Security Alert (2010年8月)

QuickTimeムービー処理の脆弱性：攻撃対象はWindowsユーザのみ　2010年8月13日
QuickTimeムービー処理の脆弱性：攻撃対象はWindowsユーザのみ

危険度: 中

2010年8月13日

概要:
詳細: 米国時間の8月13日、アップルは人気のメディア・プレイヤー、QuickTimeのWindows版に見られる脆弱性1つを修正するセキュリティ・アップデートをリリースした。アップルによると、QuickTimeのエラー・ロギング・コンポーネントはバッファ・オーバーフロー問題の影響を受けているという。攻撃者はユーザが有害な動画を閲覧するように誘導すると、そのバッファ・オーバーフローの欠陥を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者が欠陥を悪用して、そのWindowsコンピュータを完全にコントロールできるようになるケースは少なくない。

アップルのQuickTimeアップデートが修正する欠陥は1つだが、そのリスクは高い。QuickTimeをネットワークで使用している場合は、都合がつき次第アップデートすることをすすめる。

対策:
アップルはこのセキュリティ問題を修正するためにQuickTime 7.6.7をリリースしている。ネットワークでQuickTimeの使用を許可しているWindowsの管理者は、都合がつき次第にアップデートをダウンロードし、テストしてから導入することをすすめる。アップルのダウンロードはデフォルトでQuickTimeをiTunesにバンドルしているが、iTunesにはそれ独自のセキュリティ問題があるため、QuickTimeだけをダウンロードするオプションを選ぶことをすすめる。

ウォッチガードユーザへ:
WatchGuard製品を使って.movファイルをネットワークから遮断し、このリスクを緩和させることができる。QuickTimeは主に.movファイルの再生に使われるので、攻撃者が欠陥を悪用する際は、おそらくその種類の動画ファイルを利用することだろう。WatchGuard製品の中にはHTTPやSMTP、FTPプロキシなどを使い、拡張子別にファイルを阻止する機能もある。QuickTime動画ファイルをネットワークから遮断したい場合は、次のリンクからビデオ解説の手順を参照にすることをすすめる。但し、この方法を使うと問題のない動画ファイルも閲覧できなくなる点に注意しよう。
ステータス: アップルはこの問題を修正するアップデートをリリースしている。

参考資料:
アップルのQuickTimeアドバイザリ（8月）
アップルのソフトウェアダウンロード・リスト

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
Windowsのセキュリティアドバイザリ11件、23のセキュリティ脆弱性を修正 2010年8月10日
Windowsのセキュリティアドバイザリ11件、23のセキュリティ脆弱性を修正

対象：SMB サーバ/ XML コアサービス/ カーネルなど

危険度: 高

2010年8月10日

概要:
- 対象:
  現バージョンのWindowsとそれに搭載されているコンポーネント（Microsoft Silverlightに影響する欠陥も1つあり）
- 攻撃方法:
  細工したネットワーク・パケットを送信したり、有害なメディアをユーザが開くように誘導したりするなど、攻撃方法は多々ある
- 影響:
  結果は様々だが最悪の場合は、攻撃者がユーザのWindowsコンピュータを完全にコントロールできるようになる　
- 対策:
  マイクロソフトのパッチを至急導入するか、Widowsの自動アップデート機能に任せること
詳細:

米国時間の8月10日、マイクロソフトは11件のセキュリティアドバイザリをリリースし、Windowsとそれに搭載されているコンポーネントに影響を与えている23件のセキュリティ脆弱性について説明した。問題の脆弱性の影響力はWindowsのバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる可能性がある。次の概要では危険性の高いものから順にリストに挙げた。
- MS10-054: SMB サーバの脆弱性（3）
マイクロソフトのServer Message Block (SMB) は、ファイルやプリントシェアにWindowsが使うプロトコルだ。マイクロソフトによると、Windows SMBサーバは3つのセキュリティ脆弱性の影響を受けており、そのうち1つは攻撃者が悪質なコードを実行できるようにしてしまうという。これら欠陥は技術面では異なるが、攻撃者は同じ方法で悪用することができる。攻撃者は、特別に細工したネットワーク・メッセージをユーザに送信し、中でも悪質な欠陥を悪用して脆弱なWindowsコンピュータを完全にコントロールできるようになる。また、その他2つのSMBサーバ欠陥はサービス拒否（DoS）状態に追い込むことができる。通常、攻撃者はローカル・ネットワーク内でマルウェアを自動的に蔓延させるために、この種のSMBサーバ脆弱性を利用する。このアップデートを早急に導入することをすすめる。

