http://www.watchguard.co.jp/ 次世代型UTM＆ファイアウォール　ウォッチガード・テクノロジー・ジャパン ja Copyright WatchGuard Technology Japan 2012 http://www.rssboard.org/rss-specification アドビの定例セキュリティアップデート公開日
Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム


2012年5月8日


危険度：高

コーリー・ナクライナー
概要：

• 対象：
  Adobe Shockwave Player、Flash Professional、Photoshop、Illustrator
  
• 悪用方法：
  悪質なファイルをユーザが開くように仕向けたり、特別に細工したウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  
• 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる
  
• 対策：
  状況に適した アドビのセキュリティ更新プログラムを至急インストールするか、アドビの自動アップデート機能に任せることをすすめる
  

詳細：
今日、アドビは 4 件のセキュリティアドバイザリをリリースし、Shockwave Player、Flash Professional、Photoshop、Illustrator など、多々ある人気のソフトウェアパッケージに見られる脆弱性について説明した。
リモート攻撃者は、その中でも悪質な欠陥を利用しユーザのコンピュータを完全にコントロールできるようになる。

• APSB12-13:
Shockwave のコード実行問題(5）
Shockwaveというインタラクティブな動画のウェブコンテンツやムービーを表示することができる Adobe Shockwave Player は、4 億 5 千万台もの PC にインストールされているとアドビは報告している。
このアドバイザリは、ウィンドウズや Mac で使用しているアドビの Shockwave Player 11.6.4.634 と、それ以前のバージョンに影響している 5 つのセキュリティ脆弱性について警告している。アドビのセキュリティアドバイザリは技術詳細について触れていないが、メモリ破損の脆弱性と分類はされており、影響力はどれも同じと報告されている。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザが誘導すると、攻撃者はいずれかの欠陥を悪用し、ユーザのコンピュータでユーザの特権を使って、コードを実行できるようになる。また、ウィンドウズ・ユーザがローカル管理者 の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
アドビの評価 : 2 （30 日以内に更新プログラムを取り入れること）

• APSB12-12:
Flash Professional バッファオーバーフローの脆弱性
アドビのFlash はインタラクティブなウェブ動画のコンテンツやビデオの作成に使うプラットフォームで、 Flash Professional はFlashコンテンツを作成するために使うオーサリング環境だ。
しかし Flash Professional 11.5.1.348 と旧バージョンの Windows と Mac は バッファオーバーフロー の影響を受けている。アドビはこの欠陥の詳細について一切説明しておらず、攻撃者がどのようにこの問題を悪用するかについても説明していない。しかし、細工済みの Flash コンテンツをユーザが Flash Professional で開いた場合、攻撃者はこの欠陥を利用してユーザの特権で、そのコンピュータでコードを実行できるようになるだろう。例によって、ユーザに管理者またはルート特権が備わっている場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-11:
Photoshop TIFF 処理の脆弱性
Photoshop はイメージ編集に使う人気プログラムだが、Photoshop CS5.5（WindowsおよびMac版）は特別に細工されたTIFFイメージを適切に処理できない点、そして未特定のバッファオーバーフロー問題といった2つの脆弱性の影響を受けている。悪質なイメージをユーザがダウンロードし、それを Photoshop で閲覧するように仕向けると、攻撃者は TIFF 欠陥を悪用してユーザの特権で、そのコンピュータにてコードを実行できるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。アドビは、攻撃者が 2 つめのバッファオーバーフローの脆弱性を利用するかについて説明していない。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-10:
Illustrator のコード実行問題(5） Illustrator はアドビのベクター・ドローイング・ソフトウェアだが、未特定のメモリ破損問題（5件）の影響を受けている。アドビは欠陥の詳細について説明していないが、コード実行問題と分類はしている。これはおそらく、特別に細工されたIllustrator 互換性ファイル（イメージなど）をユーザが処理すると、攻撃者がこの欠陥を悪用しユーザの特権でそのコンピュータにてコードを実行できるようになるのではないかというのが我々の推測だ。ユーザが管理者である場合、攻撃者はユーザのPCを完全に操作できるようになる。 アドビの評価:
3 （できる時に更新プログラムを取り入れること）
アドビが先週公開したFlash Player更新プログラム をまだインストールしていない場合は、今すぐそれを取り入れることをすすめる。今回のリリースよりも、先週リリースされたその更新プログラムの方が、より深刻な問題に対応しているからだ。

解決方法：
アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムをリリースしている。次のソフトウェアいずれかを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしデプロイするか、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることをすすめる。

注意
アドビはこうしたフィックスのいくつかを有料の更新プログラム（CS6)としてのみリリースするという姿勢を取っている。有料の更新プログラムを利用するつもりがなかった場合は、このようなセキュリティ問題を検討した上で決断しなければならない。しかし、今回問題となっている製品を攻撃者らが頻繁に標的として用いない点は、前向きに考えられるところとも言えるが（(Photoshop、Illustrator、Flash Professional）、最新のセキュリティ更新プログラムをすすめないのは我々にとっても難しい。アドビがこうしたセキュリティ更新プログラムにて全バージョンを対象にしていないことは残念である。

• APSB12-13:Shockwave 11.6.5.635 にアップグレード
• APSB12-12: 最善策は有料のセキュリティ更新プログラム、 Flash Professional CS6 にアップグレードすること
• APSB12-11: Photoshop CS6 にアップグレードすること
• APSB12-10: 最善策は有料のセキュリティ更新プログラム、 Illustrator CS6 にアップグレードすること

解決策： ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用することができる。適切に設定した UTM であれば、こうした問題によるいくつかのリスクを緩和させることができる。とはいっても、ローカル攻撃を阻止することはできず、通常のHTTP トラフィックを利用する攻撃を阻止することもできないので、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
o アドビのセキュリティ･アップデート APSB12-10
o アドビのセキュリティ･アップデート APSB12-11
o アドビのセキュリティ･アップデート APSB12-12
o アドビのセキュリティ･アップデート APSB12-13
o アドビのセキュリティアドバイザリ（日本語 抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/-windows-net-framework-office-201258.html http://www.watchguard.co.jp/securityalert/2012/05/-windows-net-framework-office-201258.html セキュリティニュース Fri, 11 May 2012 15:43:06 +0900 ウォッチガード Windows セキュリティ更新プログラム
.NET Framework + Office も修正


