size is between 1507 and 1538, it can't pass through the BOVPN
⇒ パケットサイズが1507から1538の間のサイズだとBOVPNのトンネル経由で通信負荷だった点を解消しました。

BUG63231: increased cluster sync timeout to avoid synchronization failures when a module in the Firebox is slow to respond.
⇒クラスター機能利用時、XTMの応答が何らかの理由で遅い際に同期に失敗していた点を解消しました。

BUG64589: ICMP not being redirected anymore after upgrading from 11.4.2 to 11.5.1
⇒11.4.2から11.5.1へのファームウェアアップグレード後、ICMPリダイレクト機能が動作しなかった点を解消しました。

ウォッチガード、中小企業向けの新しいセキュリティ･アプライアンスを発表

ウォッチガード — Sun, 01 Jan 2012 10:30:00 +0900

2012年2月1日

プレスリリースの
PDFダウンロード

ウォッチガード、中小企業向けの新しいセキュリティ･アプライアンスを発表
WatchGuard XTM 33が次世代セキュリティ機能を中小企業へ提供

ゼロデイ脆弱性を修正するReaderと Acrobat のセキュリティ更新プログラム 2011年12月16日

ウォッチガード — Wed, 21 Dec 2011 14:11:45 +0900

ゼロデイ脆弱性を修正するReader と Acrobat のセキュリティ更新プログラム
2011年12月16日
　
コーリー・ナクライナー

概要：

対象：
ウィンドウズ / Mac / UNIX で使用している Adobe Reader、Acrobat 9.x、それ以前のバージョン（厳密にいえば Readerへの影響もあるが、悪用しにくい）
悪用方法：
故意に作成した PDF ドキュメントをユーザに閲覧させようとする
影響：
攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
対策：
ウィンドウズ･ユーザは、アドビの Reader や Acrobat X9.4.6 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる

詳細：
過去に掲載した記事でアドビの Reader にあるゼロデイ脆弱性を利用して攻撃者達が特定の業界に攻撃を仕掛けていると警告した。攻撃者達は故意に細工した PDF ファイルをメールに添付し、対象を絞り込んだフィッシングメールで攻撃は仕掛けているのだが、ユーザがその PDF ファイルを開いてしまうと、これまで知られていなかった脆弱性を攻撃者が利用してユーザの特権を使い、ユーザのコンピュータでコードを実行することが可能になってしまう。アドビは、今週内にそのゼロデイ問題に対応する更新プログラムをリリースすると約束しており、今日、そのプログラムが公開された。このセキュリティアドバイザリによると、定例外にリリースされたこの更新プログラムは一般環境下で攻撃者達が悪用したことがある2つのセキュリティ脆弱性を修正しているという。アドビはこれまでと同様に欠陥の詳細については説明していないが、Reader や Acrobat のコンポーネントであるU3D や PRC コンポーネントとのメモリ破損に関係しているとは述べている。先にも説明したが、故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこの問題を悪用してユーザの特権でコードを実行できるようになる。また、ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようになる。 解決方法： アドビは、ウィンドウズ･システムに見られるこうした脆弱性を修正するウィンドウズ用の Reader や Acrobat 9.4.6 をリリースしている。Mac や Unix など別のプラットフォームで使用している Reader のバージョンも、こうした問題の影響を受けやすいのだが、アドビはそれらを対象とする更新プログラムは 2012年1月10日に予定されている次回の更新プログラム・リリース日まで用意する予定はないという。また、最近の Reader や Acrobat X (10.1.1) バージョンも、これに対して脆弱なので注意が必要だ。とはいっても、アドビは保護機能が搭載されているXバージョンでこうした欠陥を攻撃者が悪用することはないだろうと見ている。それでもアドビは 1 月に Reader X のセキュリティ更新プログラムをリリースする予定だという。ウィンドウズ版の Reader や Acrobat 9.x のユーザは、次のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる。

Adobe Reader 9.4.6

Windows

Adobe Acrobat 9.4.6

Windows

解決策：ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上、この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックとして PDF ファイルをスキャンできる点を覚えておこう。多くの場合、ただ GAV サービスを有効にしておくだけで、有名で一般的なセキュリティ脅威からネットワークを守ることができるのだ。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ･ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することが可能だ。