マイクロソフトの評価：深刻
- MS10-049: SChannel コード実行の脆弱性
Secure Channel (SChannel)は、Secure Sckets Layer（SSL）やTransport Layer Security（TLS）認証プロトコルを実施するWindowsのセキュリティ・パッケージだ。しかし、8月10日付けのセキュリティ・アドバイザリによるとSChannelは2つのセキュリティ脆弱性の影響を受けているという。攻撃者は細工したウェブサイトにユーザを誘導し、2つのうちでも悪質な欠陥を悪用してシステム特権を完全に獲得した上でコードを実行、ユーザのコンピュータを完全にコントロールできるようになる可能性がある。このアップデートはセキュアな接続状態において攻撃者達が中間者攻撃 (MitM)に利用するTLS/SSL renegotiationの脆弱性も修正している。

マイクロソフトの評価：深刻
- MS10-051: XML Core サービスのコード実行の脆弱性
Microsoft XML (MSXML) Core サービスはXMLコンテンツを処理するWindowsのコンポーネントだが、細工された悪質なHTTPリスポンス処理に関与するメモリ破損の脆弱性の影響を受けている。攻撃者はユーザを有害なウェブサイトに誘導し、欠陥を悪用してユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全にコントロールできるようになる。

マイクロソフトの評価：深刻
- MS10-052: MP3 コーデックのバッファ・オーバーフロー脆弱性
MPEG Layer-3はMP3として知られているオーディオ・エンコーディング形式で、コンピュータなどのデジタル機器でオーディオを再生する場合の圧縮方法だ。WindowsにはミュージックファイルやビデオファイルのMP3オーディオを復号し再生する特別なコーデックが搭載されている。しかしWindowsのMP3コーデックは、細工されたオーディオファイルを適切に処理できないため、バッファ・オーバーフロー問題の影響を受けている。攻撃者は、細工済みのオーディオファイルをユーザがダウンロードし、それを再生するように誘導すると、脆弱性を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者は、そのユーザのPCを完全にコントロールできるようになる。ちなみに、この欠陥はWindows XPとServer 2003 にのみ影響している。

マイクロソフトの評価：深刻
- MS10-055: Cinepak コーデックのコード実行問題
Cinepakは、メディアのエンコーディングおよびデコーディングを可能にするコーデックで、コンピュータなどのデジタル機器でビデオを再生するためのビデオ圧縮に使う。コーデックを使ってエンコードされたビデオファイルを処理するため、CinepakコーデックはWindowsに搭載されている。しかし、WindowsのCinepakコーデックは細工されたビデオファイルを適切に処理できないため、未特定の脆弱性の影響を受けている。悪質なビデオファイルをダウンロードし、それを再生するようにユーザを誘導すると、攻撃者はこの脆弱性を悪用してユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全にコントロールできるようになる。ちなみに、この欠陥の影響を受けているのはWindowsのクライアント・バージョンのみである（XP/Vista/7）。

マイクロソフトの評価：深刻
- MS10-060: Microsoft .NET Framework とSilverlightでコード実行の脆弱性
マイクロソフトのSilverlightと.NET Frameworkは、内容豊富なウェブ・アプリケーションを作成するために開発者達の役に立つ2つのオプションのWindowsコンポーネントだ。このコンポーネントは初めからWindowsには搭載されているものではないが、多くのユーザがインストールしている。しかし、どちらのコンポーネントもコード実行の脆弱性の影響を受けており、技術面では異なるが、攻撃者は同じ方法で悪用することができ、その結果も大体のところ同じである。細工したウェブ・アプリケーションを忍ばせたウェブサイトにユーザを誘導すると、攻撃者は欠陥を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。通常通りユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。