2012年5月8日

コーリー・ナクライナー
概要：

• 対象：
  現バージョンのウィンドウズとオプションの.NET Framework コンポーネント Office とSilverlight に影響するアドバイザリ (1 件)
  
• 悪用方法：
  特別に細工したドキュメントをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  
• 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  
• 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
今日、マイクロソフトは主にウィンドウズとオプションの.NET Framework コンポーネントに影響を与えている 15 の脆弱性について 4 件のセキュリティアドバイザリをリリースした。その他にも Office と Silverlight にも影響するアドバイザリが 1 件ある。各脆弱性の対象製品のバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールできるようになる。 できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる（特に深刻と評価されているもの）。 危険性の高い問題から順番にまとめた概要は以下の通り：
• MS12-034:
Windows、Office、.NET Framework と SilverLight にも影響 普段とは異なるこのマイクロソフトのセキュリティアドバイザリは、4つのマイクロソフト製品（Windows、Office、.NET Framework、Silverlight）において、外見上異なる脆弱性を修正している。こうした製品すべてのファイルに欠陥が影響しているため、マイクロソフトはこれらをひとつのアドバイザリにまとめている。 様々なコード実行の脆弱性や ドライブバイ･ダウンロード 系の問題、ローカルの 特権昇格 の欠陥、 サービス拒否（DoS） の脆弱性などがあり、これら10 件の脆弱性は大きく異なる。アドバイザリによると、研究家または攻撃者達は更新プログラムが用意される前に 3 つの脆弱性を公表、攻撃者達は少なくとも対象が限定されている攻撃 1 つをすでに実行している。 通常のユーザにとってもっともリスクの高いのは、フォントやイメージ処理の脆弱性だろう。 TrueType フォント や EMF イメージ を処理するためにWindowsが使用するコンポーネントは複数のコード実行欠陥の影響を受けている。細工済みのイメージやTrueTypeフォントをユーザが取り扱うように仕向けることに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用し、そのユーザのコンピュータへのアクセス権を入手できる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。攻撃者はこうした悪質なフォントやイメージをウェブサイトやドキュメントまたはメールなどに埋め込むことができる。しかし、こうした攻撃方法の中には、ユーザからのインタラクションを必要とするものもある。このアドバイザリは様々な製品に見られる深刻な脆弱性を多々修正しているため、（攻撃者達がすでに一般の環境下で悪用しているものも含む）できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる。 マイクロソフトの評価：深刻
• MS12-035 :
.NET Framework 遠隔操作によるコード実行の脆弱性(2）
.NET Framework は新しいウィンドウズやウェブアプリケーションを作成するために開発者が使う ソフトウェア・フレームワーク だ。コンピュータにおいて、 シリアル化 はデータ構造やデジタル保存、トランスミッションを許可する状態のオブジェクトを変換するプロセスだが、.NET Framework はシリアル化プロセスに関与する2つのコード実行問題の影響を受けている。特別に細工したウェブサイトに .NET Frameworkをインストールし、そのサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はこうした欠陥を利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は社内で開発し実際に使用しているカスタムの.NET Framework をベースにしたプログラムにも影響を及ぼすことができるので、.NET Framework をネットワークで使用している場合は、この更新プログラムをできる限り早急に取り入れることをすすめる。 マイクロソフトの評価：深刻
• MS12-032 :
TCP/IP 特権昇格の欠陥とファイアウォール迂回問題 Windowsのネットワーキング･コンポーネントの2つがセキュリティ欠陥の影響を受けている。Windows TCP/IP スタックは、IPv6アドレスからローカル･ネットワーク･インターフェイスをバインドする方法に関与するローカル特権昇格の欠陥の影響を受けている。 特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。とはいっても、攻撃者はまず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とする。
また、Windowsのホストベースのファイアウォールはファイアウォール迂回の脆弱性の影響を受けている。Windows ファイアウォールはパケットを ブロードキャスト するアウトバウンド･ファイアウォール･ポリシーを適切に用いることができず、ユーザのWindowsコンピュータへのアクセス権を持つ攻撃者は、この問題を悪用して Windowsコンピュータに適用していたアウトバウンド・ファイアウォールのポリシーを迂回するために、これを悪用することができる。この欠陥は、外部からの攻撃者がユーザのシステムへのアクセスを得るように許可することはないが、マルウェアがユーザのシステムを感染させ、コマンドやコントロール（C&C)接続を攻撃者に返しやすくすることができる。
マイクロソフトの評価：重要
• MS12-033 :
パーティション管理の特権昇格の脆弱性
コンピュータにおいて、 ディスクパーティション はハードドライブを1つのロジカル･ストレージ・ユニット以上に分けることを意味する。 Windowsはパーティション管理コンポーネントを搭載しており、ユーザがハードドライブを分割できるようにしているが、パーティション管理は別のWindowsコンポーネント（特にプラグアンドプレイの設定管理）と相互作用する点に関与する特権昇格の問題の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。しかし攻撃者は、まず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とするため、この問題の危険性を大きく緩和させている。
マイクロソフトの評価：重要


解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。 • MS12-034
• MS12-035
• MS12-032
• MS12-033
• セキュリティ情報一覧（日本語）