XTM アプライアンス + WSM 11.x

Firebox X Edge + 10.x

Firebox X Core & X Peak + Fireware 10.x

ステータス：
アドビは特定のウィンドウズ・システムで見られる脆弱性を修正するセキュリティ更新プログラムをリリースしている。また、アドビはこの他のセキュリティ更新プログラムを 1 月にリリースする予定だ。
参考資料：

この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正 2011年12月15日

ウォッチガード — Wed, 21 Dec 2011 14:05:51 +0900

WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正
2011年12月15日
コーリー・ナクライナー
危険度：高
2011年12月15日

概要：

対象：
WatchGuard System Manager (WSM) v11.5.1
悪用方法：
故意に作成したリンクをユーザがクリックするように誘導したり、細工した悪質なネットワーク・トラフィックをXTMアプライアンスを介して送信し、ウォッチガードのウェブUIにあるログ結果を見せるなど、攻撃方法は複数ある
影響：
最悪の場合は、攻撃者がユーザのブラウザで特権を昇格させた状態でコードを実行、場合によっては、ユーザのウェブ･ブラウザをハイジャックする可能性もある
対策：
都合がつき次第、[WSM 11.5.1 Update 1] をインストールすることをすすめる

詳細：
数週間前、ウォッチガードは [Fireware XTM OS] と [WatchGuard System Manager (WSM) v11.5.1] をリリースした。それには、新たにデザインした [Log and Report Manager Web UI] もあり、ロギングやレポートのインターフェイスを大きく改善、これまでに比べ、そのスピードと使い勝手が大幅に向上した。しかしWSM v11.5.1をリリースしてすぐに、 [Log and Report Manager Web UI] に影響を与えるセキュリティ問題が発見された。そのうち非公開に報告されたものは2件、社内で発見したものは2件あった。[WSM v11.5.1 Update 1] は、それら4件すべてのセキュリティ問題を修正している。

BUG 64549:
ログ･メッセージの頑固なXSS 脆弱性(CVE-2011-4774)

クロスサイト・スクリプティング（XSS）

Sec-1

危険度：

高

BUG 64551:
URL パラメータの反射型XSS脆弱性(CVE-2011-4774)

[Log and Report Manager Web UI] は、特定のURLパラメータに入力された情報も、適切にサニタイジングしていない。細工した悪質なリンクをユーザがクリックするように誘導したり、URLパラメータを傍受したり変更したりすることで、攻撃者は欠陥を悪用して別のXSS脆弱性を誘発させることができる。この欠陥による影響力は、先に説明したものと同じだ。攻撃者は、これを利用してウェブ・クッキーを盗んだり、ユーザのウェブ・セッションをハイジャックしたり、[Log and Report Web UI] でユーザのように動きが取れるようになる。この攻撃は、ユーザが有害なリンクをクリックした時に限り一度だけ起きるので反射型XSS欠陥であるといえる。

Sec-1

危険度：

中

Nessus報告による危険性の低い2つの脆弱性

社内テストで Nessus スキャンをかけた結果、マイナーなセキュリティ問題2件を [Log and Report Web UI] で発見した。この問題の詳細については、次のリンクを参照：

Nessus Plugin ID 49067: CGI Generic HTML インジェクション
Nessus Plugin ID 55976: Apache HTTP Server Byte Range DoS

どちらのケースにおいても、ユーザのWSMサーバは XTM アプライアンスで保護しているため、外部の攻撃者が、このようなマイナーな欠陥を悪用する可能性は低い。これによるリスクは実に低いものと我々は見ているが、それでもできる限り早急に Update 1を取り入れることをすすめる。