マイクロソフトの評価：深刻
- MS10-047 & MS10-048: 複数のWindows カーネルの権限昇格とDosの脆弱性（複数）
カーネルはコンピュータのオペレーティング・システムのコア・コンポーネントだ。Windowsにはカーネルレベル・デバイスを処理するカーネルモードのデバイス・ドライバ(win32k.sys)も搭載されている。Windowsカーネルとこのカーネルモード・ドライバは、複数のサービス拒否（DoS）と権限昇格の影響を受けている。どの欠陥も技術面では異なるが、その大方の範囲と影響は同じである。細工したプログラムを実行することで、攻撃者は欠陥を利用しユーザのコンピュータをロックしたり、そのWindowsを完全に操作できるようになる。しかし、攻撃者はまず有効なクレデンシャルを使ってユーザのWindowsでローカル・アクセスをしなければならないため、そのリスクは大幅に緩和される。

マイクロソフトの評価：重要
- MS10-050: Windows Movie Maker メモリ破損の脆弱性
Windows Movie Makerは、Windowsで無料入手できるビデオ・キャプチャーや編集用のアプリケーションだ。ムービーメーカーはWindows XPや2000など旧バージョンのWindowsに搭載されていたが、最新のWindowsバージョン(Windows Vista や7)のインストールディスクには入っていない。その代わりにWindows Live Essentialsパッケージの一部として、無料でダウンロードできるオプションが提供されている。つまり、Windows XPを使用しているならばWindowsムービーメーカーを持っていることだろう。逆にWidows Vistaや7を使っている場合は、意図的にLive Essentialsパッケージでダウンロードしインストールした場合にのみ所持していることだろう。ムービーメーカーは、細工されたプロジェクト・ファイルを適切に解析できないため、メモリ破損の脆弱性の影響を受けている。攻撃者が細工したプロジェクト・ファイルをユーザがダウンロードし、ムービーメーカーやProducerでそのファイルを開いた場合、攻撃者はその欠陥を悪用し、そのユーザの特権を獲得した上でそのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。ちなみに、この欠陥はWindows 7バージョンのムービーメーカーには影響しない。

マイクロソフトの評価：重要
- MS10-058: Windows TCP/IP の脆弱性（複数）
多くのWindowsバージョンに搭載されているTCP/IPスタックは、権限昇格（EoP）やサービス拒否（DoS）の影響を受けている。細工したIPv6パケットを送信することで、攻撃者はDoS欠陥を利用し被害者のWindowsシステムが反応しないようにすることができる。しかしEoP脆弱性を悪用するのは、いくらか困難ではある。この欠陥を悪用するには、まず有効なWindowsクレデンシャルで影響を受けているシステムにログインし、細工したプログラムをローカル・コンピュータで実行しなければならない。しかし攻撃者がそれに成功すると、ログインに使ったユーザの特権にかかわらず、そのコンピュータを完全にコントロールできるようになる。

マイクロソフトの評価：重要
- MS10-059: サービスのトレース機能の権限昇格の脆弱性
Windowsにはサービスのトレース機能というコンポーネントが搭載されている。このコンポーネントは、技術的には異なるが、その範囲と影響は同じ2つの脆弱性の影響を受けている。攻撃者が有効なWindowsクレデンシャルで影響を受けているWindowsシステムでログインした場合、攻撃者はログインした際のユーザの特権にかかわらず、細工したプログラムを実行し、それを完全にコントロールできるようになる。

マイクロソフトの評価：重要

対策： マイクロソフトは、こうした脆弱性をすべて修正できるパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。また、Windowsの自動アップデート機能に任せて必要なパッチをダウンロードしインストールする方法もある。

日本語版をダウンロードするには「Change Language」で「Japanese」を選択：
MS10-054:
*　注意：Server Coreインストール・オプションを使ってインストールしたWindows Server 2008 の管理者への影響はない。

MS10-049:
*　注意：Server Coreインストール・オプションを使ってインストールしたWindows Server 2008 の管理者への影響はない。

