Security Alert (セキュリティニュース)

Apple OS X セキュリティ更新プログラム、クリアテキスト･パスワード問題を修正 2012年5月10日
Apple OS X セキュリティ更新プログラム、クリアテキスト･パスワード問題を修正

2012年5月10日

危険度：高

コーリー・ナクライナー
概要：
- 対象：
  現バージョンの OS X 10.6.x (Snow Leopard) および OS X 10.7.x (Lion)
- 悪用方法：
  有害なウェブサイトにユーザを誘導したり、イメージやメディアファイルを開くように仕向けるなど様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行できるようになる。また、攻撃者はこうした問題を組み合わせてユーザの Mac を任意に操作できるようにもなる。
- 対策：
  OS X の管理者は、できる限り早急に OS X 10.7.4 またはセキュリティアップデート 2012-002 をダウンロードし、テストしてからインストールするかアップルのソフトウェアアップデートに任せて必要な更新プログラムを取り入れること。
詳細：
きのう遅く、アップルはセキュリティアップデートを公開し、現バージョンのOS Xで発見された脆弱性をすべて修正できるセキュリティ更新プログラムをリリースした。このアップデートは 19 のコンポーネントで発見されたセキュリティ問題、約 36 件を修正している（数字は CVE-ID によるもの）。 Quicktime、Kernel、Time Machine その他など、様々なコンポーネントが OS X や OSX Server の一部として搭載されている。
今回修正された脆弱性のうちいくつかを下記に説明する。

• ローカルファイルボルト・パスワード情報開示の脆弱性

File Vault は Mac でファイルを暗号化する OS X コンポーネント、そして Login Window は Mac へのログインを可能にするコンポーネントだ。しかし、今週始めに研究家達はローカルでパスワードを表に出してしまうアップルの File Vault にある欠陥の情報を公開した。問題は、ユーザが OS X Lion から OS X Snow Leopard にアップグレードした場合、アップグレード・プロセスが debug flag をセットするため、クリアテキストでパスワードがローカル・ログファイルに保存されてしまうという点である。つまり、その Mac にローカルアクセス権さえ持っていれば、そのシステムにログインした誰もがそのパスワードを見ることができるようになる。今回の Login Window アップデートはこの問題を修正し、ファイルにパスワードが保存されないようにすることができる。とはいっても、すでにログに残っているパスワードを除去することはできないため、過去のパスワードを手動削除したい場合は、こちらの記事を参照することをすすめる。

• ImageIOバッファ・オーバーフローの脆弱性（複数）

ImageIO は OS Xが様々なイメージファイルタイプを処理・表示できるようにするコンポーネントだ。しかし、このコンポーネントは 4 つのセキュリティ脆弱性の影響を受けている（バッファ・オーバーフロー 2 件など）。 TIFF イメージファイルを処理する方法に関与するこの欠陥の技術面はそれぞれ異なるが、その大方の欠陥の作用範囲と影響力は同じだ。細工した悪質なイメージファイルを被害者が閲覧するように仕向けることに成功すると（有害なウェブサイトにホストするなど）、攻撃者はより深刻な方の欠陥を悪用してアプリケーションをクラッシュさせたり、被害者の Mac でユーザの特権を使って攻撃用コードを実行したりすることができるようになる。また、攻撃者はアップルのアラートで説明されている他の脆弱性を悪用して、ユーザの Mac を任意に操作できるようにもなる。

アップルのアラートは、サービス拒否欠陥や特権昇格の脆弱性、また情報開示の欠陥などその他様々なコード実行脆弱性についても説明している。今回のセキュリティ更新プログラムで修正されたコンポーネントのいくつかは次の通りだ。

詳細に関してはアップルの OS X 10.6.x と 10.7.x のアラートを参照することをすすめる。

注意
アップルは Safari のアラートとアップデートもリリースしており、Safari の Mac 版と Windows 版の両バージョンで発見された 4 つの脆弱性を修正している。攻撃者は、こうした脆弱性のうち少なくとも 1 件を利用してドライブバイ･ダウンロード攻撃を仕掛けることができるので、Mac や PC で Safari を使用している場合はバージョン 5.1.7 にアップデートするか、アップルの自動アップデート機能に任せることをすすめる。

解決方法
アップルはOS X Security Update 2012-002 と OS X 10.7.4 をリリースし、こうしたセキュリティ問題を修正している。OS Xの管理者は、できる限り早急に更新プログラムをダウンロードしテストしてから取り入れるか、アップルの自動ソフトウェアアップデート機能に任せることをすすめる。

• OS X Lion アップデート 10.7.4 (Client)
• OS X Lion アップデート 10.7.4 (Client Combo)
• OS X Lion アップデート 10.7.4 (Server)
• OS X Lion アップデート 10.7.4 (Server) Combo
• Security アップデート 2012-002 Server (Snow Leopard)
• Security アップデート 2012-002 Server (Snow Leopard)
Mac や PC で Safari を使用しているユーザはバージョン 5.1.7にアップデートすることをすすめる。

全ユーザ対象：
攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用し、中にはローカルのものもある。つまり、ユーザのぺリメターファイアウォールに気付かれずに攻撃が行われるため、セキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
アップルは欠陥を修正する更新プログラムをリリースしている。

参考資料：
• 2012年 5月　OS X セキュリティアップデート
• 2012年 5月　Safari セキュリティアップデート

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
アドビの定例セキュリティアップデート公開日 Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム 2012年5月8日
アドビの定例セキュリティアップデート公開日
Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム

2012年5月8日

危険度：高

コーリー・ナクライナー
概要：
- 対象：
  Adobe Shockwave Player、Flash Professional、Photoshop、Illustrator
- 悪用方法：
  悪質なファイルをユーザが開くように仕向けたり、特別に細工したウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したアドビのセキュリティ更新プログラムを至急インストールするか、アドビの自動アップデート機能に任せることをすすめる
詳細：
今日、アドビは 4 件のセキュリティアドバイザリをリリースし、Shockwave Player、Flash Professional、Photoshop、Illustrator など、多々ある人気のソフトウェアパッケージに見られる脆弱性について説明した。
リモート攻撃者は、その中でも悪質な欠陥を利用しユーザのコンピュータを完全にコントロールできるようになる。

• APSB12-13:
Shockwave のコード実行問題(5）
Shockwaveというインタラクティブな動画のウェブコンテンツやムービーを表示することができる Adobe Shockwave Player は、4 億 5 千万台もの PC にインストールされているとアドビは報告している。
このアドバイザリは、ウィンドウズや Mac で使用しているアドビの Shockwave Player 11.6.4.634 と、それ以前のバージョンに影響している 5 つのセキュリティ脆弱性について警告している。アドビのセキュリティアドバイザリは技術詳細について触れていないが、メモリ破損の脆弱性と分類はされており、影響力はどれも同じと報告されている。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザが誘導すると、攻撃者はいずれかの欠陥を悪用し、ユーザのコンピュータでユーザの特権を使って、コードを実行できるようになる。また、ウィンドウズ・ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
アドビの評価 : 2 （30 日以内に更新プログラムを取り入れること）

• APSB12-12:
Flash Professional バッファオーバーフローの脆弱性
アドビのFlash はインタラクティブなウェブ動画のコンテンツやビデオの作成に使うプラットフォームで、 Flash Professional はFlashコンテンツを作成するために使うオーサリング環境だ。
しかし Flash Professional 11.5.1.348 と旧バージョンの Windows と Mac はバッファオーバーフローの影響を受けている。アドビはこの欠陥の詳細について一切説明しておらず、攻撃者がどのようにこの問題を悪用するかについても説明していない。しかし、細工済みの Flash コンテンツをユーザが Flash Professional で開いた場合、攻撃者はこの欠陥を利用してユーザの特権で、そのコンピュータでコードを実行できるようになるだろう。例によって、ユーザに管理者またはルート特権が備わっている場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-11:
Photoshop TIFF 処理の脆弱性
Photoshop はイメージ編集に使う人気プログラムだが、Photoshop CS5.5（WindowsおよびMac版）は特別に細工されたTIFFイメージを適切に処理できない点、そして未特定のバッファオーバーフロー問題といった2つの脆弱性の影響を受けている。悪質なイメージをユーザがダウンロードし、それを Photoshop で閲覧するように仕向けると、攻撃者は TIFF 欠陥を悪用してユーザの特権で、そのコンピュータにてコードを実行できるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。アドビは、攻撃者が 2 つめのバッファオーバーフローの脆弱性を利用するかについて説明していない。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-10:
Illustrator のコード実行問題(5） Illustrator はアドビのベクター・ドローイング・ソフトウェアだが、未特定のメモリ破損問題（5件）の影響を受けている。アドビは欠陥の詳細について説明していないが、コード実行問題と分類はしている。これはおそらく、特別に細工されたIllustrator 互換性ファイル（イメージなど）をユーザが処理すると、攻撃者がこの欠陥を悪用しユーザの特権でそのコンピュータにてコードを実行できるようになるのではないかというのが我々の推測だ。ユーザが管理者である場合、攻撃者はユーザのPCを完全に操作できるようになる。アドビの評価:
3 （できる時に更新プログラムを取り入れること）
アドビが先週公開したFlash Player更新プログラムをまだインストールしていない場合は、今すぐそれを取り入れることをすすめる。今回のリリースよりも、先週リリースされたその更新プログラムの方が、より深刻な問題に対応しているからだ。

解決方法：
アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムをリリースしている。次のソフトウェアいずれかを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしデプロイするか、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることをすすめる。

注意
アドビはこうしたフィックスのいくつかを有料の更新プログラム（CS6)としてのみリリースするという姿勢を取っている。有料の更新プログラムを利用するつもりがなかった場合は、このようなセキュリティ問題を検討した上で決断しなければならない。しかし、今回問題となっている製品を攻撃者らが頻繁に標的として用いない点は、前向きに考えられるところとも言えるが（(Photoshop、Illustrator、Flash Professional）、最新のセキュリティ更新プログラムをすすめないのは我々にとっても難しい。アドビがこうしたセキュリティ更新プログラムにて全バージョンを対象にしていないことは残念である。

• APSB12-13:Shockwave 11.6.5.635 にアップグレード
• APSB12-12: 最善策は有料のセキュリティ更新プログラム、 Flash Professional CS6 にアップグレードすること
• APSB12-11: Photoshop CS6 にアップグレードすること
• APSB12-10: 最善策は有料のセキュリティ更新プログラム、 Illustrator CS6 にアップグレードすること

解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用することができる。適切に設定した UTM であれば、こうした問題によるいくつかのリスクを緩和させることができる。とはいっても、ローカル攻撃を阻止することはできず、通常のHTTP トラフィックを利用する攻撃を阻止することもできないので、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
o アドビのセキュリティ･アップデート APSB12-10
o アドビのセキュリティ･アップデート APSB12-11
o アドビのセキュリティ･アップデート APSB12-12
o アドビのセキュリティ･アップデート APSB12-13
o アドビのセキュリティアドバイザリ（日本語抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
Windows セキュリティ更新プログラム .NET Framework + Office も修正 2012年5月8日
Windows セキュリティ更新プログラム
.NET Framework + Office も修正

2012年5月8日

コーリー・ナクライナー
概要：
- 対象：
  現バージョンのウィンドウズとオプションの.NET Framework コンポーネント Office とSilverlight に影響するアドバイザリ (1 件)
- 悪用方法：
  特別に細工したドキュメントをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
- 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
今日、マイクロソフトは主にウィンドウズとオプションの.NET Framework コンポーネントに影響を与えている 15 の脆弱性について 4 件のセキュリティアドバイザリをリリースした。その他にも Office と Silverlight にも影響するアドバイザリが 1 件ある。各脆弱性の対象製品のバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールできるようになる。できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる（特に深刻と評価されているもの）。危険性の高い問題から順番にまとめた概要は以下の通り：
• MS12-034:
Windows、Office、.NET Framework と SilverLight にも影響普段とは異なるこのマイクロソフトのセキュリティアドバイザリは、4つのマイクロソフト製品（Windows、Office、.NET Framework、Silverlight）において、外見上異なる脆弱性を修正している。こうした製品すべてのファイルに欠陥が影響しているため、マイクロソフトはこれらをひとつのアドバイザリにまとめている。様々なコード実行の脆弱性やドライブバイ･ダウンロード系の問題、ローカルの特権昇格の欠陥、サービス拒否（DoS）の脆弱性などがあり、これら10 件の脆弱性は大きく異なる。アドバイザリによると、研究家または攻撃者達は更新プログラムが用意される前に 3 つの脆弱性を公表、攻撃者達は少なくとも対象が限定されている攻撃 1 つをすでに実行している。通常のユーザにとってもっともリスクの高いのは、フォントやイメージ処理の脆弱性だろう。 TrueType フォントや EMF イメージを処理するためにWindowsが使用するコンポーネントは複数のコード実行欠陥の影響を受けている。細工済みのイメージやTrueTypeフォントをユーザが取り扱うように仕向けることに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用し、そのユーザのコンピュータへのアクセス権を入手できる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。攻撃者はこうした悪質なフォントやイメージをウェブサイトやドキュメントまたはメールなどに埋め込むことができる。しかし、こうした攻撃方法の中には、ユーザからのインタラクションを必要とするものもある。このアドバイザリは様々な製品に見られる深刻な脆弱性を多々修正しているため、（攻撃者達がすでに一般の環境下で悪用しているものも含む）できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる。マイクロソフトの評価：深刻
• MS12-035 :
.NET Framework 遠隔操作によるコード実行の脆弱性(2）
.NET Framework は新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワークだ。コンピュータにおいて、シリアル化はデータ構造やデジタル保存、トランスミッションを許可する状態のオブジェクトを変換するプロセスだが、.NET Framework はシリアル化プロセスに関与する2つのコード実行問題の影響を受けている。特別に細工したウェブサイトに .NET Frameworkをインストールし、そのサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はこうした欠陥を利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は社内で開発し実際に使用しているカスタムの.NET Framework をベースにしたプログラムにも影響を及ぼすことができるので、.NET Framework をネットワークで使用している場合は、この更新プログラムをできる限り早急に取り入れることをすすめる。マイクロソフトの評価：深刻
• MS12-032 :
TCP/IP 特権昇格の欠陥とファイアウォール迂回問題 Windowsのネットワーキング･コンポーネントの2つがセキュリティ欠陥の影響を受けている。Windows TCP/IP スタックは、IPv6アドレスからローカル･ネットワーク･インターフェイスをバインドする方法に関与するローカル特権昇格の欠陥の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。とはいっても、攻撃者はまず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とする。
また、Windowsのホストベースのファイアウォールはファイアウォール迂回の脆弱性の影響を受けている。Windows ファイアウォールはパケットをブロードキャストするアウトバウンド･ファイアウォール･ポリシーを適切に用いることができず、ユーザのWindowsコンピュータへのアクセス権を持つ攻撃者は、この問題を悪用して Windowsコンピュータに適用していたアウトバウンド・ファイアウォールのポリシーを迂回するために、これを悪用することができる。この欠陥は、外部からの攻撃者がユーザのシステムへのアクセスを得るように許可することはないが、マルウェアがユーザのシステムを感染させ、コマンドやコントロール（C&C)接続を攻撃者に返しやすくすることができる。
マイクロソフトの評価：重要
• MS12-033 :
パーティション管理の特権昇格の脆弱性
コンピュータにおいて、ディスクパーティションはハードドライブを1つのロジカル･ストレージ・ユニット以上に分けることを意味する。 Windowsはパーティション管理コンポーネントを搭載しており、ユーザがハードドライブを分割できるようにしているが、パーティション管理は別のWindowsコンポーネント（特にプラグアンドプレイの設定管理）と相互作用する点に関与する特権昇格の問題の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。しかし攻撃者は、まず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とするため、この問題の危険性を大きく緩和させている。
マイクロソフトの評価：重要

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。 • MS12-034
• MS12-035
• MS12-032
• MS12-033
• セキュリティ情報一覧（日本語）