危険度：

低

解決方法：
[WSM v11.5.1 Update 1] は、4件すべてのセキュリティ問題を修正している。XTMアプライアンスでWSM v11.5.1をインストールした管理者は、都合がつき次第 Update 1をダウンロードし、インストールしておくことをすすめる。
FAQ: 他のウォッチガード製品への影響は？
ありません。我々が知る限り、この脆弱性が影響しているのは新しい [WSM v11.5.1 Log and Report Manager Web UI] のみです。
脆弱性は？
こうした4つの脆弱性の中で、もっとも悪質なのはクロスサイト・スクリプティング（XSS）脆弱性で、ウォッチガードのウェブ UI 環境下で攻撃者がユーザのウェブ・ブラウザでスクリプトを実行できるようにするものです。概して攻撃者達はXSS攻撃を利用して、ユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトにユーザを誘導したり、脆弱なウェブサイトでユーザとして動きを取れるようになります。場合によっては、攻撃者が XSS 攻撃を利用して、ユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることもできます。とはいっても、攻撃者達がこれを利用し、ユーザのXTMアプライアンスへのアクセス権を獲得したり、ファイアウォールのルールを変更したりすることはできません。
この脆弱性はかなり深刻ですか？
XSS脆弱性2件はかなり深刻であると我々は捉えています。けれど、攻撃者が実社会において欠陥を悪用することを限定する要因もいくつかあります。概してXSS欠陥は非常に危険なものです。[Browser Exploitation Framework (BeEF)] のようなツールは、攻撃者が簡単なXSS欠陥を利用して、ユーザのブラウザを大きくコントロールし、ユーザのコンピュータにおいても、その力が及ぶ可能性があることを例証しています。とは言うものの、XSS 脆弱性を悪用するには攻撃者達がユーザそしてその組織について十分な情報を把握していなければなりません。特に、ユーザがWSM v11.5.1サーバを管理しているということを知っておく必要があるほか、ユーザにリンクをクリックさせるように誘導したり、ウェブUIにある特定のログ・メッセージをユーザが閲覧するようにしなければならないため、これは対象を絞り込んだ攻撃であるといえるでしょう。ちなみに、こうした欠陥は攻撃者にユーザのXTMアプライアンスへのアクセス権を与えることはしません。とはいっても、セキュリティ会社のウォッチガードとしては、弊社製品におけるあらゆる種類の脆弱性を非常に深刻に捉えていますので、ユーザの皆様には [WSM v11.5.1 Update 1] をできる限り早急にインストールいただくよう、おすすめしています。
Update 1をインストールする他に、回避策はありますか？
とくにありません。悪質なフィッシング・リンクをクリックしなければ、攻撃者がこの反射型XSS攻撃を悪用することはできません。とはいっても、実に腕の立つセキュリティのプロでさえ、時々間違ったリンクをクリックしてしまうことはあります。XTMアプライアンスで、受信用トラフィックを一切許可していなければ、攻撃者は細工した悪質なメッセージでユーザのログファイルに罠を仕掛けることはできないかもしれません。ただ、大方の組織では少なくともメール・トラフィックを許可するポリシーがあるので、それだけでも外部攻撃者がユーザのログを破損させる可能性につながります。このため、ウォッチガードでは [WSM v11.5.1 Update 1] をインストールし、問題を修正することをおすすめしています。
ホットフィックスを入手するには？
現在、ウォッチガードのサポートセンターにある [Articles & Software] で [WSM 11.5.1 Update 1] を入手することができます。XTMアプライアンスは [Management Software] にあります。
どうやって問題を発見したか？
脆弱性4件中2件は、Sec-1 (@Sec1Ltd) のウェイン・マーフィー氏が発見し、未公開の状態でウォッチガードがその報告を受けました。この場をお借りして、弊社お客様の安全維持にご協力頂いたマーフィー氏に感謝申し上げます。また、他2件は社内で発見しました。
この脆弱性が一般環境下で悪用されている兆しはありますか？
ありません。現時点において、この脆弱性が一般の環境下で悪用されているという兆しはありません。また、今後その可能性は大きくないと我々は見ています。
他にも質問がある場合は、ウォッチガードの誰に連絡をすればいいですか？
この問題に関して他に質問がある場合、またはウォッチガード製品関連その他セキュリティについて懸念があれば、次の連絡先までお問い合わせください。
コーリー・ナクライナーCISSP

シニア・ネットワーク・セキュリティ・ストラテジスト
WatchGuard Technologies, Inc.

http://www.watchguard.com（本社）
http://www.watchguard.co.jp（日本）

corey.nachreiner@watchguard.com

B332728

ウォッチガード — Mon, 19 Dec 2011 16:44:26 +0900

■対象機器: XTM 2050, 1050, 8-series, 5-series, 330, 2-series

BUG62883: warning information in start information

⇒XTM起動時に表示される警告メッセージを修正しました。

BUG64465: Kernel crash on XTM8 EIP:0060:[ e0f1e711] Tainted: P VLI

⇒XTM8 Seriesで発生するカーネルクラッシュ(EIP:0060)を修正しました。

BUG63683: Stack trace on XTM8 A/A Master Firebox after 3 days

⇒HA Active/Active利用時のスタックトレースを修正しました。

BUG63588: no default route added after configure external interface.