解決策： ウォッチガードユーザ専用
攻撃者はユーザがローカルで実行可能ファイルを実行するように説得するなど、様々な方法で欠陥を悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、このような欠陥から自分のネットワークをしっかりと守ることをすすめる。 とはいっても、ウォッチガードのファイアウォールやXTMセキュリティアプライアンスは、こうした欠陥の多くのリスクを緩和させることができる。例えば、攻撃者はWindowsファイアウォールの欠陥を利用してホストベースのファイアウォール・ポリシーを迂回するかもしれないが、その攻撃はウォッチガードのゲートウェイ・ファイアウォールをごまかすことはできない。さらに、ウォッチガードのゲートウェイ・ウィルス対策を利用していれば、ウォッチガードのアプライアンスがユーザのコンピュータに対するマルウェア攻撃を阻止するケースもある。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
セキュリティ情報一覧（日本語）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/windows-net-framework-office.html http://www.watchguard.co.jp/securityalert/2012/05/windows-net-framework-office.html セキュリティニュース Fri, 11 May 2012 15:01:39 +0900 ウォッチガード Word / Visio / Excel でドキュメント処理の脆弱性


2012年5月8日

コーリー・ナクライナー
概要：

• 対象：
  Windows や Mac 版の現バージョンのマイクロソフト Office製品
  Visio Viewer、Office Compatibility Packs などの関連製品
  
• 悪用方法：
  悪質に細工されたOffice ドキュメントをユーザが開くように誘導するのが一般的
  
• 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
  
• 対策：
  状況に適した Office のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
マイクロソフトは、 Microsoft Office や関連コンポーネントに影響を与えている 8 つの脆弱性について 3 件のセキュリティアドバイザリをリリースした。Windows や Mac で使用している Office に影響するものや、Office Compatibility Pack や Visio Viewer といったコンポーネントに影響するものなどがある。
その他にも、マイクロソフトは Office 関連のセキュリティアドバイザリ (MS12-034) をもう1件リリースしている。この問題は、その他様々なマイクロソフト製品に影響を与えている。このアドバイザリはWindowsユーザにも影響を与えているため、ウォッチガードでは次のウィンドウズ関連のアラートでその詳細を説明する予定。Office を使用しているユーザも、その Windows アドバイザリを参照して更新プログラムを適用することをすすめる。
マイクロソフトがリリースした Office 関連のアドバイザリ 3 件は、Office が別の種類のドキュメントを処理する方法に関与する 8 つのコード実行問題について説明している。欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じだ。悪質に細工された Office ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザレベルの特権や許可権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類である。

影響を受けている Office ドキュメントの種類は次のとおり：
• Word で開く Rich Text Files (RTF)
• Excel (XLS)
• Visio (VSD, VSS, etc.)
それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリにある「脆弱性の詳細」を参考にすることをすすめる：
• MS12-029:Word RTF のコード実行問題：　緊急
• MS12-030:Excel のコード実行問題(複数）：　重要
• MS12-031:Visio Viewer のコード実行問題：　重要


解決方法：
マイクロソフトは、こうした脆弱性を修正する更新プログラムをいくつもリリースしている。 このアラートで取り上げた Office や Office 関連のコンポーネントを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。

注意：
日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」へのリンクについては、次を参照すること。

• MS12-029 - Office + Word セキュリティ更新プログラム
• MS12-030 - Office + Excel セキュリティ更新プログラム
• MS12-031 - Visio Viewer セキュリティ更新プログラム

解決策： ウォッチガードユーザ専用
ウォッチガードのアプライアンスには受信用の Office ドキュメントがネットワークに入り込まないようにすることができるものも多々あるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても Office ドキュメントが必要というのでなければ、更新プログラムをインストールするまでは Firebox のプロキシを使って Office ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっている Office ドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。
• XTM アプライアンス + WSM 11.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Edge + 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Core & X Peak + Fireware 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？

ステータス：
マイクロソフトはこうした脆弱性を修正する Office 対象の更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/word-visio-excel-201258.html http://www.watchguard.co.jp/securityalert/2012/05/word-visio-excel-201258.html セキュリティニュース Fri, 11 May 2012 13:47:28 +0900 ウォッチガード ゼロデイ脆弱性を修正する Flash アップデート


2012年5月4日

コーリー・ナクライナー
概要：

• 対象：
  すべてのプラットフォーム (Android も対象) で使用されているAdobe Flash Player 11.2.202.233 及びそれ以前のバージョン
  
• 悪用方法：
  有害な Flash コンテンツを含むウェブサイトにユーザを誘導
  
• 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  
• 対策：
  Adobe Flash Player の最新バージョン（コンピュータの場合はバージョン 11.2.202.235）をダウンロードしインストールすること

詳細：
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザ がマルチメディアのウェブコンテンツを閲覧するためにそれをダウンロードし、インストールしている。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。

今日リリースされたセキュリティアドバイザリ で、アドビはすべてのプラットフォーム (Android も対象) で使用されている Adobe Flash Player 11.2.202.233 とそれ以前のバージョンで発見された深刻な脆弱性を修正するアップデートをリリースした。

そのアドバイザリでAdobe は｢オブジェクト混乱｣の脆弱性 (CVE-2012-0779) という深刻な欠陥について説明し、現在、一般の環境下で攻撃者達がこの欠陥を悪用していると警告した。問題の詳細については触れていないが、その影響力については解説している。攻撃者が特別に細工した Flash を含む悪質なウェブサイトにユーザを誘導したり、ユーザがそうした Flash コンテンツを扱った場合、攻撃者は、この脆弱性を悪用してユーザの特権でそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

現在の時点で Adobe が確認しているのは Windowsコンピュータでこの脆弱性が悪用されたケースのみであるため、これは Windows を対象とした ｢プライオリティ 1｣レベル問題として評価されている。また、アドビはできる限り早急に（72時間以内）セキュリティ更新プログラムを取り入れることをすすめている。しかし、他のプラットフォームでこの脆弱性を利用することも可能なため、Flash を使うことができるデバイスには、できる限り早急に最新バージョンを取り入れることをすすめる。

解決方法：
アドビはこうした問題を修正する新しいバージョン Flash Player をリリースしている(11.2.202.235 はコンピュータ用のバージョン、Android 版は11.1.11x.x) 。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。Flash Player の｢サイレント･アップデート｣オプションをオンにしている場合は、このアップデートを自動的に取り入れることができる。