解決策：ウォッチガードユーザ専用
攻撃者はユーザがローカルで実行可能ファイルを実行するように説得するなど、様々な方法で欠陥を悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、このような欠陥から自分のネットワークをしっかりと守ることをすすめる。とはいっても、ウォッチガードのファイアウォールやXTMセキュリティアプライアンスは、こうした欠陥の多くのリスクを緩和させることができる。例えば、攻撃者はWindowsファイアウォールの欠陥を利用してホストベースのファイアウォール・ポリシーを迂回するかもしれないが、その攻撃はウォッチガードのゲートウェイ・ファイアウォールをごまかすことはできない。さらに、ウォッチガードのゲートウェイ・ウィルス対策を利用していれば、ウォッチガードのアプライアンスがユーザのコンピュータに対するマルウェア攻撃を阻止するケースもある。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
セキュリティ情報一覧（日本語）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
Word / Visio / Excel でドキュメント処理の脆弱性 2012年5月8日
Word / Visio / Excel でドキュメント処理の脆弱性

2012年5月8日

コーリー・ナクライナー
概要：
- 対象：
  Windows や Mac 版の現バージョンのマイクロソフト Office製品
  Visio Viewer、Office Compatibility Packs などの関連製品
- 悪用方法：
  悪質に細工されたOffice ドキュメントをユーザが開くように誘導するのが一般的
- 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  状況に適した Office のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
マイクロソフトは、 Microsoft Office や関連コンポーネントに影響を与えている 8 つの脆弱性について 3 件のセキュリティアドバイザリをリリースした。Windows や Mac で使用している Office に影響するものや、Office Compatibility Pack や Visio Viewer といったコンポーネントに影響するものなどがある。
その他にも、マイクロソフトは Office 関連のセキュリティアドバイザリ (MS12-034) をもう1件リリースしている。この問題は、その他様々なマイクロソフト製品に影響を与えている。このアドバイザリはWindowsユーザにも影響を与えているため、ウォッチガードでは次のウィンドウズ関連のアラートでその詳細を説明する予定。Office を使用しているユーザも、その Windows アドバイザリを参照して更新プログラムを適用することをすすめる。
マイクロソフトがリリースした Office 関連のアドバイザリ 3 件は、Office が別の種類のドキュメントを処理する方法に関与する 8 つのコード実行問題について説明している。欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じだ。悪質に細工された Office ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザレベルの特権や許可権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類である。

影響を受けている Office ドキュメントの種類は次のとおり：
• Word で開く Rich Text Files (RTF)
• Excel (XLS)
• Visio (VSD, VSS, etc.)
それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリにある「脆弱性の詳細」を参考にすることをすすめる：
• MS12-029:Word RTF のコード実行問題：　緊急
• MS12-030:Excel のコード実行問題(複数）：　重要
• MS12-031:Visio Viewer のコード実行問題：　重要

解決方法：
マイクロソフトは、こうした脆弱性を修正する更新プログラムをいくつもリリースしている。このアラートで取り上げた Office や Office 関連のコンポーネントを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。

注意：
日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」へのリンクについては、次を参照すること。

• MS12-029 - Office + Word セキュリティ更新プログラム
• MS12-030 - Office + Excel セキュリティ更新プログラム
• MS12-031 - Visio Viewer セキュリティ更新プログラム

解決策：ウォッチガードユーザ専用
ウォッチガードのアプライアンスには受信用の Office ドキュメントがネットワークに入り込まないようにすることができるものも多々あるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても Office ドキュメントが必要というのでなければ、更新プログラムをインストールするまでは Firebox のプロキシを使って Office ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっている Office ドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。
• XTM アプライアンス + WSM 11.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Edge + 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Core & X Peak + Fireware 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？

ステータス：
マイクロソフトはこうした脆弱性を修正する Office 対象の更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
ゼロデイ脆弱性を修正する Flash アップデート 2012年5月4日
ゼロデイ脆弱性を修正する Flash アップデート

2012年5月4日

コーリー・ナクライナー
概要：
- 対象：
  すべてのプラットフォーム (Android も対象) で使用されているAdobe Flash Player 11.2.202.233 及びそれ以前のバージョン
- 悪用方法：
  有害な Flash コンテンツを含むウェブサイトにユーザを誘導
- 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  Adobe Flash Player の最新バージョン（コンピュータの場合はバージョン 11.2.202.235）をダウンロードしインストールすること
詳細：
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザがマルチメディアのウェブコンテンツを閲覧するためにそれをダウンロードし、インストールしている。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。

今日リリースされたセキュリティアドバイザリで、アドビはすべてのプラットフォーム (Android も対象) で使用されている Adobe Flash Player 11.2.202.233 とそれ以前のバージョンで発見された深刻な脆弱性を修正するアップデートをリリースした。

そのアドバイザリでAdobe は｢オブジェクト混乱｣の脆弱性 (CVE-2012-0779) という深刻な欠陥について説明し、現在、一般の環境下で攻撃者達がこの欠陥を悪用していると警告した。問題の詳細については触れていないが、その影響力については解説している。攻撃者が特別に細工した Flash を含む悪質なウェブサイトにユーザを誘導したり、ユーザがそうした Flash コンテンツを扱った場合、攻撃者は、この脆弱性を悪用してユーザの特権でそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

現在の時点で Adobe が確認しているのは Windowsコンピュータでこの脆弱性が悪用されたケースのみであるため、これは Windows を対象とした｢プライオリティ 1｣レベル問題として評価されている。また、アドビはできる限り早急に（72時間以内）セキュリティ更新プログラムを取り入れることをすすめている。しかし、他のプラットフォームでこの脆弱性を利用することも可能なため、Flash を使うことができるデバイスには、できる限り早急に最新バージョンを取り入れることをすすめる。

解決方法：
アドビはこうした問題を修正する新しいバージョン Flash Player をリリースしている(11.2.202.235 はコンピュータ用のバージョン、Android 版は11.1.11x.x) 。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。Flash Player の｢サイレント･アップデート｣オプションをオンにしている場合は、このアップデートを自動的に取り入れることができる。

・ Flash Player コンピュータ用：
・ Android Flash Player の最新バージョンは Google Play からダウンロード可能（Android から直接入手可能）

注意：
Chrome には独自のバージョンの Flash が搭載されているので、 Chrome を使用している場合は、それも別個にアップデートしておく必要がある。とはいっても、大方 Chrome はセキュリティ更新プログラムを自動的に受け取るようになっている。

解決策：ウォッチガードユーザ専用
XTM アプライアンスでは HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Flash ファイルを識別するいくつかの方法：

ファイル拡張子：
・ .flv - Adobe Flash ファイル（大方ウェブサイトで使用）
・ .fla - Flash ムービーファイル
・ .f4v - Flash ビデオファイル
・ .f4p - Flash ビデオ保護ファイル
・ .f4a - Flash オーディオファイル
・ .f4b - Flash オーディオブックファイル

MIM タイプ:
・ video/x-flv
・ video/mp4 （普通の Flash より使用率が高い）
・ audio/mp4 （普通の Flash より使用率が高い）

マジックバイトのパターンにより報告された FILExt.com：
・ 16進数（Hex) FLV：46 4C 56 01
・ ASCII FLV:FLV
・ 16進数（Hex) FLA：D0 CF 11 E0 A1 B1 1A E1 00

（ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意すること。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。
それでも Flash ファイルをネットワークから遮断したいというのであれば、下記の URL を参考にし、先に説明したファイルや MIME 情報を使った方法で Firebox プロキシのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x
・ FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x
・FTP プロキシでファイルをブロックするには？
・ HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x
・FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・SMTP プロキシでファイルをブロックするには？

ステータス：
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料：
2012 年 4 月 Adobe Flash セキュリティアドバイザリ
Adobe 最新のセキュリティ情報（日本語版）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
Windows セキュリティ更新プログラム.NET Framework やAuthenticode の欠陥を修正 2012 年4月10日
Windows セキュリティ更新プログラム
.NET Framework やAuthenticode の欠陥を修正

2012 年4月10日

コーリー・ナクライナー
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズとオプションの.NET Framework コンポーネント
- 悪用方法：
  特別に細工した実行可能ファイルをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
- 影響：
  最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
今日、マイクロソフトはウィンドウズと、そのオプションの.NET Framework コンポーネントに影響を与えている脆弱性について 2 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールすることができる。
危険性の高い問題から順番にまとめた概要は以下の通り：
・ MS12-024

Windows Authenticode 署名検証の脆弱性
Windows にはデジタル署名ベースコードの Authenticode 技術が含まれており、ユーザとオペレーティング・システムがソフトウェアの整合性と評判を確認することを可能にしている。例えば、ユーザが WatchGuard （ベンダー）が署名したソフトウェアをダウンロードしたとする。そのソフトウェアが Windows の Authenticode の検証確認をパスしている場合、そのソフトウェアは実際に WatchGuard のものであり、いかなる方法においても変更が施されていないソフトウェアであると信頼することができる。
しかし、このアドバイザリが説明している欠陥は、 Windows の Authenticode 署名検証機能（WinVerifyTrust）が Portable Executable (PE) ファイルをチェックする方法に関与している。つまり、攻撃者は実行可能ファイルを悪質なものに変更した後でも、WindowsのAuthenticode検証をパスできる、特別に細工した PE ファイルを作成することができる。ユーザがそうした実行可能ファイルをダウンロードし、それを実行するように仕向けると、攻撃者は欠陥を悪用してユーザの特権を使い、そのユーザのコンピュータへのアクセス権を手に入れることができる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。しかし、大方のユーザはメールやウェブを介して勝手に送られてきた実行可能ファイルを不審に思うだろう。とはいっても、この欠陥はユーザがファイルの評判を確認できるようにするためにマイクロソフトが使っている機能を迂回するため、腕の立つ攻撃者であれば実行可能ファイルを実行するようにユーザを納得させてしまう場合もあるだろう。こうした理由から、できる限り早急に更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-025

.NET Framework の遠隔操作によるコード実行問題
.NET Framework は、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワーク CISSP だ。.NET Framework は特定のファンクション CISSP にパスされる、特定のパラメータを適切に確認できない点に関係したコード実行問題の影響を受けている。特別に細工したウェブサイトに.NET Frameworkをインストールしたユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用し、そのユーザの特権を使ってコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作することもできる。この欠陥は、.NET Framework エレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NET ベースプログラムにも影響している。ひとことで言うならば、サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。

・ MS12-024

・ MS12-025

解決策：ウォッチガードユーザ専用
攻撃者は、ローカルで実行可能ファイルを実行するようにユーザを説得するなど、こうした欠陥を様々な方法で悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、こうした欠陥から自分のネットワークをしっかりと守ることをすすめる。
多くの WatchGuard 製品のプロキシポリシーでは、規定設定により実行可能ファイルを阻止することができるので、ユーザがインターネットで見つけた悪質である可能性を持つ実行可能ファイルへのアクセスを回避できる。つまり、規定設定でプロキシポリシーを使えば、こうした欠陥を利用する悪質な実行可能ファイルへのアクセスを避け、それにより生じるリスクを緩和することができる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトセキュリティアドバイザリ一覧（日本語） CISSP

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
複数の Office セキュリティ更新プログラム:別のサーバ製品に影響も 2012年4月10日
複数の Office セキュリティ更新プログラム:
別のサーバ製品に影響も

2012 年4月10日

コーリー・ナクライナー
概要：
- 対象：
  Microsoft Office, Works, SQL Server, BizTalk Server 2002, Commerce Server, Visual FoxPro, Visual Basic 6.0 Runtime
- 悪用方法：
  有害なウェブサイトや URL にユーザを誘導したり、悪質な Works ファイルを開くように促すなど、様々な攻撃方法がある
- 影響：
  最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
今日、マイクロソフトは Office やそうしたタイプのソフトウェアで見つかった脆弱性について説明したセキュリティアドバイザリを 2 件公開した。マイクロソフトはそのうち1件を深刻、もう 1 つの問題を重要と評価している。この深刻な更新プログラムは、Office の他に下記の機能にも影響を与えている。
・SQL Server（大方のバージョン）

・BizTalk Server 2002

・Commerce Server（すべてのバージョン）

・Visual FoxPro

・Visual Basic Runtime

概要は以下のとおり：
・MS12-027:

コモンコントロールの遠隔操作によるコード実行問題
Office （上記など、その他多くのマイクロソフト製品も対象）には、マイクロソフトが Windows コモンコントロール (MSCOMCTL.OCX)と呼んでいる ActiveX コントロールの一連が搭載されている。この ActiveX ライブラリにある3つのコントロールは、未特定の遠隔操作によるコード実行脆弱性の影響を受けており、攻撃者は有害なウェブページにユーザを誘導したり、特別に作成した URL をユーザにクリックさせたりすることで欠陥のいずれかを悪用し、ユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトの更新プログラムは、脆弱な ActiveX コントロールでキルビットを設定するようになっている。現在、攻撃者達は、この脆弱性を一般環境下で悪用しているとマイクロソフトは述べており、すでに深刻なこの脆弱性のリスクをさらに高めている。このため、更新プログラムを至急取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-028:

Works 変換ドキュメント解析の脆弱性
マイクロソフトWorksは、マイクロソフト Office に似ている軽めのパッケージで、Office に比べると特性や機能が少ない。マイクロソフト Office や最近のバージョンの Works には、様々な Works ドキュメントを開けるようにする Works 変換コンポーネントが搭載されている。しかし、Works 変換機能は Works.wps ファイルを確認し解析する方法に関係する脆弱性の影響を受けていることが分った。攻撃者は、悪質に細工した .wps ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。（注意：この欠陥の影響を受けているのはOffice 2007 w/SP2 と Works 9 のみ）。
マイクロソフトの評価：重要

解決方法：
マイクロソフトは脆弱性を修正する更新プログラムをいくつもリリースしている。このアラートで取り上げたソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、テストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。

・MS12-027

・ MS12-028

解決策： ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って Works ドキュメントがネットワークから遮断されるように設定できるので、そういった方法でこの問題のリスクを緩和することも可能だ。しかし、そうすることで問題があるないにかかわらず、すべての Works ファイルを遮断してしまう点に注意しよう。仕事上、ネットワークの外に Works ファイルを定期的に移動させている場合は Works を遮断することは避けた方がいいかもしれない。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Works ファイル(.wps)を識別するいくつかの方法：

ファイル拡張子：
・wps - Works ドキュメント

MIME タイプ:
・application/vnd.ms-works

・application/x-msworks-wp

・zz-application/zz-winassoc-wps

マジックバイトのパターンにより報告されたFILExt.com：・16進数（Hex)：D0 CF 11 E0 A1 B1 1A E1 00

それでも Works ファイルをネットワークから遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

ステータス：
マイクロソフトは脆弱性を修正できる更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧） CISSP この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
ドライブバイ･ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート 2012年4月10日
ドライブバイ･ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート

2012年4月10日

コーリー・ナクライナー

危険度：高

概要：
- 対象：
  現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン
- 悪用方法：
  有害なウェブページにユーザを誘導する方法が一般的
- 影響：
  この問題による影響は様々だが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
- 対策：
  状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
マイクロソフトはパッチデーに発表したセキュリティアドバイザリで、現バージョンのウィンドウズで使われている Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで発見された 5 つの新しい脆弱性について説明し、その危険度を「緊急」と評価した。
これら 5 つの欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じである。これらはすべて様々なHTMLオブジェクトやエレメントを IE が処理する方法に関係した遠隔操作によるコード実行の欠陥だ。有害なウェブコードを含むウェブページにユーザを誘導することに成功した攻撃者は、こうした脆弱性のいずれかを悪用してユーザの特権を利用し、そのユーザのコンピュータでコードを実行できるようになる。通常、ウィンドウズユーザはローカル管理者の特権を持っているため、そうした場合は攻撃者が欠陥を悪用し、そのユーザのコンピュータを完全に操作できるようになる。
欠陥の技術詳細については、マイクロソフトのアドバイザリにある「脆弱性の情報」の欄を閲覧することをすすめる。しかし、技術面を別にしても IE に見られるリモートコード実行の欠陥は深刻なリスクを掲げており、攻撃者がドライブバイ・ダウンロード攻撃を開始できるようにすることがある。さらに、攻撃者は正当なウェブサイトをハイジャックし、有害なウェブコードをホストするように仕向けることがよくある。そのため、このタイプの欠陥はユーザがどのサイトを訪れようとも、影響を及ぼすことができる。IE を使用している場合は、累積修正プログラムを至急ダウンロードしインストールすることをすすめる。
解決方法：
マイクロソフトは、脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。
注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。詳細リンクは「影響を受けるソフトウェアおよび影響を受けないソフトウェア」の欄を参照。

解決策：ウォッチガードユーザ専用
通常、このタイプの攻撃は普通の HTTP トラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするには、HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス：
マイクロソフトはこうした脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
Adobe Reader をアップデートまたは悪質な可能性のある PDF を避けよう 2012 年4月10日
Adobe Reader をアップデートまたは
悪質な可能性のある PDF を避けよう