⇒Externalインターフェース修正後、デフォルトルートが消えてしまう件を修正しました。

BUG62535: the link monitor doesn't work for ping target

⇒マルチWAN機能利用時、Ping監視によるフェイルオーバー機能を修正しました。

BUG64251: When 10-20Mbits/s UDP traffic pass through BOVPN tunnel, kernel call trace and master crash.

⇒UDPトラフィックが10～20Mbps以上BOVPNのトンネル経由する際、カーネルクラッシュしてた点を修正しました。

BUG64280: SNAT load balance - server states toggle between "online" and "offline"

⇒SLB（サーバロードバランス）機能にて、バランス対象となっているサーバに対しての監視を修正しました。

BUG63136: HTTP downloads stalling with HTTP proxy and IPS enabled

⇒HTTP ProxyルールにてIPSが有効になっている際、大容量のHTTPダウンロードを実行すると失敗または

パケットロスにて時間が掛かる点を修正しました。

BUG64292: Dynamic NAT per Policy needs Secondary IP listed on Interface which is NATing

⇒ポリシー単位にてダイナミックNATを設定する際にセカンダリIPの設定が必要だった点を修正しました。

ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正 2011年12月13日

ウォッチガード — Mon, 19 Dec 2011 14:23:19 +0900

ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正
2011年12月13日

コーリー・ナクライナー
カーネルモード･ドライバ、Windows Media Player、Active Directory、その他
危険度：高

概要：

対象：
現バージョンのウィンドウズと搭載されているコンポーネント
悪用方法：
有害なウェブサイトにユーザを誘導したり、罠を仕掛けたファイルを開くように仕向けるなど、様々な攻撃方法がある
影響：
結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
対策：
状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる

詳細：
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響を与えている 7 つの脆弱性について、セキュリティアドバイザリを7 件リリースした。各脆弱性の対象となるウィンドウズ・バージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用しユーザのウィンドウズ PC を完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り：

MS11-087:
カーネルモード･ドライバ TrueType フォント解析の脆弱性

カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素となる部分だ。ウィンドウズには様々なカーネルレベルのデバイスを処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。しかし、カーネルモード･ドライバは TrueType フォントを適切に解析できないことから、入力確認における脆弱性の影響を受けている。有害なウェブサイトにユーザを誘導したり、特別に細工したドキュメントを開かせたり、悪質なプログラムを実行させるように導くなどして攻撃者は欠陥を悪用し、ユーザのウィンドウズ・コンピュータを完全に操作できるようになる。

今現在、攻撃者達はDuquマルウェアを使ってこの脆弱性を一般環境下で悪用している。一般的な悪用方法として見られるのは、攻撃者が有害な Office ドキュメントをメールに添付させた [スピアフィッシングメール] を送信する方法だ。添付ファイルはTrueTypeの処理機能で見つかった欠陥を利用し、悪質な Duqu ワームをユーザのコンピュータに入れることができる。こうした理由から、できる限り早急に更新プログラムを取り入れることをすすめる。マイクロソフトの評価：深刻

MS11-090:
タイムリモートのコード実行問題（+ActiveX kill bits）

このセキュリティアドバイザリは、ウィンドウズのマイクロソフト・タイムコンポーネントで実行されるリモートコードを修正している。マイクロソフトは、このタイムコンポーネント問題について詳細を説明していないのだが、タイムコンポーネントの [バイナリビヘイビア] を不適切に使用してしまうとシステム状態の破損につながる可能性があり、その場合は攻撃者がコードを実行しユーザのコンピュータを完全に操作できるようになる可能性があるという点については説明がされている。もちろん、攻撃者がこの欠陥を悪用するには、まず細工したサイトにユーザを誘導しなければならない（もしくは攻撃者の有害なサイトにリンクしている正当なサイトへの誘導が必要）。この欠陥はウィンドウズのコンポーネントに影響を与えているが、 Internet Explorer (IE) がコンポーネントとの相互作用をする点にも関与している。幸い、この欠陥の影響を受けやすいのは IE 6 とそれ以前のバージョンに限り、最近のバージョンを使用している場合においては問題ないだろう。とはいっても、ウィンドウズのタイムコンポーネントに欠陥があるため、そのアップデートをしておくことをすすめる。マイクロソフトの評価：深刻