MS10-051: Microsoft XML Core Services 3.0:
MS10-052:
注意：他のWindowsバージョンへの影響はない。

MS10-055:
注意：他のWindowsバージョンへの影響はない

MS10-060:
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista (w/SP1)
- Windows Vista (w/SP1)
- Windows Vista x64 (w/SP1)
- Windows Vista x64 (w/SP2)
- Windows Server 2008
- Windows Server 2008 (w/SP2)
- Windows Server 2008 x64
- Windows Server 2008 x64 (w/SP2)
- Windows Server 2008 Itanium
- Windows Server 2008 Itanium(w/SP2)
- Windows 7
- Windows 7 x64
- Windows Server 2008 R2 x64
- Windows Server 2008 R2 Itanium
- Silverlight 2
- Silverlight 3
MS10-047:
注意：他のWindowsバージョンへの影響はない。

MS10-048:
MS10-050: ムービーメーカー:
- Windows XP
- Windows XP x64
- Windows Vista
- Windows Vista x64 Edition
MS10-058:
注意：他のWindowsバージョンへの影響はない。

MS10-059:
注意：他のWindowsバージョンへの影響はない。

ウォッチガードユーザへ:
攻撃者は様々な方法を使い、こうした欠陥を悪用する。適切に設定されたファイアウォールは、こうした問題のいくつかのリスクを緩和させることが可能。実際にFireboxはデフォルトで（特にSMB関連の脆弱性など）ネットワーク・アクセスを必要とするマイクロソフトの欠陥を大方阻止するようになっている。また、こうした攻撃に必要なファイル種類を（.AVI/.MP3ファイルなど)ネットワークから遮断するようにFireboxを設定することもできる。とはいっても、Fireboxがローカル攻撃からネットワークを保護することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできない。このため、マイクロソフトのアップデートをインストールすることが、もっとも安全な対策といえるだろう。

ステータス:
マイクロソフトはこの問題を修正するパッチをリリースしている。

参考資料:
- マイクロソフトのセキュリティ情報（一覧）　
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
AdobeのパッチデーにFlashとColdFusionのセキュリティアップデート 2010年8月11日
AdobeのパッチデーにFlashとColdFusionのセキュリティアップデート

Readerの緊急アップデートは今月末予定

2010年8月11日

概要:
- 対象:
  Windows、Mac、UNIXで使用しているAdobe Flash Player/Flash Media Server/ColdFusion
- 攻撃方法:
  有害なウェブサイトにユーザを誘導したり、ウェブサーバに悪質なリクエストを送信するなど、攻撃方法はいくつかある
- 影響:
  影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータやサーバでコードを実行し、それを完全に操作できるようになる可能性がある
- 対策:
  Adobeのアップデートをできる限り早急にインストールするか、AdobeのUpdaterに任せること
詳細:
米国時間の8月10日、Adobeは全プラットフォームで使われているFlash PlayerやFlash Media Server、ColdFusionなど、様々なAdobe製品に影響を与えている11件のセキュリティ脆弱性に関するアドバイザリ3件をリリースした（数字はCVEによる）。その多くが深刻な問題として取り上げられている。アドバイザリの概要は次の通り。
- APSB10-16: Adobe Flash Playerセキュリティアップデート
影響を受けている製品:
‐Adobe Flash Player 10.1.53.64
‐Adobe AIR 2.0.2.12610 （およびそれ以前のバージョンも含む）

全プラットフォーム（Win/Mac/Linux/Solaris）

AdobeのFlash PlayerはFlashというインタラクティブな動画コンテンツをウェブで表示することができる。最近のSecunia統計によると、99％のWindowsコンピュータにはAdobe Flash Playerがインストールされているというので、おそらく君のユーザ達のコンピュータにも入っていることだろう。Adobeのアップデートは、Flash Playerで発見されたセキュリティ脆弱性6件を修正しているが、その技術詳細は明らかではないが、その大体の範囲と影響については説明されている。ユーザを有害なウェブサイトに誘導することに成功すると、最悪の場合、攻撃者はその脆弱性のいずれかを悪用してユーザのコンピュータを操作できるようになる。攻撃者が獲得する特権はログインしているユーザのものだけだろうと我々は推測しているが、大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者がWindowsコンピュータを完全に操作できるようになる確率は高い。