2012 年4月10日

コーリー・ナクライナー
概要：
- 対象：
  ウィンドウズ、Mac、Linux で使用している Adobe Reader、Acrobat X 10.1.2 およびそれ以前のバージョン
- 悪用方法：
  故意に作成した PDF ドキュメントをユーザが閲覧するように誘導
- 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり
- 対策：
  ウィンドウズ･ユーザは、アドビの Reader や Acrobat X 10.1.3 もしくは 9.5.1 のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細：
今月のパッチデーで、アドビは利用可能なプラットフォームで使用している Adobe Reader と Acrobat X 10.1.2 およびそれ以前のバージョンで発見された 4 つのセキュリティ脆弱性について説明したセキュリティアドバイザリをリリースした。アドビはこうした欠陥の技術詳細を説明していないが、Reader や Acrobat コンポーネント内に見られる整数のオーバーフローやメモリ破損に関係しているものが大方である。技術面では異なるものの、4 つの脆弱性の作用範囲と影響力はよく似ている。故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこうしたタイプの問題を悪用して、ユーザの特権を使いユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権がある場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

PDF ドキュメントを開く際に Adobe Reader を使っている場合は、この Reader の更新プログラムをできる限り早急にダウンロードしインストールすることをすすめる。

解決方法：
アドビは脆弱性を修正できる Reader と Acrobat X 10.1.3 （レガシーユーザ対象の9.5.1 も含む）をリリースしているので、状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェアアップデート機能に任せることをすすめる。

Adobe Reader X 10.1.3

Windows

Mac

Linux

Adobe Acrobat X 10.1.3

Standard & Pro for Windows

Pro Extended for Windows

Pro for Mac

解決策：ウォッチガードユーザ専用
WatchGuard のアプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って PDF ドキュメントがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべての PDF ファイルを遮断してしまう点に注意しよう。社内で PDF ドキュメントを頻繁に使用している場合、これはベストな回避策ではないかもしれない。

ウォッチガードのプロキシでは、ファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。 PDF ドキュメントを識別するいくつかの方法：

ファイル拡張子：

・PDF - Adobe Reader ドキュメント

MIME タイプ:

・application/pdf

・application/x-pdf

・application/acrobat

・applications/vnd.pdf

・ text/pdf

・text/x-pdf

マジックバイトのパターンにより報告されたFILExt.com：

・16進数（Hex)：25 50 44 46 2D 31 2E

・ASCII: %PDF-1

それでも PDF ファイルをネットワークから遮断したいという場合は、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定すればいい。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。多くの場合、ただ単に GAV サービスを有効にしておくだけで PDF ベースのマルウェアからネットワークを守ることができる。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
Mac のマルウェア感染を避けるMac のマルウェア感染を避ける 2012年4月5日
Mac のマルウェア感染を避ける
OS X Java のアップデート

2012年4 月5 日
コーリー・ナクライナー

概要：
- 対象：
  OS X 10.7.x (Lion) および 10.6.x (Snow Leopard)
- 悪用方法：
  故意に作成した Java を含むウェブサイトにユーザを誘導する
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザの特権を持った状態で、そのユーザのコンピュータでコードを実行できるようになる
- 対策：
  OS X Lion 2012-001　対象の Java またはOS X 10.6 Update 7 対象の Java を至急インストールするか、アップルの自動更新プログラムに任せること
詳細：
米国時間の 4 月 4 日、アップルは OS X 10.6.x と 10.7.x. を対象にした Java セキュリティ更新プログラムについて説明したアドバイザリをリリースした。この更新プログラムは OS X の Java コンポーネントで発見された 12 件の脆弱性を修正している（数字は CVE-ID による情報）。アップルは、各欠陥の詳細について説明をしていないが、最悪の場合に生じる影響については情報を提供している。故意に作成した Java コードを含むウェブサイトにユーザを誘導することに成功した場合、攻撃者はこうしたタイプの脆弱性を悪用し、ユーザの特権を使ってユーザの OS X コンピュータでコードを実行できるようになる。このアップルの更新プログラムは、オラクルが OS X ユーザ対象に 2 月にリリースした Java セキュリティ更新プログラムを含んでいるのだが、残念なことに攻撃者達はすでに一般の環境下のMacユーザに対し、こうしたJava脆弱性のひとつを使い攻撃を仕掛けている。Mac のトロイの木馬｢フラッシュバック｣は、こうした Java 欠陥やこれまでの Flash 脆弱性を利用し、すでに 600,000 台の Mac を感染させたと報告されている。このため、仕事場で Mac を使っている場合は、アップルの OS X Java のセキュリティ更新プログラムを至急インストールすることを強くすすめる。Flashback マルウェアについて、自分の Mac を調べる方法にはこのリンクを参照することをすすめる。
解決方法：
アップルは、こうした欠陥を修正する OS X Lion 2012-001 対象の Java と、OS X 10.6 Update 7 対象のJava をリリースしている。OS X 10.6.x または 10.7.x を入れているコンピュータを管理している場合は、こうしたセキュリティ更新プログラムをダウンロードしデプロイするか、自動ソフトウェア更新プログラムツールに任せることを強くすすめる。

解決策：ウォッチガードユーザ専用
攻撃の中には、悪質なJava バイトコードを含むウェブページにユーザが訪れることに依存しているものもある。大方のウォッチガード製品に搭載されている HTTP プロキシー･ポリシーは、Java バイトコードを規定設定でブロックするようになっているため、このような脆弱性をいくつかを緩和することが可能だ。

ステータス：
アップルは欠陥を修正する更新プログラムをリリースしている。

参考資料：
アップルのOS X：Javaアドバイザリ（3月分）

アップルのソフトウェア･ダウンロード先

アップルのセキュリティ更新プログラム

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
半年に一度の Cisco 定例セキュリティアップデート公開日:DoS 欠陥を修正する IOS セキュリティ更新プログラム 2012 年3月28日
半年に一度の Cisco 定例セキュリティアップデート公開日:
DoS 欠陥を修正する IOS セキュリティ更新プログラム

2012年3月28日

コーリー・ナクライナー
概要：
- 対象：
  Cisco IOS を使用している数々のデバイス
- 悪用方法：
  細工したネットワークパケットを送信するなど、攻撃手段は多々ある
- 影響：
  IOS デバイスをリロードするように攻撃者が促し、欠陥を繰り返し悪用してサービス拒否（DoS)状態に追い込むケースがもっともよく見られる。
- 対策：
  Cisco IOS デバイスを管理している管理者は、状況に適した Cisco の更新プログラムを至急ダウンロードしテストしてから取り入れることをすすめる。
詳細：
一年ほど前、 Cisco は年に2 回（3 月と 9 月の第四水曜日）、セキュリティアップデートをリリースすることにした。そして今回のセキュリティアップデート公開日に Cisco はインターネットワーク･オペレーティングシステム（ IOS ）ソフトウェアを使用しているデバイスに関連する 9 つのセキュリティアドバイザリをリリースした。 IOS は大方の Cisco ルーターやスイッチで使われているオペレーティングシステムである。9 つの IOS アドバイザリの技術面や影響する IOS コンポーネントはそれぞれ異なるが、ほとんどの欠陥の作用範囲と影響力は同じだ。

特別に細工したネットワークトラフィックを IOS へ送ったり、それを経由させて送信した場合、攻撃者は大方の問題を悪用してデバイスをリロードできるようになる。また、攻撃者は脆弱性を繰り返し悪用することでユーザのルーターやスイッチでサービス拒否（DoS）状態にさせることもできる。

今回報告された IOS アラートの全リストについては、Cisco のセキュリティアドバイザリとレスポンスのページを参照することをすすめる。以下の IOS アドバイザリ 3 件の概要を参考に、欠陥がもたらす影響力の大まかな点を確認しておくことをすすめる。

アドバイザリ ID：cisco-sa-20120328-ssh
リバース SSH DoS 脆弱性

Cisco のセキュアシェル (SSH) コンポーネントは、リバース SSH 接続を処理する方法に関係する DoS 脆弱性の影響を受けている。特別に細工したユーザ名を使ってリバース SSH ログインを試すことで、未認証状態にある攻撃者は欠陥を悪用してユーザの IOS デバイスをリロードさせることができる。また、攻撃者は、この問題を何度も繰り返すことでユーザの IOS デバイス（ゲートウェイ・ルーターなど）をオフライン状態にすることができる。

ベースCVSS スコア : 7.8 （もっとも深刻な数値は 10）

アドバイザリ ID：cisco-sa-20120328-nat
DirectWrite DoS の脆弱性

Cisco IOS のネットワークアドレス変換（NAT）コンポーネントは、セッション確立プロトコル（SIP）トラフィックを処理する方法に関係する脆弱性の影響を受けている。攻撃者は特別に細工した SIP トラフィックを IOS デバイスを通じて送信することで脆弱性を悪用し、ユーザの IOS デバイスのメモリを消耗させてリロードを強制する可能性がある。ユーザがCisco IOS ルーターを使用してインターネットに接続している場合、攻撃者は脆弱性を繰り返し悪用してそのネットワークをインターネットから落とすことができる。

ベースCVSS スコア : 7.8

アドバイザリ ID：cisco-sa-20120328-ike:
IKE DoS の脆弱性

インターネットキー交換（IKE）は、 IPSec VPN トンネルをビルドする場合に必要な暗号の特性値を交渉するために開発されたプロトコルだ。Cisco IOS の IKE コンポーネントは、未特定脆弱性の影響を受けており、攻撃者はそれを利用してユーザの IOS デバイスを強制的にリロードさせることができる。攻撃者は特別に細工した IKE トラフィックを IOS デバイスに送信することで欠陥を繰り返し悪用し DoS 状態に追い込むことができる。

ベースCVSS スコア : 7.8

この他の IOS アドバイザリも、多くの場合がここで説明した欠陥と同じように深刻な DoS 欠陥を修正している。中にはコマンド認証バイパスの脆弱性もある。各アドバイザリの詳細を知りたい場合は、このアラートの｢参考資料｣の欄を参照することをすすめる。

解決方法：
Cisco は脆弱性を修正するセキュリティ更新プログラムをリリースしている。IOS ソフトウェアを実行しているCiscoデバイスを管理している場合は、Ciscoのアドバイザリにある｢Software Versions and Fixes｣と｢Obtaining Fixed Software｣を参照し、状況に適したフィックスやその入手方法を確認することをすすめる。各アドバイザリへのリンクは、このアラートの｢参考資料｣で確認できる。

全ユーザ対象：
こうした脆弱性は、通常ファイアウォールの前に設置しているルーターに影響するため、できる限り早急に Cisco のセキュリティ更新プログラムを適用することをすすめる。

ステータス：
Cisco はこうした問題を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
Cisco のセキュリティアドバイリとレスポンスのページ
Cisco リバース SSH DoS 脆弱性
Cisco IOS RSVP DoS 脆弱性
トラフィックを最適化するコンポーネントに見られる Cisco IOS DoS 脆弱性
Cisco IOS MSDP DoS 脆弱性
Cisco IOS NAT DoS の脆弱性
Cisco IOS IKE DoS の脆弱性
Cisco IOS Smart Install DoS の脆弱性
Cisco IOS コマンド認証バイパスの欠陥
Cisco IOS ゾーンベースのファイアウォール脆弱性
Cisco 日本語サイト
Cisco セキュリティアドバイザリ

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
7 つのセキュリティホールを塞ぐ Windows のセキュリティ更新プログラム 4 件　2012 年3月13日
7 つのセキュリティホールを塞ぐ Windows のセキュリティ更新プログラム 4 件

2012 年3月13日

コーリー・ナクライナー
RDP / DNS サーバ/ カーネルモード・ドライバ他
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント（スモールビジネスサーバ 2003 に影響している欠陥も 1 つあり）
- 悪用方法：
  細工したパケットを脆弱なコンピュータに送信するなど、攻撃手段は多々ある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザの Windows を完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、Windowsの自動アップデート機能に任せることをすすめる
詳細：
今日、マイクロソフトはWindowsと搭載されているコンポーネントに影響を与えている 7 つの脆弱性について 4 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるWindowsのバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのWindows PC を完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り：
- MS12-020: RDP リモートコード実行と DoS 脆弱性
リモートデスクトッププロトコル(RDP) はマイクロソフトの通信規格で、ユーザがネットワーク上のコンピュータにアクセスでき、自分のデスクトップを直接管理できるようにデザインされている。一台のマシンを何人ものリモートユーザで共有できるようにするため、Windows ターミナルサーバも RDP を使用している。
しかし残念ながら、全バージョンのWindowsに搭載されているRDPコンポーネントは 2 つの脆弱性の影響を受けている。中でもリモートコード実行の欠陥は深刻な問題であり、この欠陥は特別に細工したパケットシーケンスを RDP コンポーネントが処理する方法に関与している。攻撃者は RDP サービスを実行しているコンピュータにパケットを連続的に送信することで欠陥を悪用し、そのコンピュータを完全にコントロールできるようになる。また、比較的軽度ではあるが RDP コンポーネントはサービス拒否欠陥の影響も受けており、攻撃者はその欠陥を利用して RDP サービスが新しい接続に反応しないようにすることができる。
RDPリモートコード実行の欠陥は深刻な脆弱性ではあるが、このサービスはWindowsシステムで既定設定として有効にされていないので、意図的にRDP接続を有効にしていない限り脆弱にはならない。そうとはいっても、RDP サービスを有効にしているウィンドウズターミナルサーバを管理している企業は多い。そうしたサーバを管理している場合は RDP セキュリティ更新プログラムを至急インストールすることを強くすすめる。
アップデート：マイクロソフトのスモールビジネスサーバ (SBS) 2003には、リモートウェブワークプレイスという機能があるが、これも RDP 問題において脆弱である。

マイクロソフトの評価：「深刻」
- MS12-017: DNSサーバのDoS欠陥
管理者が自分達のネットワークでドメイン名システムを提供できるようにするため、サーバ版のWindows には DNS サーバが搭載されている。しかし DNS サーバは DNS リソース・レコードを調べている時にメモリでオブジェクトを処理する方法に関与する DoS 脆弱性の影響を受けている。このため、攻撃者は Windows DNS サーバに特別に細工したDNSリクエストを送信することで欠陥を悪用し、DNS サーバの反応を停止させ再起動が必要となるように仕向けることができる。
通常、DoS 欠陥はコード実行の欠陥に比べるとさほど深刻ではないと思う人が多いと思うが、攻撃者が DNS サーバを無反応にさせることに成功すれば、基本的にネットワークをオフラインにすることができるため、人が読めるアドレスを使ってユーザがインターネットを利用することができなくなる。マイクロソフトはこの問題を「重要」としか評価していないが、DNSの管理者にとっては、かなり深刻な問題を修正しているものと我々は判断している。

マイクロソフトの評価：重要
- MS12-018: カーネルモード・ドライバのコード実行問題
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素である。Windows には OS のデバイス・インタラクションをカーネルレベルで処理するカーネルモード・デバイス・ドライバ（win32k.sys）も搭載されている。しかし、カーネルモード･ドライバは深刻なコード実行欠陥の影響を受けており、カーネルモード･ドライバが Windows の機能（特にPostMessage）からパスされたインプットを処理する際に入力確認できない点が原因となっている。ローカル攻撃者が特別に細工したプログラムを実行した場合、攻撃者は欠陥を悪用してユーザの Windows コンピュータを完全に操作できるようになる。しかし、攻撃者は有効なクレデンシャルを使った、ユーザのウィンドウズへのローカルアクセス権が必要となるため、この欠陥が掲げているリスクは大幅に緩和される。

マイクロソフトの評価：重要
- MS12-019: DirectWrite DoS の脆弱性
DirectWrite は Windows の API で、Windows GUI においてアプリケーションがテキストを処理できるように開発者が使う機能である。しかし、深刻ではないものの、DirectWrite は特別に細工したユニコード文字列のシーケンス処理に関与する DoS の脆弱性問題の影響を受けている。特別に細工したユニコードのコンテンツを DirectWrite API を使うアプリケーションを通じてユーザが閲覧するように誘導すると、攻撃者はこの欠陥を利用してそのアプリケーションをクラッシュさせることができる。DirectWrite を使うアプリケーションには Internet Explorer や Windows インスタントメッセンジャーなどがある。前述した DNS サーバの DoS の脆弱性と違い、この欠陥はそれほど深刻ではない。攻撃者がこの問題を悪用しても、できることはユーザのマシンでクライアントアプリケーションを1つクラッシュさせるだけで、ユーザはアプリケーションを簡単に再起動させ、クラッシュの原因となったコンテンツを避けることができる。マイクロソフトの評価：「中」