・ Flash Player コンピュータ用：
・ Android Flash Player の最新バージョン は Google Play からダウンロード可能（Android から直接入手可能）

注意：
Chrome には独自のバージョンの Flash が搭載されているので、 Chrome を使用している場合は、それも別個にアップデートしておく必要がある。とはいっても、大方 Chrome はセキュリティ更新プログラムを自動的に受け取るようになっている。

解決策： ウォッチガードユーザ専用
XTM アプライアンスでは HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。
ウォッチガードのプロキシではファイル拡張子 やMIMEタイプ またはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Flash ファイルを識別するいくつかの方法：

ファイル拡張子：
・ .flv - Adobe Flash ファイル（大方ウェブサイトで使用）
・ .fla - Flash ムービーファイル
・ .f4v - Flash ビデオファイル
・ .f4p - Flash ビデオ保護ファイル
・ .f4a - Flash オーディオファイル
・ .f4b - Flash オーディオブックファイル

MIM タイプ:
・ video/x-flv
・ video/mp4 （普通の Flash より使用率が高い）
・ audio/mp4 （普通の Flash より使用率が高い）

マジックバイトのパターンにより報告された FILExt.com：
・ 16進数（Hex) FLV：46 4C 56 01
・ ASCII FLV:FLV
・ 16進数（Hex) FLA：D0 CF 11 E0 A1 B1 1A E1 00

（ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意すること。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。
それでも Flash ファイルをネットワークから遮断したいというのであれば、下記の URL を参考にし、先に説明したファイルや MIME 情報を使った方法で Firebox プロキシのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x
・ FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x
・FTP プロキシでファイルをブロックするには？
・ HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x
・FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・SMTP プロキシでファイルをブロックするには？

ステータス：
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料：
2012 年 4 月 Adobe Flash セキュリティアドバイザリ
Adobe 最新のセキュリティ情報（日本語版）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/05/-flash-201254.html http://www.watchguard.co.jp/securityalert/2012/05/-flash-201254.html セキュリティニュース Wed, 09 May 2012 14:23:32 +0900 ウォッチガード http://www.watchguard.co.jp/products/xtm/detailspec/xtm-2-series.html http://www.watchguard.co.jp/products/xtm/detailspec/xtm-2-series.html 仕様 Mon, 07 May 2012 17:48:43 +0900 管理者 http://www.watchguard.co.jp/products/xtm/compare-models/xtm-2-series-test.html http://www.watchguard.co.jp/products/xtm/compare-models/xtm-2-series-test.html モデル比較 Mon, 07 May 2012 17:46:45 +0900 管理者 対象モデル: XTM21/22/23/5 Series/8 Series/1050

BUG66495: keeper can not get response from firewalld for a long time
⇒firewalldプロセスのkeeperが反応しない点を改修しました。

BUG66323: Firebox stack trace and reboot with IPS enabled.
⇒IPS有効時、スタックトレースを起こしリブートが発生する点を改修しました。

BUG65219: Unnecessary IPS/GAV signature sync
⇒Fire Cluster構成時、IPS／GAVシグネチャの同期の関する点を改善しました。

BUG66345 'firewalld' stack trace when save configuration to cluster
⇒Fire Cluster構成において設定ファイルを保存しようとするとfirewalldがスタックトレースを起こす可能性がある点を改修しました。
]]> http://www.watchguard.co.jp/support/version/cat183/build340614-xtm2122235-series8-series1050-bug66495-keeper-can-not-get/ http://www.watchguard.co.jp/support/version/cat183/build340614-xtm2122235-series8-series1050-bug66495-keeper-can-not-get/ Fireware XTM 11.4（日本語）Fireware XTM v11.4.2 CSP13 Fri, 27 Apr 2012 15:57:12 +0900 ウォッチガード 対象モデル: XTM21/22/23/5 Series/8 Series/1050

BUG65770: Both appliances reboot Acitve Passive 1050 cluster
⇒XTM1050のFire Cluster構成にて機器が自動的にリブートしてしまう可能性がある点を改修しました。 ]]> http://www.watchguard.co.jp/support/version/cat183/fireware-xtm-v1142-csp12/b338465/ http://www.watchguard.co.jp/support/version/cat183/fireware-xtm-v1142-csp12/b338465/ Fireware XTM 11.4（日本語）Fireware XTM v11.4.2 CSP12 Fri, 27 Apr 2012 15:54:18 +0900 ウォッチガード ]]> http://www.watchguard.co.jp/news_events/2012/04/10.html http://www.watchguard.co.jp/news_events/2012/04/10.html news Fri, 20 Apr 2012 09:00:00 +0900 ウォッチガード Windows セキュリティ更新プログラム
.NET Framework やAuthenticode の欠陥を修正

2012 年4月10日

コーリー・ナクライナー
危険度：高

概要：

• 対象：
  現バージョンのウィンドウズとオプションの.NET Framework コンポーネント
  
• 悪用方法：
  特別に細工した実行可能ファイルをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
  
• 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
  
• 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
今日、マイクロソフトはウィンドウズと、そのオプションの.NET Framework コンポーネントに影響を与えている脆弱性について 2 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールすることができる。
危険性の高い問題から順番にまとめた概要は以下の通り：
・ MS12-024