評価：深刻
- APSB10-19: Adobe Flash Media Server セキュリティアップデート
影響を受けている製品:
‐Adobe Flash Media Server (FMS) 3.5.3/3.0.5/それ以前のバージョン

プラットフォーム： Windows/Linux

AdobeのFlash Media Serverは、ウェブでFlashメディアをストリームするのに役立つようにデザインされた製品だ。しかしAdobeによると、それは未特定のセキュリティ脆弱性4件の影響を受けており、そのうち3件はサービス拒否状態に追い込むことができるという。もう1件は、リモート攻撃者がユーザのFlash Media Serverでコードを実行できるように許可してしまうというものである。残念なことに、Adobeは攻撃者がそうした脆弱性をどのように悪用するのか、その詳細については説明していない。攻撃者は、おそらく何らかの細工したリクエストをFlash Media Serverに送信するのだろうと、我々は推測している。また、攻撃者がそのコードをどのレベルの特権で実行するのかについてもAdobeは説明していないが、その評価は「深刻」になっている。詳細情報なしには、攻撃者がそれを利用してFlash Media Serverを完全に操作できるようになると推測するしかない。

評価：深刻
- APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス
影響を受けている製品:
‐Adobe ColdFusion 9.0.1

全プラットフォーム（Win/Mac/UNIX）

AdobeのColdFusionは、ウェブ・アプリケーションを開発し展開できるようにするアプリケーション・サーバだが、未特定のディレクトリ・トラバーサル脆弱性の影響を受けている。つまり、攻撃者はアクセス権を持たないサーバのディレクトリにアクセスできるようになり、機密情報にも手を付ける可能性がある。Adobeのアドバイザリは欠陥の範囲についてごく僅かな情報しか提供していないため、攻撃者がこれを簡単に利用できるのか、それとも困難であるのか見当がつかない。このホットフィックスは重要と評価されている。

評価：重要

これら3つのセキュリティアドバイザリの他に、Adobeは今月末にリリース予定のAdobe Readerのアップデートに関する情報もリリースしている。数多い中でも、このアップデートにはCharlie MillerがBlackhat 2010のセキュリティ・コンフィレンスで開示したPDF関連の脆弱性の修正も入っている。Adobeはそのアップデートを8月16日頃にリリースするだろうと我々は見ている。入手可能になり次第連絡する。

対策： Adobeは全製品においてこの問題を修正するアップデートをリリースしている。状況に適したアップデートを早急にダウンロードし導入するか、AdobeのSoftware Updaterプログラムに任せることをすすめる。
- APSB10-16: Adobe Flash Player セキュリティ・アップデート
- APSB10-19: Adobe Flash Media Server セキュリティ・アップデート
- APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス
ウォッチガードユーザへ:
攻撃者は様々な悪用方法を使い、こうした欠陥を悪用することができる。その多くは大方の管理者が許可しなければならない通常のHTTPトラフィックを利用しているため、Adobeのアップデートをインストールすることがもっとも安全な対策といえるだろう。

ステータス:
Adobeはこの脆弱性を修正するパッチをリリースしている。

参考資料:
- APSB10-16: Adobe Flash Player セキュリティ・アップデート
- APSB10-19: Adobe Flash Media Server セキュリティ・アップデート
- APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
ワードとエクセルのドキュメント解析に関与する脆弱性 2010年8月10日
ワードとエクセルのドキュメント解析に関与する脆弱性