解決方法：
マイクロソフトは、こうした問題をすべて修正できる Windows 対象の更新プログラムをリリースしているので、状況に適した Windows のプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、Windows の自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。
解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を利用して欠陥を悪用することができる。適切に設定したファイアウォールであれば、こうした問題のいくつかのリスクを緩和させることができる。ただし、ウォッチガードのアプライアンスでローカル攻撃を阻止することはできないので、マイクロソフトのセキュリティ更新プログラムをインストールし、欠陥から自分のネットワークを完全に守ることをすすめる。
そうとはいっても、ウォッチガードのアプライアンスは Windows RDP 脆弱性によるリスクを緩和させることができる。既定設定では WatchGuardの XTM と Firebox アプライアンスはエクスターナル RDP アクセスをブロックすることができる（通常TCP ポート3389; SBS 2003 はTCP ポート4125を使用）。意図的にRDPを許可していなければ、ウォッチガードの規定設定により、インターネットベースの攻撃者がRDP欠陥を利用してサーバに攻撃を仕掛けることを妨げることができる。
また、ターミナルサーバへのエクスターナルアクセスを許可しなければならない場合は、ウォッチガードの認証機能を使って信頼できるユーザにだけ RDP アクセス権を与えるように制限することも可能だ。ウォッチガードの認証機能の詳細についてはヘルプページを参考にすることをすすめる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
2012 年 3 月版マイクロソフトのセキュリティ更新プログラム（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。ツイッター：(@SecAdept)
続きを読む»
予想外の FlashPlayer アップデート　2 件の深刻な問題を修正 2012年3月5日
予想外の Flash Player アップデート　2 件の深刻な問題を修正

2012 年3月5 日

コーリー・ナクライナー
概要：
- 対象：
  すべてのプラットフォーム (Android も対象) で使用している Adobe Flash Player 11.1.102.62 とそれ以前のバージョン
- 悪用方法：
  有害な Flash コンテンツを含むウェブサイトにユーザを誘導
- 影響：
  最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  Adobe Flash Player の最新バージョン（コンピュータの場合はバージョン 11.1.102.63）をダウンロードしインストールすること
詳細：
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザがマルチメディアのウェブコンテンツを閲覧するためにダウンロードしインストールしている機能だ。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。

しかし、アドビはこの予想外にリリースされたセキュリティアドバイザリで、すべてのプラットフォーム (Android も対象) で使われている Adobe Flash Player 11.1.102.62 と、それ以前のバージョンで発見された2つのセキュリティ問題を修正するアップデートについて警告している。アドビのアドバイザリは欠陥の詳細については説明してないが（1つはメモリ破損、もう1つは整数符号のエラーであることは公表）、もし攻撃者が特別に細工した Flash コンテンツを含む悪質なウェブサイトにユーザを誘導した場合、攻撃者は中でも悪質な脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになると注意を呼びかけている。また、ウィンドウズユーザがローカル管理者の特権を持っていた場合は、攻撃者がユーザの PC を完全に操作できるようになる。アドビはこのアップデートを｢プライオリティ2｣と評価している。このプライオリティ2というレベルは、かなり重大な欠陥を修正しているが、攻撃者達はまだ一般の環境下でこの欠陥を悪用していないという意味である。アドビは、このセキュリティ更新プログラムを 30 日以内に取り入れることを提案しているが、1週間以内に対応した方がいいだろう。
解決方法：
アドビはこうした問題を修正する新しいバージョン Flash Player (11.1.102.63 はコンピュータ用のバージョン、Android 版は11.1.11x.x) をリリースしている。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。
- Flash Player コンピュータ用（全プラットフォーム）：
- Flash for Android 4.x Android 版（アンドロイドから直接アクセス）
- Flash Player for Android 3.x とそれ以前のバージョン Android 版（アンドロイドから直接アクセス）
注意：
Chrome には独自のバージョンの Flash が搭載されているので、ウェブ・ブラウザに Chrome を使用している場合は、それはそれでアップデートする必要がある。
解決策：ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。

Flash ファイルを識別するいくつかの方法：
ファイル拡張子：
- .flv - Adobe Flash ファイル（大方ウェブサイトで使用）
- .fla - Flash ムービーファイル
- .f4v - Flash ビデオファイル
- .f4p - Flash ビデオ保護ファイル
- .f4a - Flash オーディオファイル
- .f4b - Flash オーディオブックファイル
MIME タイプ:
- video/x-flv
- video/mp4 （普通の Flash より使用率が高い）
- audio/mp4 （普通の Flash より使用率が高い）
マジックバイトのパターンにより報告されたFILExt.com：
- 16進数（Hex) FLV：46 4C 56 01
- ASCII FLV:FLV
- 16進数（Hex) FLA：D0 CF 11 E0 A1 B1 1A E1 00
（ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意してほしい。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。それでもネットワークから Flash ファイルを遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定することをすすめる。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。
参考資料：
- 2012 年 3 月 Adobe Flash セキュリティアドバイザリ
- アドビ（日本版）のセキュリティアップデート（抄訳）
  
  この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
Adobe Flashアップデート、ゼロデイ XSS セキュリティホールなどに対応 2012年2月16日
Adobe Flash アップデート、ゼロデイ XSS セキュリティホールなどに対応
2012年2月16日
コーリー・ナクライナー

概要：
- 対象：
  すべてのプラットフォームで使われている Adobe Flash Player 11.1.102.55 とそれ以前のバージョン。アンドロイド版の Flash にも影響あり。
- 悪用方法：
  有害な Flash コンテンツを含むウェブサイトにユーザを誘導
- 影響：
  最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  Adobe Flash Player の最新バージョンをダウンロードしインストールすること
詳細：
Adobe Shockwave Playerは、Flashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、マルチメディアのウェブコンテンツを閲覧するために、 99% の PC ユーザがそれをダウンロードしインストールしている。Flash を使用できるオペレーティングシステムは多々あり、アンドロイドのようなモバイルもそれに対応している。

しかし、アドビはきのうリリースしたセキュリティアドバイザリで、アンドロイドも含むすべてのプラットフォームで使われている Adobe Flash Player 11.1.102.55 とそれ以前のバージョンが脆弱性7件の影響を受けていると警告した（数字はCVE によるもの）。アドビのセキュリティアドバイザリは詳細について触れていないが、特別に細工したFlashコンテンツを含む悪質なウェブサイトにユーザを誘導することに成功した攻撃者は、いくつもある未特定の脆弱性を悪用してユーザの特権で、そのコンピュータでコードを実行できるようになると注意を呼びかけている。また、ウィンドウズユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザの PC を完全に操作できるようになる。さらに、攻撃者はこうした欠陥を悪用して一般環境下でゼロデイXSS脆弱性を悪用しているともアドビは警告している。ネットワークで Adobe Flash Player の使用を許可している場合は、この攻撃によるリスクを低下させるために至急ネットワーク全体に最新バージョンをインストールすることをすすめる。

解決方法：
アドビはこうした問題を修正する新しいバージョン Flash Player (11.1.102.62 はコンピュータ用のバージョン、アンドロイド版は11.1.11x.x) をリリースしている。ネットワークでAdobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。
- Flash Player コンピュータ用（全プラットフォーム）：
- Flash f0r Android 4.x アンドロイド版（アンドロイドから直接アクセス）
- Flash Player for Android 3.x とそれ以前のバージョンアンドロイド版（アンドロイドから直接アクセス）
解決策：ウォッチガードユーザ専用
XTMアプライアンスでは、HTTPプロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを阻止してしまう点に注意しよう。ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。

Flash ファイルを識別するいくつかの方法： ファイル拡張子：
- .flv - Adobe Flash ファイル（大方ウェブサイトで使用）
- .fla - Flash ムービーファイル
- .f4v - Flash ビデオファイル
- .f4p - Flash ビデオ保護ファイル
- .f4a - Flash オーディオファイル
- .f4b - Flash オーディオブックファイル
MIME タイプ:
- video/x-flv
- video/mp4 （普通の Flash より、よく使用されている）
- audio/mp4 （普通の Flash より、よく使用されている）
マジックバイトのパターンにより報告されたFILExt.com：
- 16進数（Hex) FLV：46 4C 56 01
- ASCII FLV:FLV
- 16進数（Hex) FLA：D0 CF 11 E0 A1 B1 1A E1 00
（ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意してほしい。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。）それでもネットワークからFlash ファイルを遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルや MIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定すればよい。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

続きを読む»
Sharepoint とVisioの欠陥を修正するマイクロソフトOfficeのセキュリティ更新プログラム 2012年2月15日
Sharepoint とVisio の欠陥を修正するマイクロソフト Office のセキュリティ更新プログラム
2012年2月15日
コーリー・ナクライナー

概要：
- 対象：
  SharePoint / SharePoint Foundation / Visio Viewer 2010 - すべてマイクロソフト Office の一部
- 悪用方法：
  有害なウェブサイトや URL にユーザを誘導したり、有害なVisioファイルを開くように促すなど、様々な攻撃方法がある
- 影響：
  最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  状況に適した SharePoint や Visio のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
米国時間の2月14日、マイクロソフトは Office 関連のセキュリティアドバイザリを 2 件リリースし、SharePoint / SharePoint Foundation / Visio Viewer 2010（すべてマイクロソフト Office の一部）に見られる脆弱性8件について報告した。マイクロソフトはどちらのアドバイザリについても[重要]と評価している。

概要は以下のとおり：
- MS12-011: SharePoint XSS の脆弱性（3）
SharePoint と SharePoint Foundation はマイクロソフトによるウェブおよびドキュメントのコラボレーションと管理を行うプラットフォームだが、どちらもクロスサイト･スクリプティングの脆弱性（XSS）問題（3つ）の影響を受けているため、攻撃者が特権昇格を試みることが可能になっている。有害なウェブページにユーザを誘導したり、特別に作成したURLをクリックさせたりすることで、攻撃者は任意に欠陥を悪用し、ユーザのSharePointサーバで特権を獲得することができる。つまり、攻撃者はユーザと同等にドキュメントを閲覧したり変更したりすることができるようになる。ただし、この欠陥の影響を受けているのは最新バージョンである 2010 の SharePoint のみである。マイクロソフトの評価：重要
- MS12-015: Visio Viewer のメモリ破損の脆弱性（5）
マイクロソフトの Visio は人気のあるダイアグラムプログラムで、多くのネットワーク管理者達がネットワーク図を作成する際に使っている。Visio Viewer は無料プログラムで図を閲覧するために誰でも使うことができるのだが、Visio Viewer は、特別に細工したドキュメントを処理する方法に関与する5つのコード実行問題の影響を受けていることが分った。欠陥の技術面はどれも異なるが、その作用範囲と影響力は同じである。悪質に細工されたVisio ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。ただし、この欠陥の影響を受けているのは Visio Viewer 2010 で、市販の Visio 製品ではない。マイクロソフトの評価：重要

解決方法：
マイクロソフトは脆弱性を修正するSharePoint と SharePoint Foundation の更新プログラムをリリースしている。状況に適した SharePoint の更新プログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。とはいっても、サーバの更新プログラムは実際のプロダクション環境に取り入れる前にテストしておく方がいいだろう。下記のURLからそれぞれのアドバイザリの「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。
解決策：
ウォッチガードユーザ専用 XTMアプライアンスでは、HTTPプロキシやSMTPプロキシ、FTPプロキシを使ってマイクロソフトのVisioドキュメントがネットワークから遮断されるように設定することができる。しかし、そうすることで問題があるないにかかわらず、すべてのVisioファイルを遮断してしまうので注意が必要だ。仕事上、定期的にネットワークの外部にVisioファイルを移動させている場合は、Visioを遮断することは避けた方がいいかもしれない。逆に、ネットワークから遮断しても差し支えない場合は、そうした対策をとることで更新プログラムをインストールするまでの間はVisio Viewerの脆弱性によるリスクを緩和させることができる。ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。

Visioファイルを識別する方法： ファイル拡張子：
- .vsd - Visio Drawing ファイル
- .vst - Visio テンプレートファイル
- .vss - Visio Stencil ファイル
- .vdx - Visio XML Drawing ファイル
- .vtx - Visio XML Template ファイル
- .vsx - Visio XML Stencil ファイル
MIME タイプ:
- application/visio
- application/x-visio
- application/vnd.visio
- application/visio.drawing
- application/vsd
- application/x-vsd
- image/x-vsd
- zz-application/zz-winassoc-vsd
- application/x-visiotech
マジックバイトのパターンにより報告されたFILExt.com：
- 16進数（Hex)：D0 CF 11 E0 A1 B1 1A E1 00
Visioファイルをネットワークから遮断したいのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定すればよい。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
マイクロソフトは脆弱性を修正できるSharePointとVisio対象の更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
ウェブベース攻撃を回避するアドビのShockwave更新プログラム 2012年2月15日
ウェブベース攻撃を回避するアドビのShockwave 更新プログラム
2012年2月15日
コーリー・ナクライナー

概要：
- 対象：
  ウィンドウズや Mac で使用しているアドビのShockwave Player 11.6.3.633（それ以前のバージョンも含む）
- 悪用方法：
  悪質な Shockwave コンテンツを含むウェブサイトにユーザを誘導する
- 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり
- 対策：
  ネットワークでShockwaveの使用を許可している場合は、できる限り早急にAdobe Shockwave Player の最新バージョン (11.6.4.634) をインストールすることをすすめる
詳細：
アドビによると、Shockwaveというインタラクティブな動画のウェブコンテンツやムービーを表示できる Adobe Shockwave Playerは何億台もの PC にインストールされているという。アドビは火曜日にリリースしたセキュリティアドバイザリで、Windows やMacで使われているAdobe Shockwave Player 11.6.3.633 （およびそれ以前のバージョン）に影響している深刻な脆弱性9件について警告した。アドビのセキュリティアドバイザリは技術詳細については触れていないが、大部分においてはメモリに関連する脆弱性で、ヒープ･バッファオーバーフローやその他のメモリ破損の欠陥などがある。欠陥の技術面はどれも異なるが、その作用範囲と影響力は同じだ。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザを誘導することに成功すると、攻撃者はこうした欠陥のいずれかを悪用してユーザのコンピュータで、ユーザの特権を使ってコードを実行することができるようになる。また、ウィンドウズユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。このため、ネットワークでShockwaveの使用を許可している場合は、できる限り早急に最新バージョンをインストールすることをすすめる。

解決方法：
アドビはこうした脆弱性を修正できる Shockwave Player 11.6.4.634 をリリースしているので、ネットワークで Shockwave の使用を許可している場合は、できる限り早急に最新バージョンをインストールすることをすすめる。

最新バージョンは下記の URL からダウンロードすることができる。

解決策：ウォッチガードユーザ専用
XTMアプライアンスでは、HTTPプロキシを使って Shockwave コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのShockwaveコンテンツを遮断してしまう点に注意しよう。ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数パターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。

Shockwave ファイルを識別する方法： ファイル拡張子：
- .swf - Adobe Shockwave ファイル
MIME タイプ:
- application/x-shockwave-flash
- application/x-shockwave-flash2-preview
- application/futuresplash
- image/vnd.rn-realflash
マジックバイトのパターンにより報告されたFILExt.com：
- 16進数（Hex)：46 57 53
（このパターンは短すぎるため誤検知になりやすいので勧められない）
Shockwave ファイルをネットワークから遮断したい場合は、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法でFireboxプロキシのコンテンツブロック機能を設定すればよい。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビはこうした脆弱性を修正する Shockwave Player の更新プログラムをリリースしている。

参考資料：
- アドビ（日本版）のセキュリティ・アップデート（抄訳）
続きを読む»
オラクルの深刻なJava 脆弱性（14）を修正する 2012年2月15日
オラクルの深刻な Java 脆弱性（14）を修正する