Windows Authenticode 署名検証の脆弱性
Windows には デジタル署名 ベースコードの Authenticode 技術が含まれており、ユーザとオペレーティング・システムがソフトウェアの整合性と評判を確認することを可能にしている。例えば、ユーザが WatchGuard （ベンダー）が署名したソフトウェアをダウンロードしたとする。そのソフトウェアが Windows の Authenticode の検証確認をパスしている場合、そのソフトウェアは実際に WatchGuard のものであり、いかなる方法においても変更が施されていないソフトウェアであると信頼することができる。
しかし、このアドバイザリが説明している欠陥は、 Windows の Authenticode 署名検証機能（WinVerifyTrust）が Portable Executable (PE) ファイルをチェックする方法に関与している。つまり、攻撃者は実行可能ファイルを悪質なものに変更した後でも、WindowsのAuthenticode検証をパスできる、特別に細工した PE ファイルを作成することができる。ユーザがそうした実行可能ファイルをダウンロードし、それを実行するように仕向けると、攻撃者は欠陥を悪用してユーザの特権を使い、そのユーザのコンピュータへのアクセス権を手に入れることができる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。しかし、大方のユーザはメールやウェブを介して勝手に送られてきた実行可能ファイルを不審に思うだろう。とはいっても、この欠陥はユーザがファイルの評判を確認できるようにするためにマイクロソフトが使っている機能を迂回するため、腕の立つ攻撃者であれば 実行可能ファイルを実行するようにユーザを納得させてしまう場合もあるだろう。こうした理由から、できる限り早急に更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-025

.NET Framework の遠隔操作によるコード実行問題
.NET Framework は、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使う ソフトウェア・フレームワーク CISSP だ。.NET Framework は特定のファンクション CISSP にパスされる、特定のパラメータを適切に確認できない点に関係したコード実行問題の影響を受けている。特別に細工したウェブサイトに.NET Frameworkをインストールしたユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用し、そのユーザの特権を使ってコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作することもできる。この欠陥は、.NET Framework エレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NET ベースプログラムにも影響している。ひとことで言うならば、サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。

・ MS12-024

・ MS12-025

解決策： ウォッチガードユーザ専用
攻撃者は、ローカルで実行可能ファイルを実行するようにユーザを説得するなど、こうした欠陥を様々な方法で悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、こうした欠陥から自分のネットワークをしっかりと守ることをすすめる。
多くの WatchGuard 製品のプロキシポリシーでは、規定設定により実行可能ファイルを阻止することができるので、ユーザがインターネットで見つけた悪質である可能性を持つ実行可能ファイルへのアクセスを回避できる。つまり、規定設定でプロキシポリシーを使えば、こうした欠陥を利用する悪質な実行可能ファイルへのアクセスを避け、それにより生じるリスクを緩和することができる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフト セキュリティアドバイザリ一覧（日本語） CISSP

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/windows-net-framework-authenticode-2012-410.html http://www.watchguard.co.jp/securityalert/2012/04/windows-net-framework-authenticode-2012-410.html セキュリティニュース Mon, 16 Apr 2012 16:47:02 +0900 ウォッチガード 複数の Office セキュリティ更新プログラム:
別のサーバ製品に影響も

2012 年4月10日

コーリー・ナクライナー
概要：

• 対象：
  Microsoft Office, Works, SQL Server, BizTalk Server 2002, Commerce Server, Visual FoxPro, Visual Basic 6.0 Runtime
• 悪用方法：
  有害なウェブサイトや URL にユーザを誘導したり、悪質な Works ファイルを開くように促すなど、様々な攻撃方法がある
  
• 影響：
  最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
  
• 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること

詳細：
今日、マイクロソフトは Office やそうしたタイプのソフトウェアで見つかった脆弱性について説明したセキュリティアドバイザリを 2 件公開した。マイクロソフトはそのうち1件を深刻、もう 1 つの問題を重要と評価している。この深刻な更新プログラムは、Office の他に下記の機能にも影響を与えている。
・SQL Server（大方のバージョン）

・BizTalk Server 2002

・Commerce Server（すべてのバージョン）

・Visual FoxPro

・Visual Basic Runtime

概要は以下のとおり：
・MS12-027:

コモン コントロールの遠隔操作によるコード実行問題
Office （上記など、その他多くのマイクロソフト製品も対象）には、マイクロソフトが Windows コモン コントロール (MSCOMCTL.OCX)と呼んでいる ActiveX コントロールの一連が搭載されている。この ActiveX ライブラリにある3つのコントロールは、未特定の遠隔操作によるコード実行脆弱性の影響を受けており、攻撃者は有害なウェブページにユーザを誘導したり、特別に作成した URL をユーザにクリックさせたりすることで欠陥のいずれかを悪用し、ユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトの更新プログラムは、脆弱な ActiveX コントロールでキルビット を設定するようになっている。現在、攻撃者達は、この脆弱性を一般環境下で悪用しているとマイクロソフトは述べており、すでに深刻なこの脆弱性のリスクをさらに高めている。このため、更新プログラムを至急取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-028:

Works 変換ドキュメント解析の脆弱性
マイクロソフトWorksは、マイクロソフト Office に似ている軽めのパッケージで、Office に比べると特性や機能が少ない。マイクロソフト Office や最近のバージョンの Works には、様々な Works ドキュメントを開けるようにする Works 変換コンポーネントが搭載されている。しかし、Works 変換機能は Works.wps ファイルを確認し解析する方法に関係する脆弱性の影響を受けていることが分った。攻撃者は、悪質に細工した .wps ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。（注意：この欠陥の影響を受けているのはOffice 2007 w/SP2 と Works 9 のみ）。
マイクロソフトの評価：重要

解決方法：
マイクロソフトは脆弱性を修正する更新プログラムをいくつもリリースしている。 このアラートで取り上げたソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、テストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。 各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。 注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。

・MS12-027

・ MS12-028

解決策： ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って Works ドキュメントがネットワークから遮断されるように設定できるので、そういった方法でこの問題のリスクを緩和することも可能だ。しかし、そうすることで問題があるないにかかわらず、すべての Works ファイルを遮断してしまう点に注意しよう。仕事上、ネットワークの外に Works ファイルを定期的に移動させている場合は Works を遮断することは避けた方がいいかもしれない。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Works ファイル(.wps)を識別するいくつかの方法：