危険度: 高

日付：2010年8月10日

概要：
- 対象:
  Windows/MacのMicrosoft Officeバージョンすべて（特にワードとエクセル）
- 攻撃方法:
  有害なOfficeドキュメントをユーザが開くように誘導する
- 影響:
  コードを実行した攻撃者は、被害者のコンピュータを完全に操作できるようになる可能性がある
- 対策:
  状況に適したOfficeのパッチを至急インストールすること
詳細:
米国時間の8月10日、マイクロソフトは2件のセキュリティアドバイザリをリリースし、WindowsおよびMacを対象としたMicrosoft Officeに搭載されているコンポーネントやプログラムで発見された5件のセキュリティ問題について説明した。報告された脆弱性の中には、Word ViewerやOffice Compatibility Packs、Open XML File Format Converter（Mac）などに影響しているものもある。各脆弱性による被害はOfficeのバージョンにより異なる。この影響を受けているOfficeのアプリケーションやコンポーネントは利用される脆弱性によって異なるが、結果は同じである。つまり、ユーザが有害なOfficeドキュメントをダウンロードし、それを閲覧するように仕向けることで、攻撃者は脆弱性のいずれかを悪用し被害者のコンピュータでコードを実行できるようになる。その場合、攻撃者はそのユーザの特権や許可権も獲得しているため、ユーザにローカル管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全に操作することが可能になる。

マイクロソフトのセキュリティアドバイザリによると、攻撃者はワード（.doc）やエクセル(.xls)を使ってこうした欠陥を悪用できるというので、受信する予定のなかったその種のドキュメントには充分に注意することが必要だ。

各欠陥の詳細については、マイクロソフトのセキュリティアドバイザリにある「詳細」を参照することをすすめる。
- MS10-056：Microsoft Office Word の脆弱性により、リモートでコードが実行される
- MS10-057：Microsoft Office Excel の脆弱性により、リモートでコードが実行される
対策：
マイクロソフトは脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてから、それをネットワーク全体に取り入れることをすすめる。

日本語版をダウンロードするには、「Change Language」から「Japanese」を選択すること。ワードのアップデート：
エクセルのアップデート：
ウォッチガードユーザへ：
ウォッチガードのFirebox製品シリーズの中には、ワードやエクセル・ドキュメントをネットワークから遮断できるように設定できるものもあるが、ビジネス上そうしたドキュメントを許可しなければならない場合もあるだろう。このため、先述のパッチを取り入れることが主な対策となるが、マイクロソフトのパッチをインストールするまでは一時的にそうした種類のファイルを阻止することも可能。ワードやエクセル、Worksドキュメントなどをネットワークから遮断したい場合は、次のリンクからビデオ解説の手順を参照にし、Fireboxプロキシのコンテンツブロック機能を使用して拡張子別にファイルを阻止することができる。
- 10.x を使用しているFirebox X Edge
- Fireware 10.x を使用しているFirebox X CoreとX Peak
ステータス：
マイクロソフトは、今回報告されたセキュリティ問題を修正するOfficeアップデートをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ：MS10-056
- マイクロソフトのセキュリティアドバイザリ：MS10-057
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
IEの累積パッチ、複数のメモリ破損欠陥を修正 2010年8月10日
IEの累積パッチ、複数のメモリ破損欠陥を修正

危険度：高

2010年8月10日

概要:
- 対象:
  現バージョンのWindowsで使用しているIEバージョンすべて
- 悪用方法:
  有害なウェブページにユーザを誘導する
- 影響:
  その影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
  状況に適したIEパッチを至急導入するか、Windowsの自動アップデート機能を使用すること
詳細:
米国時間の8月10日にパッチデーの一部としてリリースしたセキュリティアドバイザリで、マイクロソフトはWindowsの現バージョン（Windows 7やWindows Server 2008を含む）で実行しているインターネットエクスプローラ（IE）のバージョン8.0およびそれ以前のバージョンで発見された6件のセキュリティ脆弱性について説明した。マイクロソフトは、これらを深刻な問題としている。

これら6件の脆弱性は技術的には異なるものの、そのうち5件の範囲と影響は同じであり、様々なHTMLエレメントやオブジェクトをIEが処理する方法に関与する、メモリ破損の欠陥に起因している。攻撃者は、有害なウェブコードを埋め込んだウェブページにユーザを誘導することに成功すると、いずれかの脆弱性を悪用し、ユーザの特権を獲得した上で、そのコンピュータでコードを実行できるようになる。通常、Windowsユーザにはローカル管理者の特権があるが、その場合は攻撃者が欠陥を悪用すると、被害者のコンピュータを完全に操作できるようになる。