MS11-092:
Windows Media Player DVR-MS メモリ破損の脆弱性

ウィンドウズ・バージョンには（XP / Vista / 7）、Media Player やメディアセンターを搭載しているものもある。それは便利なインターフェースを通じてユーザのメディアを整理したり閲覧したり聴けるようにするものなのだが、Media Player は特別に細工されたマイクロソフトのデジタルビデオ録画 (.dvr-ms) のメディア・ファイルを適切に処理できず、メモリ破損の脆弱性の影響を受けている。細工した.dvr-ms ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用し、そのユーザの特権で悪質なコードを実行できるようになる。ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトの評価：深刻

MS11-093:
OLE リモートのコード実行問題

オブジェクトのリンクと埋め込み（OLE）は、ウィンドウズが特別な複合文書を処理できるようにするプロトコルだ。そうした文書には、別のフォーマットと種類のドキュメントにつながる埋め込みリンクが含まれている。

しかし、OLE は文書内にある細工済み OLE オブジェクトを適切に処理できない点に関与する、未特定のオブジェクト処理欠陥の影響を受けている。攻撃者が細工したドキュメントをユーザが開くと、攻撃者は欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトのOfficeドキュメントや第三者による様々なファイルには、この欠陥を悪用するために使われる OLE オブジェクトを入れることが可能だ。マイクロソフトの評価：重要

MS11-095:
Active Directory バッファオーバーフローの脆弱性

ウィンドウズ用の集中認証や認証サービスである Active Directory (AD) は、ウィンドウズ･サーバ版に搭載されているのだが、AD は特別に細工されたクエリを処理できない点に関与するバッファオーバーフロー問題の影響を受けている。細工したプログラムを実行すると、ローカル攻撃者は欠陥を悪用してユーザの AD サーバでコードを実行し、そのコンピュータを完全に操作できるようになる。しかし、攻撃者がこの欠陥を利用するには有効なドメインユーザのクレデンシャルが必要となるため、その危険性は大幅に低下するので、この脆弱性は主に内部脅威であるといえるだろう。マイクロソフトの評価：重要

MS11-097:
CSRSS 特権昇格の脆弱性

クライアント/サーバ･ランタイム･サブシステム（CSRSS）は、ウィンドウズに不可欠なコンポーネントであり、コンソールウィンドウズ、スレッドの作成・削除の役割を担っている。攻撃者が特別に細工したアプリケーションを実行すると、攻撃者は欠陥を利用して特権昇格 (EoP) を行ったり、ユーザのウィンドウズ・マシンで SYSTEM レベルのコントロール権を自分のものにすることができる。しかし攻撃者がそのプログラムを実行できるようにするには、まずユーザのウィンドウズへ有効なクレデンシャルを使ったローカルアクセス権が必要となるため、この脆弱性によるリスクは大幅に低下する。マイクロソフトの評価：重要

MS11-098:
カーネル特権昇格の脆弱性

カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素な部分だが、ウィンドウズ・カーネルは特権昇格(EoP)問題の影響を受けている。先の CSRSS と似たように、細工したプログラムを実行すると認証済みの攻撃者は欠陥を悪用してユーザのウィンドウズ・コンピュータを完全に操作できるようになる。しかし、この問題においても攻撃者は有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権が必要となる。ちなみに、この欠陥においてウィンドウズの 64-bit や Itanium 版への影響はない。マイクロソフトの評価：重要
解決方法： マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意：日本語版をダウンロードするには [Change Language:] と表記されたドロップダウンから [Japanese] を選択すること。 MS11-087:

MS11-090:

* Server Core インストールへの影響なし MS11-092:

MS11-093:

MS11-095: Active Directory 更新プログラム:

Windows Server 2003 x64 (w/SP2)

MS11-097:

MS11-098:

解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくるが、適切に設定してあるファイアウォールならば、こうした問題によるいくつかのリスクを緩和させることが可能だ。また、欠陥を悪用するために必要なコンテンツには、WatchGuard のプロキシポリシー設定でブロックできるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ一覧