ファイル拡張子：
・wps - Works ドキュメント

MIME タイプ:
・application/vnd.ms-works

・application/x-msworks-wp

・zz-application/zz-winassoc-wps

マジックバイトのパターンにより報告されたFILExt.com： ・16進数（Hex)：D0 CF 11 E0 A1 B1 1A E1 00

それでも Works ファイルをネットワークから遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？



Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？



Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？


ステータス：
マイクロソフトは脆弱性を修正できる更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧） CISSP この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/-office-2012-4.html http://www.watchguard.co.jp/securityalert/2012/04/-office-2012-4.html セキュリティニュース Mon, 16 Apr 2012 15:54:55 +0900 ウォッチガード ドライブバイ･ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート

2012年4月10日

コーリー・ナクライナー

危険度：高

概要：

• 対象：
  現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン
  
• 悪用方法：
  有害なウェブページにユーザを誘導する方法が一般的
  
• 影響：
  この問題による影響は様々だが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
  
• 対策：
  状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること

詳細：
マイクロソフトはパッチデーに発表した セキュリティアドバイザリ で、現バージョンのウィンドウズで使われている Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで発見された 5 つの新しい脆弱性について説明し、その危険度を「緊急」と評価した。
これら 5 つの欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じである。これらはすべて様々なHTMLオブジェクトやエレメントを IE が処理する方法に関係した遠隔操作によるコード実行の欠陥だ。有害なウェブコードを含むウェブページにユーザを誘導することに成功した攻撃者は、こうした脆弱性のいずれかを悪用してユーザの特権を利用し、そのユーザのコンピュータでコードを実行できるようになる。通常、ウィンドウズ ユーザはローカル管理者の特権を持っているため、そうした場合は攻撃者が欠陥を悪用し、そのユーザのコンピュータを完全に操作できるようになる。
欠陥の技術詳細については、マイクロソフトのアドバイザリにある 「脆弱性の情報」 の欄を閲覧することをすすめる。しかし、技術面を別にしても IE に見られるリモートコード実行の欠陥は深刻なリスクを掲げており、攻撃者がドライブバイ・ダウンロード攻撃を開始できるようにすることがある。さらに、攻撃者は正当なウェブサイトをハイジャックし、有害なウェブコードをホストするように仕向けることがよくある。そのため、このタイプの欠陥はユーザがどのサイトを訪れようとも、影響を及ぼすことができる。IE を使用している場合は、累積修正プログラムを至急ダウンロードしインストールすることをすすめる。
解決方法：
マイクロソフトは、脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。
注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。詳細リンクは 「影響を受けるソフトウェアおよび影響を受けないソフトウェア」 の欄を参照。

解決策： ウォッチガードユーザ専用
通常、このタイプの攻撃は普通の HTTP トラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするには、HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス：
マイクロソフトはこうした脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/5ie-2012410.html http://www.watchguard.co.jp/securityalert/2012/04/5ie-2012410.html セキュリティニュース Mon, 16 Apr 2012 15:41:04 +0900 ウォッチガード Adobe Reader をアップデートまたは
悪質な可能性のある PDF を避けよう

2012 年4月10日

コーリー・ナクライナー
概要：

• 対象：
  ウィンドウズ、Mac、Linux で使用している Adobe Reader、Acrobat X 10.1.2 およびそれ以前のバージョン
  
• 悪用方法：
  故意に作成した PDF ドキュメントをユーザが閲覧するように誘導
  
• 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり
  
• 対策：
  ウィンドウズ･ユーザは、アドビの Reader や Acrobat X 10.1.3 もしくは 9.5.1 のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる

詳細：
今月のパッチデーで、アドビは利用可能なプラットフォームで使用している Adobe Reader と Acrobat X 10.1.2 およびそれ以前のバージョンで発見された 4 つのセキュリティ脆弱性について説明した セキュリティアドバイザリ をリリースした。アドビはこうした欠陥の技術詳細を説明していないが、Reader や Acrobat コンポーネント内に見られる 整数のオーバーフロー やメモリ破損に関係しているものが大方である。技術面では異なるものの、4 つの脆弱性の作用範囲と影響力はよく似ている。故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこうしたタイプの問題を悪用して、ユーザの特権を使いユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権がある場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

PDF ドキュメントを開く際に Adobe Reader を使っている場合は、この Reader の更新プログラムをできる限り早急にダウンロードしインストールすることをすすめる。

解決方法：
アドビは脆弱性を修正できる Reader と Acrobat X 10.1.3 （レガシーユーザ対象の9.5.1 も含む）をリリースしているので、状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア アップデート機能に任せることをすすめる。

Adobe Reader X 10.1.3

Windows

Mac

Linux



Adobe Acrobat X 10.1.3

Standard & Pro for Windows

Pro Extended for Windows

Pro for Mac



解決策： ウォッチガードユーザ専用
WatchGuard のアプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って PDF ドキュメントがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべての PDF ファイルを遮断してしまう点に注意しよう。社内で PDF ドキュメントを頻繁に使用している場合、これはベストな回避策ではないかもしれない。

ウォッチガードのプロキシでは、ファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。 PDF ドキュメントを識別するいくつかの方法：

ファイル拡張子：

・PDF - Adobe Reader ドキュメント

MIME タイプ:

・application/pdf

・application/x-pdf

・application/acrobat

・applications/vnd.pdf

・ text/pdf

・text/x-pdf



マジックバイトのパターンにより報告されたFILExt.com：

・16進数（Hex)：25 50 44 46 2D 31 2E

・ASCII: %PDF-1

それでも PDF ファイルをネットワークから遮断したいという場合は、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定すればいい。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。多くの場合、ただ単に GAV サービスを有効にしておくだけで PDF ベースのマルウェアからネットワークを守ることができる。



XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？



Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？



Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？



ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept) ]]> http://www.watchguard.co.jp/securityalert/2012/04/adobe-reader-pdf-2012-410.html http://www.watchguard.co.jp/securityalert/2012/04/adobe-reader-pdf-2012-410.html セキュリティニュース Mon, 16 Apr 2012 15:06:14 +0900 ウォッチガード 有効期限切れ　当日
有効期限切れ後　2週間ごとに3ヶ月間
]]> http://www.watchguard.co.jp/knowledge-base/print/livesecurityservice/ http://www.watchguard.co.jp/knowledge-base/print/livesecurityservice/ Thu, 12 Apr 2012 12:43:50 +0900 ウォッチガード Mac のマルウェア感染を避ける
OS X Java のアップデート