その他の脆弱性はクロスサイトまたはクロスサイト・ドメイン・スクリプティング（XSS）の欠陥から成る。攻撃者は数ある中でも、この種の脆弱性を利用して、他のドメインやサイトからアクセスできないはずのクッキーなどの情報を見たり、他のドメインやサイトの特権を備えた上でスクリプトを実行する可能性がある。

最近の攻撃者は正当なウェブページをハイジャックし、悪質なコードで罠を仕掛けるケースがよくある点に注意しよう。その場合、彼らはウェブ広告やSQLインジェクション、XSS攻撃などをよく使っている。認識しやすく正当なウェブサイトでも、ハイジャックされていればユーザにとってリスクとなる。

こうした欠陥の技術詳細を知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「詳細」を参照することをすすめる。しかし、それを別にしてもIEのメモリ破損の欠陥はそれだけでも大きなリスクだ。至急、IEの累積パッチをダウンロードしインストールすることをすすめる。

対策:
このパッチは深刻な問題を修正しているので、状況に適したIEパッチを至急ダウンロードし、テストしてから導入するか、Windowsの自動アップデート機能に任せること。ちなみに、マイクロソフトはWindows 2000およびIE 5.xのサポートを打ち切っているので、まだIEやWindowsのレガシーバージョンを使用している場合は、最新のセキュリティアップデートを入手するためにアップデートすることを強くすすめる。

日本語版をダウンロードするには、「Change Language」から「Japanese」を選択：
ウォッチガードユーザへ：
こうした攻撃は、ネットワーク・ユーザがウェブにアクセスするには許可しなければならない普通のHTTPトラフィックに見せかけて移動するため、先述のパッチを取り入れることが主な対策となる。

ステータス：
マイクロソフトはこの脆弱性を修正するパッチをリリースしている。

参考資料:
- マイクロソフトのセキュリティアドバイザリ：MS10-053
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
緊急アップデートでショートカットアイコン問題を修正 2010年8月2日
緊急アップデートでショートカットアイコン問題を修正

危険度：高

日付：2010年8月2日

概要：
- 対象：Windowsの全バージョン
- 悪用方法： 細工したショートカットをユーザにダウンロードさせたり、それを含んだディレクトリをユーザがブラウズするように仕向けるなど、様々な方法がある
- 影響：最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
- 対策：マイクロソフトが緊急リリースしたアップデートを至急取り入れるか、Windowsの自動アップデートを使うことをすすめる
詳細：
米国時間の8月3日、マイクロソフトは緊急でセキュリティアドバイザリをリリースし、Windowsの深刻な脆弱性を修正した。この問題はメディアの注意を引き、攻撃者達はワームやマルウェアを使い実際に脆弱性を悪用している。マイクロソフトはこの危険性を深刻な問題として捉えている。この脆弱性はWindows シェルがショートカット・アイコンを処理する方法に関与している（.lnkファイル）。基本的に、攻撃者は細工したショートカット・ファイル（.lnkファイル）をユーザのコンピュータに乗せることに成功すると、ユーザがWindows Explorerから悪質なショートカットを含むディレクトリに行くように誘導する。次に、攻撃者はこの欠陥を悪用し、ユーザの特権を獲得した状態でそのコンピュータで悪質なコードを実行する。大方のWindowsの脆弱性と同様に、ユーザにローカル管理者の特権があった場合、攻撃者はこの欠陥を利用してそのコンピュータを完全に操作できるようになる。

この脆弱性は、表面上では特に大きな脅威を掲げているようには見えない。最初のうちはリモートではなく、ローカル脆弱性のようだ。例えば、攻撃者はまず悪質なショートカット・ファイルをユーザのローカル・コンピュータに入れなければならない。次に、ユーザがそのファイルを含むフォルダーに行くように仕向ける必要がある。細工した.lnkファイルをユーザのコンピュータに載せるにはユーザがショートカットをダウンロードするように誘導し、ユーザのファイル・システムにリモートからアクセスできるようにする別の欠陥（それがあると仮定して）を利用しなければならない。もしくは、既存のWindowsファイル・シェアを利用して、悪質なファイルをコピーするように仕向ける方法もある（しかし、それはユーザのローカル・ネットワークとファイル・シェアに攻撃者がアクセスできる場合に限る）。こうした要因はこの欠陥のリスクの危険性を軽減させるはずだが、場合によっては攻撃者がドライブバイ・ダウンロード攻撃を通じて、この欠陥を悪用できることをマイクロソフトは知っている。攻撃者が細工したショートカットを埋め込み、悪質なウェブページを作成すると、インターネットエクスプローラを使ってユーザがそのページに行くだけで、この欠陥を誘発してしまうことになる。また、攻撃者は有害な.lnkをOffice文書に埋め込むこともできる上に、実際に出回っているマルウェアは、この欠陥には牙があることを証明している。