セキュリティ更新プログラム
2012年2月15日
コーリー・ナクライナー
危険度：高

概要：
- 対象：
  JRE（Sun Java Runtime Environment）のすべてのバージョンと、今日までにリリースされた JDK（Java Development Kit）
- 悪用方法：
  細工した Java を含む悪質なウェブページにユーザを誘導する方法が一般的
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる
- 対策：
  状況に適した JRE (または JDK) の更新プログラムをできる限り早急にインストールすること
詳細：
サン･マイクロシステムズにより開発されたプログラミング言語の Java は、ウェブページを向上させるためによく使われる。オラクルのSun< a href="http://en.wikipedia.org/wiki/Java_%28software_pla tform%29" target="_blank">Java Runtime Environment (JRE)は、現在もっとも人気のある Java インタプリタである。しかし、米国時間の2月14日にオラクルはセキュリティアラートをリリースし、Windows、Solaris、Linux のプラットフォームで使用しているSun JRE （または Sun Java SDK）における、これまでのバージョンすべてに影響を与えるセキュリティ脆弱性 14 件について警告した。脆弱性の技術面はそれぞれ異なるが、攻撃者は Java を含む特別に細工した悪質なウェブページにユーザを誘導するなどして欠陥を悪用することができる。最悪の場合、もしユーザがそうしたサイトに行ってしまった場合、攻撃者はいずれかの Java欠陥を利用し、ユーザの特権を使ってそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者やルート特権を持っていた場合、攻撃者はこうした欠陥を利用して、そのコンピュータを完全に操作できるようになることも考えられる。

ウォッチガードが今回の Javaアップデートを深刻な問題として受け止めるに至った理由は、攻撃者達によるJava欠陥をターゲットにしたドライブバイ･ダウンロード攻撃が次第に増えており、ウェブ・ブラウザ欠陥を悪用するケースよりも頻繁に見られるようになってきているからだ。
大方のユーザがそうであるように、Javaをインストールしている場合はオラクルのセキュリティ更新プログラムをできる限り早急にダウンロードし、インストールすることをすすめる。

解決方法：
サンはこうした問題を修正するため、JREとSDKを対象にした数々のセキュリティ更新プログラムをリリースしている。ネットワークでSun JRE を使用している場合は、できる限り早急に状況に適したセキュリティ更新プログラムをダウンロードし取り入れることをすすめる。セキュリティ更新プログラムはオラクルのアラートにある「Patch Availability Table」の欄で見つけることができる。

解決策：ウォッチガードユーザ専用
ウォッチガードのFireboxモデルの中にはウェブサイトからJavaアプレットをユーザがダウンロードできないように設定できるものもある。しかし、そうすることで特に問題のないウェブサイトもJavaアプレットを使うことができなくなるため、Java アプレットを無効にしたくないのであれば、状況に適した Sun JRE セキュリティ更新プログラムをできる限り早急にダウンロードすることをすすめる。また、Javaアプレットを無効にすることでいくつかの脆弱性によるリスクを緩和させることができるかもしれないが、すべてのリスクを抑えるわけではないので、オラクルの更新プログラムを取り入れることが最善の解決方法であるといえるだろう。 FireboxのHTTPプロキシでJavaバイトコードを無効にする方法については、ヘルプページを参考にすることをすすめる。

ステータス：
オラクルは問題を修正する更新プログラムをリリースしている。

参考資料：
- オラクルのセキュリティアドバイザリ（2012年2月）
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)
続きを読む»
9つのセキュリティ脆弱性を修正する6つのウィンドウズセキュリティ更新プログラム 2012年2月14日
9つのセキュリティ脆弱性を修正する6つのウィンドウズセキュリティ更新プログラム
2012年2月14日
コーリー・ナクライナー
.NET Framework / カーネルモード・ドライバ / Indeo コーデック、その他
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント。 .NET Framework と SilverLight にも影響あり
- 悪用方法：
  有害なウェブサイトにユーザを誘導したり、有害なメディアやファイルを開くように促すなど様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる
詳細：
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響を与えている 9 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。アドバイザリの中には、.NET FrameworkやSilverlightで発見された欠陥について説明しているものもある。この2つはオプション機能だが、ウィンドウズ開発に使う人気のフレームワークだ。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下のとおり：
- MS12-008: カーネルモード･ドライバの脆弱性（2）
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素である。ウィンドウズには、OSのデバイスインタラクションをカーネルレベルで処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。しかし、カーネルモード･ドライバは2つの脆弱性の影響を受けており、中でも悪質なのは、カーネルモード･ドライバがWindows GDIからパスされたインプット処理で入力確認できない点が原因となっているコード実行の欠陥だ。有害なウェブサイトにユーザを誘導したり、特別に細工したメールを開かせたり、悪質なプログラムを実行させるように促すなどして、攻撃者はこの欠陥を悪用してユーザの Windows コンピュータを完全に操作できるようになる。これは実に深刻な欠陥であるため、できる限り早急に更新プログラムをインストールすることをすすめる。マイクロソフトの評価：深刻
- MS12-013: Msvcrt.dll バッファオーバーフローの脆弱性
Msvcrt.dll はダイナミックリンクライブラリ (DLL)で、ウィンドウズのシステムレベルのコンポーネントが定期的なタスクを行う場合によく使う機能だ。しかし、これは未特定のバッファオーバーフローの影響を受けており、細工したメディアファイルをユーザが開くように誘導すると（メールやウェブを使用）、攻撃者は欠陥を悪用してそのユーザの特権を使い、ユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者である場合、攻撃者はユーザのPCを完全に操作できるようにもなる。マイクロソフトの評価：深刻
- MS12-016: .NET Frameworkのコード実行欠陥（2）
. NET Frameworkは新しいウィンドウズやウェブアプリケーションの作成に開発者が使うソフトウェア・フレームワークだが、 .NET Framework と SilverLight は2つのコード実行脆弱性の影響を受けている。2つの欠陥の技術面は異なるが、その作用範囲と影響力は同じだ。.NET Frameworkをインストールした細工済みのウェブサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は .NET FrameworkやSilverlightエレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NETベースプログラムにも影響している。つまり、サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。マイクロソフトの評価：深刻
- MS12-009: Ancillary Function ドライバのEoP 脆弱性（2）
マイクロソフトによると、Ancillary Functionドライバ (AFD)はウィンドウズのコンポーネントで、Winsock TCP/IP コミュニケーションを管理するために役立つという。しかし、それは2つのローカル特権昇格 (EoP)の問題の影響を受けており、特別に細工したアプリケーションを実行することで、攻撃者は実際の自分のユーザ特権にかかわらず、欠陥を利用して完全なシステム特権でコードを実行することができる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルでユーザのウィンドウズへのローカルアクセス権を必要とするため、このリスクは大幅に低下する。マイクロソフトの評価：重要
- MS12-012: カラーコントロールパネルの動作が不安定なライブラリローディングの脆弱性
Windows 7 にはカラーコントロールパネルなど、様々な「デスクトップ・エクスペリエンス」機能が搭載されている。Windows Server 2008やServer 2008 R2は、こうしたデスクトップ・エクスペリエンス機能を既定的にインストールしていないが、オプションとしては提供している。しかし残念ながら、Server 2008 バージョンのカラーコントロールパネルは、過去のマイクロソフトアラートで何度も説明してきたダイナミックリンクライブラリ（DLL)のローディングクラス問題の影響を受けている。ひとことでいえば、この種類の欠陥は細工済みのDLLファイルと同じ場所にある罠を仕掛けたファイルを攻撃者がユーザに開かせることに関与している。罠が仕掛けられているファイルをユーザが開くと、攻撃者はユーザの特権を利用して、その有害な DLL ファイルでコードを実行できるようになる。ユーザがローカル管理者の特権を持っている場合は、攻撃者がこの種の問題を悪用してユーザのコンピュータを完全に操作できるようになる。今回の場合はカラーコントロールパネル、特に .ICM や .ICC ファイルに関連したファイルの種類により、脆弱性は誘発されるようになっている。この欠陥の影響を受けているのは、 Windows Server 2008 と Server 2008 R2 のユーザで、オプション機能のカラーコントロールパネルをインストールしている場合に限られている。マイクロソフトの評価：重要
- MS12-014: Windows XP のIndeo コーデックの動作が不安定なライブラリローディングの脆弱性
Indeo コーデックはレガシービデオコーデックで、特に圧縮されフォーマットされたビデオをウィンドウズが再生するために使う機能だ。Windows XPに搭載されているIndeo コーデックは、先述の問題とほぼ同じである動作が不安定なライブラリローディング問題の影響を受けている。その2つが唯一異なるところは、攻撃者は有害なDLLと同じ場所にある .AVIファイルをユーザがダウンロードするように誘導しなければならない点だ。ただし、この欠陥の影響を受けているのはWindows XP のみである。マイクロソフトの評価：重要

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。
解決策：ウォッチガードユーザ専用
攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用するが、適切に設定してあるファイアウォールであれば、こうした問題のいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、この欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできないので、マイクロソフトのセキュリティ更新プログラムをインストールし、こうした欠陥から自分のネットワークを完全に守ることをすすめる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
- マイクロソフトセキュリティアドバイザリ一覧（日本語）
この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)
続きを読む»
ドライブバイダウンロードを避けるには？ IE のセキュリティ更新プログラム 2012年2月14日
ドライブバイダウンロードを避けるには？
IE のセキュリティ更新プログラム
2012年2月14日
コーリー・ナクライナー
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン（程度に違いあり）
- 悪用方法：
  有害なウェブページにユーザを誘導する
- 影響：
  この問題による影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
- 対策：
  状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
マイクロソフトは米国時間2月14日に月例パッチを発表した。このセキュリティアドバイザリでは、現バージョンのウィンドウズで使用している Internet Explorer (IE) バージョン 9.0 とそれ以前のバージョンで発見された 4 つの新しい脆弱性について説明、その危険度を「深刻」と評価している。欠陥の技術面はそれぞれ異なるが、そのうち2つの欠陥の作用範囲と影響力は同じである。その2つは、IE が多々ある HTML オブジェクトの取り扱いを誤る点に関係したメモリ破損欠陥の影響を受けている。有害なウェブコードを含むウェブページにユーザを誘導することに成功すると、攻撃者は脆弱性を悪用してユーザの特権をもってそのコンピュータでコードを実行できるようになる。通常、ウィンドウズユーザはローカル管理者の特権を持っているが、その場合は攻撃者がユーザのコンピュータを完全に操作できるようになる。このセキュリティ更新プログラムは他にも二つの情報開示問題も修正している（先述の脆弱性に比べれば深刻性は低い）。詳細についてはマイクロソフトのセキュリティアドバイザリを参照することをすすめる。最近の攻撃者達は、正当なウェブページをハイジャックして有害なコードで罠を仕掛ける手口を使うため、その点においても注意が必要だ。見覚えのあるウェブサイトや正当なウェブサイトでさえも、その方法でハイジャックされドライブバイ･ダウンロード攻撃に利用されているケースがよく見られる。こうした攻撃を避けるには、マイクロソフトが提供している IE のセキュリティ更新プログラムをできる限り早急にインストールすることをすすめる。

解決方法：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。マイクロソフトが提供しているIE アドバイザリの「影響を受けているソフトウェアと受けていないソフトウェア」の欄には、下記にまとめたリンクから直接いくことができる。また、IE の各種セキュリティ更新プログラムのダウンロード先も、ここで確認することができる。

解決策：ウォッチガードユーザ専用
通常、このタイプの攻撃はごく普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがインターネットにアクセスできるようにするには HTTPトラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。大方の場合、ウォッチガードの IPS / AV / RED (Reputation Enabled Defense) サービスを使ってこの種の攻撃からネットワークを守ることができる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

続きを読む»

52のセキュリティ脆弱性を修正、2012年初のOSX アップデート 2012年2月1日

52のセキュリティ脆弱性を修正、2012年初のOS X アップデート
2012年2月1日
コーリー・ナクライナー

概要：

対象：
現バージョンの OS X 10.6.x (Snow Leopard) と OS X 10.7.x (Lion)
悪用方法：
有害なウェブサイトにユーザを誘導したり、ユーザがドキュメントやメディアファイルを開くように仕向けるなど、様々な攻撃方法がある
影響：
結果は様々だが最悪の場合は攻撃者がユーザのコンピュータでコードを実行できるようになる
対策：
OS Xの管理者は、できる限り早急にOS X 10.7.3 またはセキュリティアップデート2012-001をダウンロードしテストしてからインストールするか、アップルのソフトウェアアップデートに任せ、必要な更新プログラムを取り入れることをすすめる

詳細：
アップルは米国時間の2月1日にセキュリティアップデートをリリースし、OS Xの現バージョンで発見された脆弱性をすべて修正した。このアップデートは27のコンポーネント内で発見されたセキュリティ問題（52件）を修正することができる（数字はCVE-IDより）。こうしたコンポーネントにはApacheやQuicktime、Time Machine などがあり、OS X やOSX Serverの一部として搭載されている。

今回修正された脆弱性のいくつかを次に説明する：

ImageIOバッファ・オーバーフローの脆弱性（複数）
ImageIO は、様々な種類のイメージファイルをOS Xが処理できるようにするコンポーネントだが、残念なことにバッファ・オーバーフローなど様々なセキュリティ脆弱性の影響を受けている。この脆弱性は特定の種類のイメージファイルを処理する方法に関与しており、技術面は異なるものの、その作用範囲と影響力はどれもほぼ同じである。細工された悪質なイメージファイルをユーザが閲覧すると、その罠を仕掛けた攻撃者はいずれかの欠陥を悪用してアプリケーションをクラッシュさせたり、被害者のコンピュータでコードを実行することが可能になる。また、デフォルトにより攻撃者はユーザの特権でのみコードを実行することができる。

問題の影響を受けているイメージタイプ：TIFFやPNGなど。
CoreAudioバッファ・オーバーフローの脆弱性
CoreAudioはオーディオコンテンツをOS Xが再生できるようにするコンポーネントだが、バッファ・オーバーフローの影響を受けている。細工済みの悪質なオーディオファイルをユーザに再生させると、攻撃者はこの欠陥を悪用してユーザのシステムをクラッシュさせたり、ユーザの特権を使ってコードを実行できるようになる。
Quicktimeの脆弱性（複数）
QuicktimeはOS X（およびiTunes）に搭載されており、ビデオやメディアの再生を可能にするものだが、6つのセキュリティ問題の影響を受けていることが分った（数字はCVE-IDによる）。こうした脆弱性は、特定のイメージやビデオファイルを処理する方法に関与しており、それぞれの技術面は異なるが作用範囲と影響力は同じだ。攻撃者は、悪質に細工されたイメージやビデオをユーザがQuickTimeで閲覧するように仕向け、それに成功するといずれかの欠陥を悪用し、ユーザの特権でそのユーザのコンピュータでコードを実行できるようになる。

アップルのアラートは、サービス拒否（DoS)欠陥や特権昇格の脆弱性そして情報開示の欠陥など、その他にも様々なコード実行の脆弱性について説明している。

今回のセキュリティ更新プログラムで修正された主なコンポーネント：

Apache	ATS
CFNetwork	ColorSync
CoreAudio	CoreMedia
CoreText	CoreUI
curl	Data Security
dovecot	filecmds
ImageIO	Internet Sharing
Libinfo	libresolv
libsecurity	OpenGL
PHP	QuickTime
SquirrelMail	Subversion
Time Machine	Tomcat
WebDAV Sharing	Webmail
X11

詳細に関してはアップルの OS X 10.5.x と10.6.x のアラートを参照することをすすめる。

解決方法：
アップルはOS X Security Update 2012-001 と OS X 10.7.3をリリースし、こうしたセキュリティ問題を修正しているので、OS Xの管理者はできる限り早急に更新プログラムをダウンロードしテストしてから取り入れるか、アップルの自動ソフトウェアアップデート機能に任せて必要な更新プログラムをインストールすること。

注意：
セキュリティ更新プログラムの中にはサイズが大きなものもあるので（700MBまたはそれ以上）、再起動の必要がある。
全ユーザ対象：
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用するが、中にはユーザのぺリメター・ファイアウォールに気付かれずに攻撃が行われるローカルの悪用方法もある（社内の部署間でファイアウォールを設置している場合は別）。このためセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
アップルは欠陥を修正できる更新プログラムをリリースしている。
参考資料：

2012年2月　OS X セキュリティアップデート（英文）
アップル（日本語サイト）

この記事はコーリー・ナクライナー CISSP が調査し書いたものです。
ツイッター：@SecAdept

ウィンドウズのセキュリティ更新プログラム（6件） 2012年1月11日
ウィンドウズのセキュリティ更新プログラム（6件）
深刻なケース（1件）
ウィンドウズ / メディアコンポーネント / CSRSS/SSL / TLS、他
2012年1月11日
コーリー・ナクライナー
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント
- 悪用方法：
  罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる
詳細：
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する 7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールすることができる。