2012年4 月5 日
コーリー・ナクライナー

概要：

• 対象：
  OS X 10.7.x (Lion) および 10.6.x (Snow Leopard)
  
• 悪用方法：
  故意に作成した Java を含むウェブサイトにユーザを誘導する
  
• 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザの特権を持った状態で、そのユーザのコンピュータでコードを実行できるようになる
  
• 対策：
  OS X Lion 2012-001　対象の Java またはOS X 10.6 Update 7 対象の Java を至急インストールするか、アップルの自動更新プログラムに任せること

詳細：
米国時間の 4 月 4 日、アップルは OS X 10.6.x と 10.7.x. を対象にした Java セキュリティ更新プログラムについて説明したアドバイザリをリリースした。この更新プログラムは OS X の Java コンポーネントで発見された 12 件の脆弱性を修正している（数字は CVE-ID による情報）。 アップルは、各欠陥の詳細について説明をしていないが、最悪の場合に生じる影響については情報を提供している。故意に作成した Java コードを含むウェブサイトにユーザを誘導することに成功した場合、攻撃者はこうしたタイプの脆弱性を悪用し、ユーザの特権を使ってユーザの OS X コンピュータでコードを実行できるようになる。 このアップルの更新プログラムは、 オラクルが OS X ユーザ対象に 2 月にリリースした Java セキュリティ更新プログラムを含んでいるのだが、残念なことに攻撃者達はすでに一般の環境下のMacユーザに対し、こうしたJava脆弱性のひとつを使い攻撃を仕掛けている。Mac のトロイの木馬 ｢フラッシュバック ｣ は、こうした Java 欠陥やこれまでの Flash 脆弱性を利用し、すでに 600,000 台の Mac を感染させたと報告されている。このため、仕事場で Mac を使っている場合は、アップルの OS X Java のセキュリティ更新プログラムを至急インストールすることを強くすすめる。Flashback マルウェアについて、自分の Mac を調べる方法には このリンク を参照することをすすめる。
解決方法：
アップルは、こうした欠陥を修正する OS X Lion 2012-001 対象の Java と、OS X 10.6 Update 7 対象のJava をリリースしている。OS X 10.6.x または 10.7.x を入れているコンピュータを管理している場合は、こうしたセキュリティ更新プログラムをダウンロードしデプロイするか、自動ソフトウェア更新プログラムツールに任せることを強くすすめる。

解決策： ウォッチガードユーザ専用
攻撃の中には、悪質なJava バイトコード を含むウェブページにユーザが訪れることに依存しているものもある。大方のウォッチガード製品に搭載されている HTTP プロキシー･ポリシーは、Java バイトコード を規定設定でブロックするようになっているため、このような脆弱性をいくつかを緩和することが可能だ。

ステータス：
アップルは欠陥を修正する更新プログラムをリリースしている。

参考資料：
アップルのOS X：Javaアドバイザリ（3月分）

アップルのソフトウェア･ダウンロード先

アップルのセキュリティ更新プログラム

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept)]]> http://www.watchguard.co.jp/securityalert/2012/04/mac-os-x-java-2012-4.html http://www.watchguard.co.jp/securityalert/2012/04/mac-os-x-java-2012-4.html セキュリティニュース Wed, 11 Apr 2012 13:37:37 +0900 ウォッチガード 半年に一度の Cisco 定例セキュリティアップデート公開日:
DoS 欠陥を修正する IOS セキュリティ更新プログラム

2012年3月28日

コーリー・ナクライナー
概要：

• 対象：
  Cisco IOS を使用している数々のデバイス
  
• 悪用方法：
  細工したネットワークパケットを送信するなど、攻撃手段は多々ある
  
• 影響：
  IOS デバイスをリロードするように攻撃者が促し、欠陥を繰り返し悪用してサービス拒否（DoS)状態に追い込むケースがもっともよく見られる。
  
• 対策：
  Cisco IOS デバイスを管理している管理者は、状況に適した Cisco の更新プログラムを至急ダウンロードしテストしてから取り入れることをすすめる。

詳細：
一年ほど前、 Cisco は年に2 回（3 月と 9 月の第四水曜日）、セキュリティアップデートをリリースすることにした。そして今回のセキュリティアップデート公開日に Cisco はインターネットワーク･オペレーティングシステム（ IOS ）ソフトウェアを使用しているデバイスに関連する 9 つのセキュリティアドバイザリをリリースした。 IOS は大方の Cisco ルーターやスイッチで使われている オペレーティングシステム である。9 つの IOS アドバイザリの技術面や影響する IOS コンポーネントはそれぞれ異なるが、ほとんどの欠陥の作用範囲と影響力は同じだ。

特別に細工したネットワークトラフィックを IOS へ送ったり、それを経由させて送信した場合、攻撃者は大方の問題を悪用してデバイスをリロードできるようになる。また、攻撃者は脆弱性を繰り返し悪用することでユーザのルーターやスイッチで サービス拒否（DoS） 状態にさせることもできる。

今回報告された IOS アラートの全リストについては、Cisco のセキュリティアドバイザリ とレスポンスのページを参照することをすすめる。以下の IOS アドバイザリ 3 件の概要を参考に、欠陥がもたらす影響力の大まかな点を確認しておくことをすすめる。

アドバイザリ ID：cisco-sa-20120328-ssh
リバース SSH DoS 脆弱性

Cisco のセキュアシェル (SSH) コンポーネントは、リバース SSH 接続を処理する方法に関係する DoS 脆弱性の影響を受けている。特別に細工したユーザ名を使ってリバース SSH ログインを試すことで、未認証状態にある攻撃者は欠陥を悪用してユーザの IOS デバイスをリロードさせることができる。また、攻撃者は、この問題を何度も繰り返すことでユーザの IOS デバイス（ゲートウェイ・ルーターなど）をオフライン状態にすることができる。