研究家達によると、ワームは「Stuxnet」という名称で一般に出回っており、このショートカットの脆弱性を利用してローカル・ネットワーク内で被害者を出し、そこから蔓延させているという。Stuxnetがユーザのコンピュータをどうにかして感染させると（例えば、あちこち動き回るノートパソコンのユーザがローカル・ネットワークにやってきた場合など）、コンピュータが取る行動は2つある。まず、Windowsネットワークシェアを探し、有害な.lnkファイルをそのシェアにコピーしようと試みる。そして、感染したマシンに繋がっているUSBストレージ・デバイスにも、その悪質な.lnkファイルを追加しようとする。これにより、感染したシェア・ディレクトリやUSBドライブにアクセスするユーザは全員Stuxnetに感染してしまう。USBの方法においては、もしユーザがWindows AutorunやAutoplayを備えている場合、感染したUSBストレージ・デバイスにプラグインするだけで感染してしまう。しかし、Stuxnetが最初の被害者を感染させる場合、ショートカットの脆弱性は利用していないことに注意しよう。Stuxnetは別の欠陥を悪用したり、ソーシャルエンジニアリングのトリックを使って最初の被害者を出している。但し、ネットワーク上のコンピュータ1台を感染させることに成功すると、それをローカル・ネットワークで素早く蔓延させるためにはショートカット欠陥が役に立つ。気の毒なことに、ドイツのエンジニア企業Siemens AGは、それを身をもって体験したばかりだ。

マイクロソフトによると、他のマルウェア作成者達はすでにこれに追いついており、.lnkファイルのトリックを他のワームにも使いSalityでも見られるように、似たような手法でワームを蔓延させているという。表面的には、この脆弱性の脅威はそれほど大きな危険性を備えているように見えないが、攻撃者は実社会で効果的に利用できる方法を見つけている。大規模な組織も、すでにこの欠陥を利用したマルウェアの被害者になっており、脆弱性は非常に深刻なリスクを掲げている。こうした理由から、マイクロソフトが用意しているアップデートを至急ダウンロードしテストしてから導入することをすすめる。

対策：
マイクロソフトは緊急でWindowsのパッチをリリースし、この脆弱性を修正しているので至急ダウンロードしてテストしてからネットワークに取り入れるか、自動アップデートを使うことをすすめる。注意：日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」ボタンをクリックすること。 MS10-046
ウォッチガードユーザへ：
WatchGuard製品を使って.lnkファイルをネットワークから遮断すれば、このリスクをいくらか緩和させることができる。WatchGuard製品でHTTPやSMTP、FTPプロキシを使えばファイル拡張子別にファイルを阻止することができるが、攻撃者はネットワークに.lnkファイルを忍び込ませる方法をいくつも知っているため、パッチを取り入れることが主な対策となる。

それでもWindosショートカットをネットワークから遮断したいというのであれば、次のビデオを参考にして.lnkファイルを阻止できる。但し、この方法を使うと問題のないショートカットも遮断してしまうことに注意しよう。つまり、ユーザがインターネットからショートカットをダウンロードする正当な理由はないといえる。
- 10.x を使用しているFirebox X Edge
- Fireware 10.x やFireware XTM を使用しているFirebox X Core /X Peak
ステータス：
この深刻な脆弱性はマイクロソフトがリリースしたアップデートで修正できる。

参考資料：
- マイクロソフトのセキュリティアドバイザリ：　MS10-046
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

最近の記事

月別アーカイブ