危険性の高い問題から順番にまとめた概要は以下の通り：
- MS12-004:
  ウィンドウズのメディアコード実行の欠陥（2）
ウィンドウズにはWindows Media PlayerやDirectShowなど、メディアレンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズメディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。マイクロソフトの評価：深刻
- MS12-001:
  ウィンドウズカーネルのSafeSEHバイパスの脆弱性
ここ何年もの間、マイクロソフトは攻撃者がバッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々なデータ実行防止（DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者がシェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズのStructured Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。マイクロソフトの評価：重要
- MS12-002:
  ウィンドウズのオブジェクトパッケージャーにあるコード実行の脆弱性
マイクロソフトによると、ウィンドウズのオブジェクトパッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC Magazineの用語集によると、それはオブジェクトパッケージャーをObject Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクトパッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクトパッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer 2003 のみである。マイクロソフトの評価：重要
- MS12-003:
  CSRSS 特権昇格の脆弱性
クライアント/サーバ･ランタイム･サブシステム（CSRSS）は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズやスレッドの作成・削除の役割を担っているが、CSRSSはローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。マイクロソフトの評価：重要
- MS12-005:
  マイクロソフトのClickOnceコード実行の欠陥
マイクロソフトのClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。マイクロソフトの評価：重要
- MS12-006:
  SSL/TLSプロトコルの脆弱性（BEAST攻撃）
去年9月、Ekoparty セキュリティコンフィレンスにて、研究家達がBEAST SSL/TLS攻撃のデモを行った。BEASTは［Browser Exploit Against SSL/TLS］の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006 アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。マイクロソフトの評価：重要
解決方法： マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで［影響を受けている（または受けていない）ソフトウェア］の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。

次のリンクは、各セキュリティアドバイザリの［影響を受けているソフトウェアと受けていないソフトウェア］の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。
解決策：
ウォッチガードユーザ専用攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
日本語版セキュリティアドバイザリ一覧
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。
続きを読む»
アドビ、Reader と Acrobat の更新プログラムをリリース 2012年1月11日
アドビ、Reader と Acrobat の更新プログラムをリリース
2012年1月11日

コーリー・ナクライナー
概要：
- 対象：
  ウィンドウズ、Mac、UNIXで使用している Adobe Reader、Acrobat X 10.1.1、それ以前のバージョン
- 悪用方法：
  故意に作成した PDF ドキュメントをユーザに閲覧させる
- 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  ウィンドウズユーザは、アドビの Reader や Acrobat X 10.1.2 または 9.5 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細：
今月のパッチデーで、アドビはAdobe ReaderとAcrobat X 10.1.1（それ以前のバージョンも対象）で発見された6つのセキュリティ脆弱性について説明したセキュリティアドバイザリをリリースした。アドビはそうした欠陥の技術詳細を説明していないが、ReaderやAcrobatコンポーネント内に見られる問題はメモリ破損関連が大方だ。故意に作成された PDF ファイルをユーザが開くように攻撃者が誘導した場合、攻撃者はこうしたタイプの問題を悪用し、ユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。過去に掲載した記事でも説明したが、定例外にリリースされたアドビの更新プログラムはReaderとAcrobat 9.4.6 およびそれ以前のバージョンにあった2つのゼロデイ脆弱性を修正している。こうしたゼロデイ欠陥は Reader とAcrobat X にも影響を与えているが、アドビは実社会での悪用においては、Xに搭載している保護機能でこの欠陥の悪用を防げると見ていたため、その時点でX対象の更新プログラムをリリースしなかった。しかし、今回リリースされたReaderの更新プログラムは ReaderとAcrobat Xで見られる2つの未解決問題を修正している。 【アップデート】アドビが公式にセキュリティアドバイザリを公開してから、無所属の研究家達や組織らが欠陥詳細に関する情報をシェアしている。技術面に精通しているセキュリティプロで、問題の詳細を知りたいならば次のセキュリティメーリングリストに登録するといいだろう：FullDisclosure / Security Focus
解決方法：
アドビはReaderやAcrobat X 10.1.2（レガシーユーザ対象の9.5も含む）を対象とした更新プログラムをリリースしており、こうした問題を修正できるようにしている。状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア・アップデート機能に任せることをすすめる。
- Adobe Reader X 10.1.2
- Adobe Acrobat X 10.1.2
解決策：ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは、PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。大抵、ただ GAV サービスを有効にしておくだけで、このように有名で一般的に見られるセキュリティ脅威からネットワークを守ることができる。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ･ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することができる。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。
続きを読む»
ゼロデイ脆弱性を修正するReaderと Acrobat のセキュリティ更新プログラム 2011年12月16日
ゼロデイ脆弱性を修正するReader と Acrobat のセキュリティ更新プログラム
2011年12月16日
　
コーリー・ナクライナー

概要：
- 対象：
  ウィンドウズ / Mac / UNIX で使用している Adobe Reader、Acrobat 9.x、それ以前のバージョン（厳密にいえば Readerへの影響もあるが、悪用しにくい）
- 悪用方法：
  故意に作成した PDF ドキュメントをユーザに閲覧させようとする
- 影響：
  攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  ウィンドウズ･ユーザは、アドビの Reader や Acrobat X9.4.6 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
詳細：
過去に掲載した記事でアドビの Reader にあるゼロデイ脆弱性を利用して攻撃者達が特定の業界に攻撃を仕掛けていると警告した。攻撃者達は故意に細工した PDF ファイルをメールに添付し、対象を絞り込んだフィッシングメールで攻撃は仕掛けているのだが、ユーザがその PDF ファイルを開いてしまうと、これまで知られていなかった脆弱性を攻撃者が利用してユーザの特権を使い、ユーザのコンピュータでコードを実行することが可能になってしまう。アドビは、今週内にそのゼロデイ問題に対応する更新プログラムをリリースすると約束しており、今日、そのプログラムが公開された。このセキュリティアドバイザリによると、定例外にリリースされたこの更新プログラムは一般環境下で攻撃者達が悪用したことがある2つのセキュリティ脆弱性を修正しているという。アドビはこれまでと同様に欠陥の詳細については説明していないが、Reader や Acrobat のコンポーネントであるU3D や PRC コンポーネントとのメモリ破損に関係しているとは述べている。先にも説明したが、故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこの問題を悪用してユーザの特権でコードを実行できるようになる。また、ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようになる。 解決方法： アドビは、ウィンドウズ･システムに見られるこうした脆弱性を修正するウィンドウズ用の Reader や Acrobat 9.4.6 をリリースしている。Mac や Unix など別のプラットフォームで使用している Reader のバージョンも、こうした問題の影響を受けやすいのだが、アドビはそれらを対象とする更新プログラムは 2012年1月10日に予定されている次回の更新プログラム・リリース日まで用意する予定はないという。また、最近の Reader や Acrobat X (10.1.1) バージョンも、これに対して脆弱なので注意が必要だ。とはいっても、アドビは保護機能が搭載されているXバージョンでこうした欠陥を攻撃者が悪用することはないだろうと見ている。それでもアドビは 1 月に Reader X のセキュリティ更新プログラムをリリースする予定だという。ウィンドウズ版の Reader や Acrobat 9.x のユーザは、次のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる。
- Adobe Reader 9.4.6
- Adobe Acrobat 9.4.6
解決策：ウォッチガードユーザ専用
ウォッチガードの Firebox シリーズ製品の多くは PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上、この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックとして PDF ファイルをスキャンできる点を覚えておこう。多くの場合、ただ GAV サービスを有効にしておくだけで、有名で一般的なセキュリティ脅威からネットワークを守ることができるのだ。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ･ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することが可能だ。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビは特定のウィンドウズ・システムで見られる脆弱性を修正するセキュリティ更新プログラムをリリースしている。また、アドビはこの他のセキュリティ更新プログラムを 1 月にリリースする予定だ。
参考資料：
- アドビ（日本版）のセキュリティ・アップデート（抄訳）
- アドビ（英文）のセキュリティ・アップデート
この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。
続きを読む»
WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正 2011年12月15日
WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正
2011年12月15日
コーリー・ナクライナー
危険度：高
2011年12月15日

概要：
- 対象：
  WatchGuard System Manager (WSM) v11.5.1
- 悪用方法：
  故意に作成したリンクをユーザがクリックするように誘導したり、細工した悪質なネットワーク・トラフィックをXTMアプライアンスを介して送信し、ウォッチガードのウェブUIにあるログ結果を見せるなど、攻撃方法は複数ある
- 影響：
  最悪の場合は、攻撃者がユーザのブラウザで特権を昇格させた状態でコードを実行、場合によっては、ユーザのウェブ･ブラウザをハイジャックする可能性もある
- 対策：
  都合がつき次第、[WSM 11.5.1 Update 1] をインストールすることをすすめる
詳細：
数週間前、ウォッチガードは [Fireware XTM OS] と [WatchGuard System Manager (WSM) v11.5.1] をリリースした。それには、新たにデザインした [Log and Report Manager Web UI] もあり、ロギングやレポートのインターフェイスを大きく改善、これまでに比べ、そのスピードと使い勝手が大幅に向上した。しかしWSM v11.5.1をリリースしてすぐに、 [Log and Report Manager Web UI] に影響を与えるセキュリティ問題が発見された。そのうち非公開に報告されたものは2件、社内で発見したものは2件あった。[WSM v11.5.1 Update 1] は、それら4件すべてのセキュリティ問題を修正している。
- BUG 64549:
  ログ･メッセージの頑固なXSS 脆弱性(CVE-2011-4774)
- BUG 64551:
  URL パラメータの反射型XSS脆弱性(CVE-2011-4774)
- Nessus報告による危険性の低い2つの脆弱性
解決方法：
[WSM v11.5.1 Update 1] は、4件すべてのセキュリティ問題を修正している。XTMアプライアンスでWSM v11.5.1をインストールした管理者は、都合がつき次第 Update 1をダウンロードし、インストールしておくことをすすめる。
FAQ: 他のウォッチガード製品への影響は？
ありません。我々が知る限り、この脆弱性が影響しているのは新しい [WSM v11.5.1 Log and Report Manager Web UI] のみです。
脆弱性は？
こうした4つの脆弱性の中で、もっとも悪質なのはクロスサイト・スクリプティング（XSS）脆弱性で、ウォッチガードのウェブ UI 環境下で攻撃者がユーザのウェブ・ブラウザでスクリプトを実行できるようにするものです。概して攻撃者達はXSS攻撃を利用して、ユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトにユーザを誘導したり、脆弱なウェブサイトでユーザとして動きを取れるようになります。場合によっては、攻撃者が XSS 攻撃を利用して、ユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることもできます。とはいっても、攻撃者達がこれを利用し、ユーザのXTMアプライアンスへのアクセス権を獲得したり、ファイアウォールのルールを変更したりすることはできません。
この脆弱性はかなり深刻ですか？
XSS脆弱性2件はかなり深刻であると我々は捉えています。けれど、攻撃者が実社会において欠陥を悪用することを限定する要因もいくつかあります。概してXSS欠陥は非常に危険なものです。[Browser Exploitation Framework (BeEF)] のようなツールは、攻撃者が簡単なXSS欠陥を利用して、ユーザのブラウザを大きくコントロールし、ユーザのコンピュータにおいても、その力が及ぶ可能性があることを例証しています。とは言うものの、XSS 脆弱性を悪用するには攻撃者達がユーザそしてその組織について十分な情報を把握していなければなりません。特に、ユーザがWSM v11.5.1サーバを管理しているということを知っておく必要があるほか、ユーザにリンクをクリックさせるように誘導したり、ウェブUIにある特定のログ・メッセージをユーザが閲覧するようにしなければならないため、これは対象を絞り込んだ攻撃であるといえるでしょう。ちなみに、こうした欠陥は攻撃者にユーザのXTMアプライアンスへのアクセス権を与えることはしません。とはいっても、セキュリティ会社のウォッチガードとしては、弊社製品におけるあらゆる種類の脆弱性を非常に深刻に捉えていますので、ユーザの皆様には [WSM v11.5.1 Update 1] をできる限り早急にインストールいただくよう、おすすめしています。
Update 1をインストールする他に、回避策はありますか？
とくにありません。悪質なフィッシング・リンクをクリックしなければ、攻撃者がこの反射型XSS攻撃を悪用することはできません。とはいっても、実に腕の立つセキュリティのプロでさえ、時々間違ったリンクをクリックしてしまうことはあります。XTMアプライアンスで、受信用トラフィックを一切許可していなければ、攻撃者は細工した悪質なメッセージでユーザのログファイルに罠を仕掛けることはできないかもしれません。ただ、大方の組織では少なくともメール・トラフィックを許可するポリシーがあるので、それだけでも外部攻撃者がユーザのログを破損させる可能性につながります。このため、ウォッチガードでは [WSM v11.5.1 Update 1] をインストールし、問題を修正することをおすすめしています。
ホットフィックスを入手するには？
現在、ウォッチガードのサポートセンターにある [Articles & Software] で [WSM 11.5.1 Update 1] を入手することができます。XTMアプライアンスは [Management Software] にあります。
どうやって問題を発見したか？
脆弱性4件中2件は、Sec-1 (@Sec1Ltd) のウェイン・マーフィー氏が発見し、未公開の状態でウォッチガードがその報告を受けました。この場をお借りして、弊社お客様の安全維持にご協力頂いたマーフィー氏に感謝申し上げます。また、他2件は社内で発見しました。
この脆弱性が一般環境下で悪用されている兆しはありますか？
ありません。現時点において、この脆弱性が一般の環境下で悪用されているという兆しはありません。また、今後その可能性は大きくないと我々は見ています。
他にも質問がある場合は、ウォッチガードの誰に連絡をすればいいですか？
この問題に関して他に質問がある場合、またはウォッチガード製品関連その他セキュリティについて懸念があれば、次の連絡先までお問い合わせください。
コーリー・ナクライナーCISSP

シニア・ネットワーク・セキュリティ・ストラテジスト
WatchGuard Technologies, Inc.

http://www.watchguard.com（本社）
http://www.watchguard.co.jp（日本）

corey.nachreiner@watchguard.com

続きを読む»
ウィンドウズのセキュリティアドバイザリ（4） 2011年11月8日
ウィンドウズのセキュリティアドバイザリ（4）：
リモートルートを許可するTCP/IP緊急問題

2011年11月8日

コーリー・ナクライナー 対象： TCP/IP、Active Directory、Windows メールなど

危険度：高

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント（但し、最近のバージョンの方がより影響を受けている模様）
- 悪用方法：
  特別に細工したパケットを送信したり、罠が仕掛けられたファイルを開くようにユーザを誘導したりするなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
今日、マイクロソフトはウィンドウズやウィンドウズに搭載されているコンポーネントに影響を与えている4つの脆弱性についてそれぞれ説明するため、セキュリティアドバイザリを4件リリースした。各脆弱性による影響はウィンドウズのバージョンにより異なるが、今回影響を大きく受けているのは Windows Vista 7 と Server 2008 である。リモート攻撃者は中でも悪質な欠陥を悪用して、ユーザのウィンドウズ PC を完全に操作することができる。

危険性が高い問題から順番にまとめた概要は以下の通り：
- MS11-083:
  TCP/IP リモートコード実行の脆弱性
想像通り、ウィンドウズのTCP/IP スタックはコンピュータがインターネットにアクセスすることを可能にするネットワーキング・プロトコルのセットだ。しかし残念ながら、ウィンドウズのTCP/IP スタックは特別に作成されたUDPパケットの連続フローを適切に解析できない点に関与する整数のオーバーフロー問題の影響を受けている。攻撃者は、そうしたパケットを送信することで欠陥を利用し、ユーザのウィンドウズを完全に操作できるようになる。この欠陥の影響を受けているウィンドウズのバージョンはWindows Vista、7、Server 2008 のみである。とはいっても、これは深刻な脆弱性であるため、更新プログラムを至急インストールすることをすすめる。