ベースCVSS スコア : 7.8 （もっとも深刻な数値は 10）

アドバイザリ ID：cisco-sa-20120328-nat
DirectWrite DoS の脆弱性

Cisco IOS の ネットワークアドレス変換（NAT） コンポーネントは、 セッション確立プロトコル（SIP） トラフィックを処理する方法に関係する脆弱性の影響を受けている。攻撃者は特別に細工した SIP トラフィックを IOS デバイスを通じて送信することで脆弱性を悪用し、ユーザの IOS デバイスのメモリを消耗させてリロードを強制する可能性がある。ユーザがCisco IOS ルーターを使用してインターネットに接続している場合、攻撃者は脆弱性を繰り返し悪用してそのネットワークをインターネットから落とすことができる。

ベースCVSS スコア : 7.8

アドバイザリ ID：cisco-sa-20120328-ike:
IKE DoS の脆弱性

インターネットキー交換（IKE） は、 IPSec VPN トンネルをビルドする場合に必要な暗号の特性値を交渉するために開発されたプロトコルだ。Cisco IOS の IKE コンポーネントは、未特定脆弱性の影響を受けており、攻撃者はそれを利用してユーザの IOS デバイスを強制的にリロードさせることができる。攻撃者は特別に細工した IKE トラフィックを IOS デバイスに送信することで欠陥を繰り返し悪用し DoS 状態に追い込むことができる。

ベースCVSS スコア : 7.8

この他の IOS アドバイザリも、多くの場合がここで説明した欠陥と同じように深刻な DoS 欠陥を修正している。中にはコマンド認証バイパスの脆弱性もある。各アドバイザリの詳細を知りたい場合は、このアラートの｢参考資料｣の欄を参照することをすすめる。


解決方法：
Cisco は脆弱性を修正するセキュリティ更新プログラムをリリースしている。IOS ソフトウェアを実行しているCiscoデバイスを管理している場合は、Ciscoのアドバイザリにある｢Software Versions and Fixes｣と｢Obtaining Fixed Software｣を参照し、状況に適したフィックスやその入手方法を確認することをすすめる。各アドバイザリへのリンクは、このアラートの｢参考資料｣で確認できる。

全ユーザ対象：
こうした脆弱性は、通常ファイアウォールの前に設置しているルーターに影響するため、できる限り早急に Cisco のセキュリティ更新プログラムを適用することをすすめる。

ステータス：
Cisco はこうした問題を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
Cisco のセキュリティアドバイリとレスポンスのページ
Cisco リバース SSH DoS 脆弱性
Cisco IOS RSVP DoS 脆弱性
トラフィックを最適化するコンポーネントに見られる Cisco IOS DoS 脆弱性
Cisco IOS MSDP DoS 脆弱性
Cisco IOS NAT DoS の脆弱性
Cisco IOS IKE DoS の脆弱性
Cisco IOS Smart Install DoS の脆弱性
Cisco IOS コマンド認証バイパスの欠陥
Cisco IOS ゾーンベースのファイアウォール脆弱性
Cisco 日本語サイト
Cisco セキュリティ アドバイザリ

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。 （ツイッター：(@SecAdept)]]> http://www.watchguard.co.jp/securityalert/2012/04/-cisco-dos-ios-2012-328.html http://www.watchguard.co.jp/securityalert/2012/04/-cisco-dos-ios-2012-328.html セキュリティニュース Mon, 02 Apr 2012 13:31:03 +0900 ウォッチガード こちらの手順書をご確認下さい。

Watchguard System Manager（WSM）のヘルプでもご確認いただけます。
http://www.watchguard.com/help/docs/wsm/11_5-XTM/ja-JP/index.html
]]> http://www.watchguard.co.jp/knowledge-base/print/license-key/ http://www.watchguard.co.jp/knowledge-base/print/license-key/ Fri, 30 Mar 2012 13:08:31 +0900 ウォッチガード
BUG63231: cluster should avoid been blocked more than cluster monitoring timeout
⇒ クラスタのモニタリング機能を改善しました。

BUG64201: Resolved firewalld stack trace
⇒ firewalldのstack trace障害を改修しました。
]]> http://www.watchguard.co.jp/support/version/cat183/b338227/ http://www.watchguard.co.jp/support/version/cat183/b338227/ Fireware XTM 11.4（日本語）Fireware XTM v11.4.2 CSP11 Thu, 29 Mar 2012 15:23:26 +0900 ウォッチガード
BUG63867: SMTP proxy causes RFC5321 violation
⇒ SMTP ProxyをRFC5321に準拠するよう一部改修しました。

BUG63136: HTTP proxy downloads stalling with Selective ACK support and IPS enabled
⇒ Selective ACKをサポートし、HTTP ProxyにてIPSを有効にしている際の速度を改善しました。

BUG65105: Generate incorrect iptable rule for setting of BOVPN 1 to 1 NAT with IP range object
⇒ BOVPNの1to1NAT(アドレス範囲指定)にてポリシールール(iptables)が正常に生成されない点を改善しました。

BUG62883: resolved certd crashing/failure issue.
⇒ certdがエラーを発生してしまう点を改善しました。
]]> http://www.watchguard.co.jp/support/version/cat183/b336603/ http://www.watchguard.co.jp/support/version/cat183/b336603/ Fireware XTM 11.4（日本語）Fireware XTM v11.4.2 CSP10 Thu, 29 Mar 2012 15:21:50 +0900 ウォッチガード オンサイトリプレイスメントサービスはLive Security Serviceが有効であることが前提となりますので、Live Security Serviceと期間を合わせることをお勧めします。
登録方法については各代理店様にお問合せ下さい。
]]> http://www.watchguard.co.jp/knowledge-base/print/post-15/ http://www.watchguard.co.jp/knowledge-base/print/post-15/ Tue, 27 Mar 2012 15:35:59 +0900 ウォッチガード