この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

Officeのセキュリティ更新プログラム（5）主に処理関係の脆弱性を修正 2011年12月13日

ウォッチガード — Mon, 19 Dec 2011 14:06:21 +0900

Office のセキュリティ更新プログラム（5）- 主に処理関係の脆弱性を修正
2011年12月13日
コーリー・ナクライナー

概要：

対象：
現バージョンのマイクロソフトOfficeやPublisherなどの関連製品（Windows/Mac 版）
悪用方法：
悪質に細工された Office ドキュメントをユーザが開くように誘導するのが一般的
影響：
攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策：
状況に適した Office セキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすることをすすめる

詳細：
今日、マイクロソフトはセキュリティアドバイザリを5件公開し、ウィンドウズや Mac 版のマイクロソフトOffice で見つかった 9 つの脆弱性について説明した。マイクロソフトPublisherや、その他のOfficeコンポーネントなどの関連製品も対象となっている。特に影響を受けているOfficeアプリケーションやコンポーネントは次の通り:

Word
Excel Viewer
Powerpoint
Publisher
オプション機能のOffice インプットメソッドエディター (IME) - 中国語のピンイン対象

5件中4件の Office セキュリティアドバイザリは、様々なコード実行問題について説明している。いずれも Office やその様々なアプリケーションが異なる種類のドキュメントを処理する方法に関与している。欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じである。攻撃者は、悪質に細工された Office ドキュメントをユーザがダウンロードし開くように誘導すると、様々な脆弱性を悪用する。大方、攻撃者はそのユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類だ。影響を受けているOfficeドキュメントの種類は Word / PowerPoint / Excel / Publisher である。 5 件目のOfficeセキュリティアドバイザリは、他に比べて危険度がいくらか低い脆弱性について説明しており、その問題の影響を受けているOfficeユーザはごく一部だ。この問題は、オプション機能の Office インプット・メソッド・エディター (IME) - （中国語のピンイン版）を使用しているユーザを対象としている。IME はアルファベットを表示するキーボードを使っているユーザが Office やウィンドウズでアルファベット以外の言葉を入力できるようにするオプションのコンポーネントである。しかし残念ながら、中国語のピンイン版のOffice IMEは特権昇格(EoP)問題の影響を受けている。有効なウィンドウズ・クレデンシャルを使って攻撃者がユーザのコンピュータへのローカルアクセス権を入手した場合、攻撃者は特別に細工したプログラムを実行し、ユーザのコンピュータの完全SYSTEMレベルの特権を手に入れることが可能になる。もちろん、攻撃の対象となるのは中国語のピンイン版 IME をインストールしているユーザのみであり、攻撃者がこの問題を悪用するには有効なログインが必要となる。それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリから「脆弱性の詳細」を参考にすることをすすめる：

MS11-089:Office (Word) のコード実行問題：　重要
MS11-091:Publisherのコード実行問題（複数）：　重要
MS11-094:PowerPoint のコード実行問題：　重要
MS11-096:Excelのコード実行問題：　重要
MS11-088:マイクロソフトOffice IME （中国語）を対象とした特権昇格の脆弱性：　重要

解決方法：
マイクロソフトは、こうした問題をすべて修正できる Office の更新プログラムをリリースしているので、できる限り早急に状況に適した更新プログラムをネットワーク全体にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択:　 MS11-089:

MS11-091:

MS11-094: Powerpoint：

MS11-096: Excel：

MS11-088:

解決策：ウォッチガードユーザ専用
WatchGuard のアプライアンスには受信用のOffice ドキュメントがネットワークに入り込まないようにすることができるものも多々ある。しかし、大方の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしてもOfficeドキュメントが必要というのでなければ、更新プログラムをインストールするまで Firebox のプロキシを使い、Officeファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっているOfficeドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。

XTM アプライアンス + WSM 11.x

Firebox X Edge + 10.x

Firebox X Core & X Peak + Fireware 10.x

ステータス：
マイクロソフトは脆弱性を修正できるOffice対象の更新プログラムをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。

IEの累積セキュリティ更新プログラムで新たに3 つのセキュリティ欠陥を修正 2011年12月13日

ウォッチガード — Mon, 19 Dec 2011 13:57:18 +0900

IE の累積セキュリティ更新プログラムで新たに 3 つのセキュリティ欠陥を修正
2011年12月13日
コーリー・ナクライナー
危険度：中

概要：

対象：
現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン
悪用方法：
有害なウェブページにユーザを誘導する方法が一般的
影響：
問題による影響は多々あるが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを操作できるようになる
対策：
状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる

詳細：
マイクロソフトは、毎月恒例のパッチデーにセキュリティアドバイザリを公開し、現バージョンのウィンドウズで使用している Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで見つかった 3 つの新しい脆弱性について説明し、その危険度を「重要」と評価した。中でも深刻なのは、動作が不安定なダイナミックリンクライブラリ(DLL) のローディング脆弱性問題で、過去のアラートでも説明した問題と似ている。一言でいえば、この種類の欠陥は細工済みのDLLファイルと同じ場所にある罠を仕掛けたファイルをユーザに開かせることに関与している。罠が仕掛けられているファイルをユーザが開くと、攻撃者はそのユーザの特権を利用して有害な DLL ファイルでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はこの問題を悪用してユーザのコンピュータを完全に操作できるようになる。今回の場合は HTML ファイルによって、脆弱性が誘発されるようになっている。攻撃者が動作不安定なライブラリローディングの脆弱性をネットワークやインターネットで悪用するのは、大方困難といえる。攻撃者達は、まずユーザが自分のデスクトップに HTML ファイルや DLL ファイルをダウンロードして保存するように誘導しなければならないほか、ユーザがその HTML ファイルを開くように仕向けなければならないため、この攻撃のリスクを大きく低下させている。理論的に言えば、攻撃者が UNC や WebDAV のロケーションをユーザが自分のウィンドウズ PATH に追加するように仕向けることができれば、ネットワーク上で攻撃を仕掛けることが可能だ。とはいっても、その可能性は低いだろう。その他の脆弱性の危険性は比較的に見れば軽いもので、クロスサイトやクロスドメイン・スクリプティング (XSS) 欠陥、情報開示問題などがある。また、攻撃者が XSS 脆弱性を利用し本来ならばアクセス権を持たない他のドメインやサイトから情報を閲覧したり（クッキーなど）、別のドメインやサイトの特権を使ってスクリプトを実行したりする可能性もある。最近の攻撃者達は正当なウェブページをハイジャックし、有害なコードで罠を仕掛けたりする手口をよく使うため、その点においても注意が必要だ。通常、攻撃者達はウェブ広告や SQLインジェクション、XSS 攻撃などを通じて攻撃を仕掛けている。見覚えのあるサイトや信頼できるはずのウェブサイトでも、そのようにハイジャックされてしまえばユーザにとっては危険である。 解決方法： こうした重要な問題を修正するには、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択：

Internet Explorer 6.0

Internet Explorer 7.0

Internet Explorer 8.0

Internet Explorer 9.0

* Server Core インストールへの影響なし
解決策：ウォッチガードユーザ専用
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするには HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。
ステータス：
マイクロソフトは脆弱性を修正できるセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

B331198

管理者 — Mon, 19 Dec 2011 10:16:44 +0900

対象バージョン
Fireware XTM OS v11.5.1 B331198
WatchGuard System Manager v11.5.1 B331288

■主な新機能
・ConnectWiseとのレポート連携が可能になりました。
・Mobile VPN with IPSecがiOS対応しました。iPhone, iPad, iPod touchからセキュアにIPSecにて接続可能になりました。
・Mobile VPN with SSLがMacOS 64bitに対応しました。
・シングルサインオン(SSO）機能を利用する場合、クライアントPCへのSSOエージェントのインストールが不要になりました。
・Log Viewer、Webでの閲覧が可能になりました。詳細ログ検索も今まで以上に可能となります。
・Report Manager、Webでの閲覧が可能になりました。更にドリルダウン形式にてホスト単位での詳細レポートを出力可能になりました。
・SMTP ProxyがTLS encryptionに対応しました。
・IPv6 Ready Logo対象バージョン

WatchGuardが2012年のセキュリティ予測トップ10を発表

ウォッチガード — Thu, 15 Dec 2011 10:16:08 +0900

WatchGuardが2012年のセキュリティ予測トップ10を発表
http://www.watchguard.co.jp/press_news/2011/12/watchguard201210.html

WatchGuardが2012年のセキュリティ予測トップ10を発表

ウォッチガード — Wed, 14 Dec 2011 14:48:59 +0900

2011年12月15日

プレスリリースの
PDFダウンロード

WatchGuardが2012年のセキュリティ予測トップ10を発表

XTM 2050

管理者 — Thu, 08 Dec 2011 15:45:10 +0900