マイクロソフトの評価：緊急
- MS11-085:
  Windows メールとミーティングスペースの脆弱性による、安全でないライブラリのロード脆弱性
Windows メールはウィンドウズやミーティングスペースに搭載されているメールクライアントで、ドキュメントやデスクトップ共有用のアプリケーションだ。しかし、残念なことに、どちらのコンポーネントも安全でないダイナミックリンクライブラリ(DLL) クラスローディングの影響を受けている。その点については過去のマイクロソフトのアラートでも説明したと思うが、簡潔に言うと、攻撃者は特別に細工した悪質なDLLファイルの保存先と同じ場所にある罠を仕掛けたファイルをユーザが開くように誘導し、ユーザがその罠に掛かると、そのユーザの特権を持った状態で悪質なDLLに潜むコードを実行することができる。また、ユーザにローカル管理者の特権があった場合、攻撃者は問題を悪用してユーザのコンピュータを完全に操作できるようにもなる。今回のこのケースでは、メールやミーティングスペースに関係する.EMLや.WCINVといった拡張子のファイルにより、脆弱性が誘発されている。

マイクロソフトの評価：重要
- MS11-086:
  Active Directory の特権昇格問題
Active Directory (AD) は、ウィンドウズ用の一元認証や集中管理サービスを可能にするもので、ウィンドウズのサーバ版に搭載されている。そのオプションは様々だが、AD は証明書で認証することを可能にしている。しかしAD はSSL (LDAPS)でLDAPを使って設定しようとする際に脆弱性を処理する証明書の影響を受けている。つまり、AD は撤回されたSSL証明書を適切に認識しないため、攻撃者はその証明書を使ってユーザのシステムにアクセスできる可能性がある。とはいっても攻撃者がこの欠陥を利用するには、まずユーザのドメインで有効なアカウント用の撤回済み証明書にアクセスすることが必要であるため、この危険性のレベルは大きく低下する。しかし、攻撃者が有効なアカウントの証明書にアクセスできる場合は、それが撤回されていようがいまいが深刻な問題につながってしまう。

マイクロソフトの評価：重要
- MS11-084:
  カーネルモードドライバの脆弱性によるサービス拒否問題
カーネルは、あらゆるコンピュータのオペレーティングシステムにおいて中心となるコンポーネントだ。ウィンドウズは様々なカーネルレベルのデバイスを処理するカーネルモードのデバイスドライバ(win32k.sys)も搭載している。しかし、カーネルモードドライバは細工されたTrueTypeフォントの処理法に関係するサービス拒否（DoS）問題の影響を受けている。攻撃者は細工されたフォントファイルをユーザが開くように誘導したり、ファイルのホスト先をユーザがブラウズするように仕向けたりすることで欠陥を悪用し、ユーザのシステムが再起動するまで応答しないようにすることができる。ちなみに、この欠陥の影響を受けているのはWindows 7とServer 2008 R2 のみである。

マイクロソフトの評価：警告
解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。 MS11-083:
MS11-085:
* Server Core インストールには影響なし：
「Server Core」インストールオプションを選択した場合、ウィンドウズはメールやミーティングスペースなど、不必要なクライアントアプリケーションをインストールしないようになっている。 MS11-086: Active Directory のアップデート：
- For Windows XP (w/SP3)
- For Windows XP x64 (w/SP2)
- For Windows Server 2003 (w/SP2)
- For Windows Server 2003 x64 (w/SP2)
- For Windows Server 2003 Itanium (w/SP2)
- For Windows Vista (w/SP2)
- For Windows Vista x64 (w/SP2)
- For Windows Server 2008 (w/SP2)
- For Windows Server 2008 x64 (w/SP2)
- For Windows 7 (w/SP1)
- For Windows 7 x64 (w/SP1)
- For Windows Server 2008 R2 x64 (w/SP1)
- For Windows Server 2008 R2 Itanium (w/SP1)
MS11-084:
* Server Core インストールへの影響はなし
ウォッチガードユーザ専用

攻撃者達は様々な悪用方法を使って、こうした欠陥を悪用することができる。適切に設定してあるファイアウォールは、こうした問題のうち、いくつかのリスクを緩和させることができる。とはいってもFireboxでローカル攻撃を阻止することはできず、また、通常のHTTPトラフィックを利用する攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ一覧　(11月)

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
ウィンドウズのセキュリティアドバイザリ（危険性の高い問題1件、他） 2011年10月11日
ウィンドウズのセキュリティアドバイザリ（危険性の高い問題1件、他）

2011年10月11日
コーリー・ナクライナー .NET Framework / メディアセンター / カーネルモード・ドライバ
危険度：高

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント
- 悪用方法：
  有害なウェブサイトにユーザを誘導したり、罠を仕掛けたファイルを開くように仕向けるなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
今日、マイクロソフトはウィンドウズとウィンドウズに搭載されているコンポーネントに影響を与えている8つの脆弱性について、5件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンと、その影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズPCを完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り：
- MS11-078:
  .NET FrameworkとSilverlight のコード実行問題
.NET Frameworkは、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワークだ。.NET Framework とSilverLightはクラス内での継承を適切に制限していない。攻撃者は、その点を悪用してユーザと同じ特権で何かを実行できるウェブコードを作成することができる。攻撃者がこの欠陥を悪用するには、まず細工したサイトにユーザを誘導する必要がある（もしくは攻撃者の有害なサイトにリンクしている正当なサイトへ誘導）。また、ユーザがローカル管理者である場合、攻撃者はこの問題を悪用してユーザのコンピュータを完全に操作できるようになる。この欠陥は.NET FrameworkやSilverlightエレメントを使うウェブサイトにも影響を与えている。

マイクロソフトの評価：深刻
- MS11-075:
  Active Accessibilityの動作が不安定なライブラリ・ローディングの脆弱性
ウィンドウズにはActive Accessibilityコンポーネントが搭載されている。それは、障害を持つユーザがコンピュータを使いやすくする方法を提供するための機能である。しかし残念ながら、Active Accessibilityのコンポーネントは動作が不安定なダイナミックリンクライブラリのローディング・クラス問題の影響を受けている。それについては過去のアラートでも説明したことがあるが、一言でいえば、この種類の欠陥は、攻撃者が細工済みのDLLファイルと同じ場所にある罠を仕掛けたファイルをユーザに開かせることに関与している。罠が仕掛けられているファイルをユーザが開くと、悪質なDLLファイルでユーザの特権を利用した状態でコードを実行することができる。ユーザにローカル管理者の特権がある場合、攻撃者はこの種の問題を悪用してユーザのコンピュータを完全に操作できるようになる。マイクロソフトは、攻撃者がこの欠陥を悪用する場合に使うファイルの種類について、それが正当なファイルという以外には説明をしていない。こうした理由から、ウィンドウズで処理できるファイルの種類であれば、攻撃者は何でも使うことができるのであろうと我々は推測している。

マイクロソフトの評価：重要
- MS11-076:
  メディアセンターの動作が不安定なライブラリ・ローディング問題
ウィンドウズ・バージョンの中には（Vistaや7）、メディアセンターを搭載しているものもある。メディアセンターは、便利なインターフェースを通じてユーザのメディアを整理したり閲覧したり、聴いたりすることができるようにする機能だ。しかし、メディアセンターは動作が不安定なライブラリ・ローディング問題の影響を受けており、これは先述の問題とほぼ同様である。つまり、コンポーネントは異なるものの、その作用範囲と影響力はActive Accessibilityの問題とまったく同じである。ユーザが、悪質なDLLファイルと同じ場所にある罠が仕掛けられたファイルをダウンロードし開くと、攻撃者はこの欠陥を悪用してユーザの特権でユーザのコンピュータでコードを実行することができるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

マイクロソフトの評価：重要
- MS11-077:
  カーネルモード・ドライバのコード実行問題
カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素になる機能だ。ウィンドウズには、様々なカーネル・レベルのデバイスを処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されているが、カーネルモード・ドライバは4つのセキュリティ脆弱性の影響を受けている。もっとも悪質なのは、細工したフォント・ファイル(.fon)を処理する方法に関与するコード実行問題があり、細工したフォント・ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用して、そのユーザのコンピュータを（ユーザの特権に関係なく）完全に操作できるようになる。

マイクロソフトの評価：重要
- MS11-080:
  Ancillary Function ドライバの特権昇格問題
マイクロソフトによると、Ancillary Functionドライバ (AFD)とは、ウィンドウズのコンポーネントでWindows socketsアプリケーションをサポートするものであるという。ところが、AFDは入力に対する確認が不適切なことから、特権昇格(EoP)問題の影響を受けており、細工したプログラムを実行すると、ローカル攻撃者は欠陥を悪用して、ユーザのウィンドウズ・コンピュータを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行できるようにするには、まず有効なクレデンシャルを使ったユーザのウィンドウズのローカルアクセス権が必要となる。この点は、この欠陥によるリスクを大幅に緩和させている。ちなみに、この欠陥の影響を受けているのはXPとServer 2003 のみである。

マイクロソフトの評価：重要
解決方法： マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。
MS11-078: .NET Frameworkのアップデートは複雑でありバージョンに依存するため、マイクロソフトのセキュリティアドバイザリにあるパッチ詳細で、影響を受けているソフトウェア一覧を確認することをすすめる（もしくは、ウィンドウズの自動アップデート機能に任せること）。
- MS11-078 影響を受けているソフトウェア一覧
  
  注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
MS11-075:
MS11-076:
MS11-077:
MS11-080:
解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使って、こうした欠陥を悪用する。適切に設定してあるファイアウォールは、こうした問題のいくつかのリスクを緩和させることができる。とはいっても、Fireboxでローカル攻撃を阻止することはできず、また、通常のHTTPトラフィックを利用する攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ一覧

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
アドビのReaderとAcrobatの更新プログラム: 13件のセキュリティ欠陥を修正 2011年9月14日
アドビのReaderとAcrobatの更新プログラム:
13件のセキュリティ欠陥を修正

2011年9月14日

概要：
- 対象：
  ウィンドウズ、Macで使用している ReaderとAcrobat X 10.1、UNIXのReader 9.4.2
- 悪用方法：
  悪質に作成されたPDFドキュメントをユーザに閲覧させる方法が一般的
- 影響：
  最悪の場合、攻撃者がユーザのコンピュータでコードを実行し、ユーザのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したアドビのReaderやAcrobat X10.1.1のセキュリティ更新プログラムを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
アドビのパッチデーは年に４回ある（マイクロソフトのパッチデーとリリース日が重なっている）。今回のセキュリティアドバイザリでは、WindowsやMacで使用しているAdobe ReaderとAcrobat X 10.1およびそれ以前のバージョンに影響している
13件のセキュリティ脆弱性について説明している（情報源：CVE-ID）。また、UNIX対象のReader 9.4.2も、この影響を受けているという。欠陥の技術面は異なるが、主にバッファオーバーフローやメモリ破損の脆弱性から成り、その作用範囲と影響力はほぼ同じである。最悪の場合は、細工されたPDFドキュメント（.PDF）をユーザがダウンロードして開くように攻撃者が誘導し、それに成功すると様々な脆弱性を悪用してユーザの特権で、そのコンピュータにてコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。

Readerは、ブラウザでPDFドキュメントを閲覧する際に役立つ機能をインストールするので、悪質なPDFを埋め込んだウェブサイトに行くだけで、この種の攻撃を誘発することになってしまう。最近の攻撃者は、メールやウェブベースのマルウェアを利用した方法でReaderの脆弱性を活用しているため、できる限り早急にReaderの更新プログラムを取り入れることを強くすすめる。

解決方法：
アドビは、こうした脆弱性を修正できるReaderとAcrobat X 10.1.1をリリースしている。状況に適した更新プログラムを至急ダウンロードしてインストールするか、アドビのソフトウェアアップデート機能に任せることをすすめる。UNIXユーザの更新プログラム、Reader 9.4.6は2011年11月7日にリリースされる予定だ。
- Adobe Reader X 10.1.1
- Adobe Acrobat X
解決策：
ウォッチガードユーザ専用大方のウォッチガードFireboxシリーズ製品はPDFファイルを遮断することができる。しかし管理者はこの種のファイルを仕事上の目的で許可しておく傾向があるのが一般的だ。とはいえ、仕事をする上でどうしてもPDFファイルが必要でなければ、更新プログラムをインストールするまではFireboxのプロキシを使ってPDFファイルをネットワークから遮断することもできる。プロキシ機能を使ってPDFドキュメントを阻止したい場合は、下記のビデオ手順を参考にすることをすすめる。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
アドビは、こうした脆弱性を修正できるセキュリティ更新プログラムをリリースしている。

参考資料：
- アドビ（日本版）のセキュリティ・アップデート（抄訳）
- アドビ（英文）のセキュリティ・アップデート
続きを読む»
Windows更新プログラム：WINS で発見された問題と動作が不安定なDLLローディングの脆弱性を修正 2011年9月13日
Windows更新プログラム：
WINS で発見された問題と動作が不安定なDLLローディングの脆弱性を修正

危険度：中
2011年9月13日

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント
- 悪用方法：
  細工したWINS メッセージの送信、悪質なファイルをユーザが開くように誘導するなど、攻撃手段は多々ある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
米国時間の9月13日、マイクロソフトはウィンドウズとその搭載コンポーネントに影響を与えている複数の脆弱性について、2件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は、その中でも悪質な欠陥を利用してユーザのウィンドウズPCを完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り（情報源：マイクロソフト）。
- MS11-070:
  WINS 特権昇格の脆弱性
ウィンドウズ・インターネット・ネームサービス(WINS) は、基本的にマイクロソフト版 NetBIOSネームサービス(NBNS) だといえる。つまり、人間が読みやすい名称をコンピュータで指定できるようにするサービスだ（ローカルネットワーク・コンピュータにおけるDNSのようなもの）。しかし、マイクロソフトによるとWINSサービスは細工されたWINSメッセージを適切に処理できず、ループバック・インターフェイスにて特権昇格の欠陥の影響を受けているという。攻撃者は細工済みのWINSパケットを送信することで欠陥を利用し、ユーザのWINSサーバがSYSTEM特権で強制的にコードを実行できるため、攻撃者がサーバを完全に操作できるようになる。

しかし、この欠陥の規模を大幅に縮小させる特定要因がある：
マイクロソフトの評価：重要
- MS11-071:
  （再度）動作が不安定なDLLローディングの脆弱性
去年、マイクロソフトは多々ある自社製品に影響を及ぼしていた複数の「動作が不安定なダイナミックリンクライブラリ（DLL) ローディング」の脆弱性に取り組んでいた。この種の欠陥は、バイナリ・プランティグ欠陥とも呼ばれることがある。これについては、マイクロソフトのセキュリティアドバイザリについて説明した 9月のWireで取り上げたが、極めて簡潔に言うと、この種類の欠陥は攻撃者が細工済みのDLLファイルと同じ場所にある悪質なファイルをユーザに開かせることに関与している。悪質なファイルをユーザが開いてしまうと、攻撃者は有害なDLLファイルでユーザの特権を使いコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はこの種の問題を悪用してユーザのコンピュータを完全に操作できるようになる。今回ターゲットとなっているファイル形式は.rtf / .txt /.docで、ユーザがそうしたファイルを開くと攻撃者が新たな問題を誘発できるようになっている。このセキュリティアドバイザリでは、また新たに報告された不安定なDLLローディング問題を修正している。

マイクロソフトの評価：重要
解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択すること。
MS11-071:
解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使って欠陥を悪用する。Fireboxでローカル攻撃を阻止することはできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策だろう。
ステータス：
マイクロソフトは、こうした脆弱性を修正できるセキュリティ更新プログラムをリリースしている。
参考資料：
- マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
Officeドキュメントの解釈問題 2011年9月13日
Officeドキュメントの解釈問題
危険度：高
2011年9月13日

概要：
- 対象：
  現バージョンのマイクロソフトOfficeと搭載されているコンポーネント
  （Office SharePointとGroove サーバや製品にも影響）
- 悪用方法：
  悪質なOfficeドキュメントをユーザが開くように誘導する方法が一般的
- 影響：
  最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  マイクロソフトOfficeのセキュリティ更新プログラムを至急インストールするか、マイクロソフトの自動アップデート機能に任せて必要なプログラムをインストールすること
詳細：
パッチデーの今日、マイクロソフトはOfficeとそれに搭載されているコンポーネントで発見された欠陥についてセキュリティアドバイザリを3件リリースした。アドバイザリでは、Office SharePointとGrooveサーバーや製品に関係する脆弱性についても取り上げている。そのうち2件は、ウィンドウズ版とMac版のOfficeとExcelで発見された脆弱性に関係がある7つのドキュメントについて説明している。それら脆弱性は技術面では異なるが、その作用範囲と影響力は同じだ。攻撃者は、悪質に細工したOfficeドキュメントをユーザがダウンロードして開くように誘導、それに成功すると、様々な脆弱性を悪用してユーザの特権を使い、そのユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトのセキュリティアドバイザリによると、攻撃者はExcel、Word、PowerPointファイルなど、様々な種類のOfficeドキュメントを利用して欠陥を悪用するという。また、中には去年マイクロソフトが取り組んでいた動作が不安定なDLLローディングの脆弱性の影響を受けているものもある。しかし、その場合、攻撃者は悪質なDLLファイルの保存先と同じ場所にあるドキュメントをユーザが開くように誘導しなければならないため、攻撃によるリスクは多少軽くなる。各ドキュメントとその欠陥について知りたければ、下記セキュリティアドバイザリの「脆弱性の詳細」を参考にすることをすすめる：
- MS11-072:　Excelのコード実行問題（5）：　重要
- MS11-073:　 Officeのコード実行問題（2）：　重要
マイクロソフトは、SharePointとGrooveやForms製品に影響を及ぼしている6つの脆弱性の詳細についても、セキュリティアドバイザリをリリースしている。これら6つの欠陥は、主に攻撃者の特権昇格を許してしまうクロスサイトスクリプティング（XSS)の脆弱性だ。具体的に言うと、攻撃者は欠陥を利用してスクリプトを実行したり、コマンドを開始したり、被害者である認証済みのSharePointユーザとしてコンピュータを操作したりする可能性がある。もちろん、このタイプの攻撃を成功させるにおいて、攻撃者は細工したリンクやURLを被害者がクリックするように仕向けなければならない。
解決方法：
マイクロソフトは、こうした脆弱性を修正するOffice、SharePoint、Groove製品を対象とした更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、マイクロソフトの自動アップデート機能に任せて必要なプログラムをダウンロードする方法もある。しかし作業を簡単にするため、可能であればWindowsの自動アップデート機能に任せ、必要な更新プログラムを自動選択することを強くすすめる。
MS11-072: Mac対象の更新プログラム：
- Office 2003 w/SP3
- Office 2007 w/SP2
- Office 2010 32-bit
- Office 2010 64-bit
- Office 2004 for Mac
- Office 2008 for Mac
- Office for Mac 2011
- Open XML File Format Converter for Mac
- Excel Viewer
- Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
- Excel Services for SharePoint Server 2007
- Excel Services for SharePoint Server 2010
- Office Web Apps 2010
MS11-073:
MS11-074:
アップデートには複雑な箇所があるので、マイクロソフトのSharePointとGrooveのセキュリティアドバイザリにある「影響を受けているソフトウェア」を参考にし、自分が必要な更新プログラムを探すことを強くすすめる。可能であれば、マイクロソフトの自動アップデート機能に任せて適切な更新プログラムを取りれることをすすめる。

解決策：ウォッチガードユーザ専用
ウォッチガードのFirebox製品シリーズには、マイクロソフトOfficeのドキュメントをネットワークから遮断するように設定できるものもある。しかし、仕事上その種のファイルを許可しておくのが一般的であるため、更新プログラムをインストールすることがベストな対策といえるだろう。それでもOfficeドキュメントをネットワークから遮断したいという場合は、HTTP、SMTP、および（または）POP3プロキシを使い、拡張子別にファイルを阻止することができる（.xls / .doc / .pptなど）。しかし、そうすると問題のないファイルも受信できないようになる点に注意しよう。プロキシ機能を使ってOfficeドキュメントをネットワークから遮断するならば、下記のビデオ手順を参考にすることをすすめる。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
マイクロソフトはこうした脆弱性を修正できるOffice対象のセキュリティ更新プログラムをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ（一覧）
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
IE9のドライブバイ・ダウンロードによる感染を防ぐ累積的なセキュリティ更新プログラム 2011年８月10日
IE9のドライブバイ・ダウンロードによる感染を防ぐ
累積的なセキュリティ更新プログラム

2011年８月10日　
コーリー・ナクライナー
危険度：高
2011年8月9日

概要：
- 対象：
  IE9を含むInternet Explorerすべてのバージョン
- 悪用方法：
  有害なウェブページにユーザを誘導する方法が一般的
- 影響：
  これにより及ぶ影響は多々あるが、最悪の場合はユーザのコンピュータで攻撃者がコードを実行し、そのコンピュータを攻撃者が完全に操作できるようになる
- 対策：
  状況に適したInternet Explorerのセキュリティ更新プログラムを至急ダウンロードするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをダウンロードすること
詳細：
月例でセキュリティ更新プログラム（パッチ）を公開しているマイクロソフトは、米国時間の8月9日にセキュリティアドバイザリをリリースした。このアドバイザリは、現バージョンのウィンドウズ（Windows 7 / Windows Server 2008も含む）で使用しているInternet Explorer (IE) 9.0と、それ以前のバージョンで発見された新たな脆弱性７件について説明しており、マイクロソフトは、その危険性を重大と評価している。

報告された脆弱性はどれも技術面では異なるが、中でも悪質な問題３件の主な作用域と影響力は同じだ。IEが様々なHTMLオブジェクトやURLの処理法に関与するリモートコード実行の欠陥に関与しているため、攻撃者がユーザを有害なウェブコードを含むウェブページにユーザを誘導すると、攻撃者はいずれかの脆弱性を悪用し、ユーザの特権を自分のものにした状態で、そのユーザのコンピュータでコードを実行できるようになる。大方、ウィンドウズ・ユーザはローカル管理者の特権を持っているものだが、その場合は攻撃者が欠陥を悪用して被害者のコンピュータを完全に操作できるようになる。その他の脆弱性は、主に情報開示の欠陥によるものである。また、最近の攻撃者達は正当なウェブページをハイジャックし、それに有害なコードを罠として仕掛ける攻撃手段を使っているので注意が必要だ。一般的に、攻撃者はウェブ広告やSQLインジェクション、XSS攻撃を利用してそれを行う。言い換えれば、ユーザがそうした方法でサイトをハイジャックしてしまえば、良く知られたサイトや信頼の置けるサイトさえも危険を伴うことになる。

欠陥の技術詳細を知りたい場合は、マイクロソフトのセキュリティアドバイザリにある脆弱性の情報欄を参照にすることをすすめる。しかし、その技術面を別にしても、IEのリモートコード実行問題によるリスクは深刻なものであり、攻撃者がドライブバイ・ダウンロード攻撃を仕掛けられるようにするものなので、IEの累積的なセキュリティ更新プログラムを至急ダウンロードし、インストールすることをすすめる。

解決策：
この累積的セキュリティ更新プログラムは深刻な問題を修正しているので、状況に適した更新プログラムを至急ダウンロードしテストしてから取り入れるか、ウィンドウズの自動アップデート機能に任せること。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
※：Server Core インストールオプションを使ってインストールしたWindows Server 2008 administratorsにおいては、この欠陥の影響を受けていない。

解決策：ウォッチガードユーザ専用
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするには、HTTPトラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス：
マイクロソフトは脆弱性を修正する累積的なセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ MS11-057

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
Visioドキュメントの解析問題2つ 2011年８月10日
Visioドキュメントの解析問題2つ

2011年８月10日　
コーリー・ナクライナー
危険度：中
2011年8月10日

概要：
- 対象：
  現バージョンのマイクロソフトVisio
- 悪用方法：
  悪質に細工済みのVisioドキュメントをユーザが開くように誘導
- 影響：
  攻撃者がコードを実行、ユーザのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したVisio更新プログラムをできる限り早急に取り入れるか、ウィンドウズの自動アップデート機能に任せること
詳細：
マイクロソフトのVisioは、設計図やダイアグラムなどの作図に使う人気のソフトウェアだ。ネットワーク・ダイアグラムの作成にこれを使う管理者は多く、Office パッケージのいくつかに搭載されている。

しかし、マイクロソフトは昨日リリースしたセキュリティアドバイザリで、現バージョンのVisio に影響している２つのセキュリティ脆弱性について説明した。脆弱性の技術面は異なるが、その作用域と影響力は同じで、どちらもVisioがVisioドキュメントを解析する方法に関係する欠陥に関与している。攻撃者は細工済みのVisioファイル（.vsd /.vdx/.vst/.vtxなど）をユーザが開くように誘導し、欠陥を悪用してユーザの特権を自分のものにし、そのユーザのコンピュータでコードを実行する。また、ユーザが管理者特権を持っている場合、攻撃者はそのコンピュータを完全に操作できるようになる。

解決策：
マイクロソフトはこの欠陥を修正する更新プログラムをリリースしているので、状況に適した更新プログラムをできるだけ早急にダウンロードし、テストしてから適用すること。また、ウィンドウズのアップデート機能に任せて必要な更新プログラムをダウンロードすることもできる。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
解決策：ウォッチガードユーザ専用
仕事場の環境が許すならば、HTTP/SMTP/POP3プロキシなどを使い拡張子別（.vsd /.vdx/.vst/.vtxなど）にVisioドキュメントを阻止することができる。但し、そうすることで有害なファイルだけでなく、問題のない正当なファイルまでも受信できなくなるので注意が必要だ。

プロキシ機能を使ってVisioドキュメントを阻止したい場合は、下記のビデオの手順を参考にすることをすすめる。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
マイクロソフトは問題を修正するセキュリティ更新プログラムを提供している。

参考資料：
マイクロソフトのセキュリティアドバイザリ MS11-060
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
アドビの更新プログラム：Flash / Shockwave / Photoshop 2011年８月10日
アドビの更新プログラム：
Flash / Shockwave / Photoshop

2011年８月10日　
コーリー・ナクライナー
危険度：高

概要：
- 対象：
  アドビのShockwave Player / Flash Player / Flash Media Server / Photoshop
- 悪用方法：
  有害なファイルをユーザが開くように誘導したり、細工したウェブサイトにユーザを仕向けるなど、攻撃手段は多々ある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作することができる
- 対策：
  状況に適したアドビのセキュリティ更新プログラムを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすること
詳細：
昨日、アドビは人気のソフトウェア・パッケージに含まれているプログラムで発見された様々なセキュリティ脆弱性について、セキュリティアドバイザリを5件リリースした（Shockwave Player/ Flash Player / Flash Media Server / Photoshop / Robohelpなど）。リモート攻撃者は、その中でも悪質な欠陥を利用してユーザのコンピュータを完全に操作できるようになる。

今回報告された脆弱性の中でも目立った問題点の概要：
アドビ（日本版）のセキュリティ・アップデート（抄訳）
アドビ（英文）のセキュリティ・アップデート

APSB11-19:
Shockwave Player のセキュリティ脆弱性（7件）
Adobe Shockwave Playerは、Shockwaveと呼ばれるインタラクティブな動画のウェブコンテンツやムービーを再生するもので、アドビ曰く世界中で4億5000万台のコンピューターでインストールされているという。

アドビのセキュリティアドバイザリは、Shockwave Player 11.6.0.626とそれ以前のバージョン（ウィンドウズとMac対象）に影響を及ぼしているセキュリティ脆弱性７件について警告した。しかし、アドビのアドバイザリは技術詳細について述べておらず、各欠陥の性質と主な影響力についてのみ説明している。欠陥は未特定のメモリ破損問題から成り立っているものが大方で、どれも技術面では異なるが、その作用域と影響力はほぼ同様だ。攻撃者は何らかの有害なShockwaveコンテンツを含むウェブサイトにユーザを誘導、様々な脆弱性を悪用してユーザの特権を獲得し、そのユーザのコンピュータでコードを実行できるようになる。また、ウィンドウズのユーザがローカル管理者の特権を持っていた場合、攻撃者は欠陥を悪用してユーザのPCを完全に操作することが可能になる。

アドビによる評価：緊急

APSB11-20:
Flash Media Server DoS 脆弱性
Flash PlayerはFlashと呼ばれるインタラクティブな動画ウェブコンテンツを表示させるもので、Flash Media Server は管理者がFlashコンテンツをストリームできるようにする機能だ。

しかし、Flash Media Server 4.0.2とそれ以前のバージョンは未特定のサービス拒否（DoS）脆弱性の影響を受けている。ただ、アドビはそれに関する詳細情報も、攻撃者がそれをどう悪用する可能性があるのかについても公開していない。唯一、アドビが公開している情報は、攻撃者が何らかの方法で欠陥を悪用し、ユーザのメディアサーバに対してDoS攻撃を仕掛けるという点だけである。

アドビによる評価：緊急

APSB11-21:
Flash Player のアップデート、13件のセキュリティ欠陥を修正
Flash PlayerはFlashと呼ばれるインタラクティブな動画ウェブコンテンツを表示させることができる。Secuniaによる最近の報告では、99％のウィンドウズコンピュータがAdobe Flash Playerをインストールしていると報告している。だとすると、おそらく君のユーザもFlash Playerを使っていることだろう。

アドビのアップデートは、Flash Player（Windows / Mac / Linux / Solaris 対象）で発見された13のセキュリティ脆弱性を修正しているが、その主な作用域と影響力以外の詳細については説明していない。最悪の場合、攻撃者は有害なウェブサイトにユーザを誘導し、欠陥を悪用してユーザのコンピュータを操作できるようになる。ただ、その場合に攻撃者が獲得できる特権は、その時点でログインしているユーザの特権だけだろうと我々は見ている。とはいっても、大方のウィンドウズユーザはローカル管理者の特権を持っているため、攻撃者はおそらくウィンドウズコンピュータを完全に操作できるようになるだろう。

アドビによる評価：緊急

APSB11-22:
Photoshop GIF 処理の脆弱性
Photoshopはイメージ編集を可能にするアドビの人気プログラムだが、Photoshop CS5は特別に作成されたGIFイメージを適切に処理できない点に関与する未特定問題の影響を受けている。攻撃者は、まず有害なGIFイメージをユーザがダウンロードし、それをPhotoshopで開くように仕向ける。そして、欠陥を悪用してユーザの特権を獲得し、そのユーザのコンピュータでコードを実行する。また、ユーザがローカル管理者の特権を持っている場合、攻撃者はそのコンピュータを完全に操作できるようにもなる。

アドビによる評価：緊急

APSB11-23:
RoboHelp XSS 欠陥
ヘルプシステムの作成に使うソフトウェア、RoboHelp 9は未特定のクロスサイト・スクリプティング（XSS)脆弱性の影響を受けている。攻撃者は細工したリンクをユーザがクリックするように仕向け、Robohelpコンポーネントの状況下にてユーザのコンピュータでスクリプトを実行することができる。

アドビによる評価：重要
解決策： アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムを用意している。下記のリストにあるソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、取り入れることをすすめる。また、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることもできる。
- APSB11-19: Shockwave 11.6.1.629にアップグレード
- APSB11-20: Flash Media Server 4.0.3 または 3.5.7にアップグレード
- APSB11-21: Flash Player 10.3.183.5にアップグレード
- APSB11-22:
  　　　　　　　Photoshop CS5 for Windows
  　　　　　　　Photoshop CS5 for Windows x64
  　　　　　　　Photoshop CS5 for Mac
- APSB11-23: RoboHelp 8 and 9にアップグレード
解決策：
ウォッチガードユーザ専用攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用する。適切に設定されたファイアウォールであれば問題のリスクを緩和させることができるが、Fireboxでローカル攻撃を阻止したり、通常のHTTPトラフィックを利用した攻撃を阻止したりすることはできないため、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
アドビは問題を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）
アドビ（英文）のセキュリティ・アップデート

この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。

続きを読む»
ウィンドウズのセキュリティアドバイザリ 2011年８月10日
ウィンドウズのセキュリティアドバイザリ６件（危険度：中〜重要）
2011年８月10日　
コーリー・ナクライナー

対象：TCP/IP Stack、データアクセス・コンポーネント、カーネル、その他
危険度：中

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント
- 悪用方法：
  細工したネットワーク・パケットの送信、悪質なファイルをユーザが開くように誘導、有害なアプリケーションをローカルで実行するなど、攻撃手段は多々ある
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること
詳細：
昨日、マイクロソフトはウィンドウズと搭載されているコンポーネントで発見された7つの脆弱性について、6件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンは異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズPCを完全にコントロールできるようになる。

危険性の高い問題から順番にまとめた概要は以下の通り：
MS11-059:
Data Access Components のコード実行問題
マイクロソフトによると、Windows Data Access Components (Windows DAC)は、エンタープライズに渡る情報へのアクセスを提供する機能だという。しかし残念ながら、Windows DACは外部ライブラリに制限なしのアクセスを許可している。攻撃者は有害なDLLと同じ場所にある細工済みのエクセル・ファイルをユーザが開くように誘導することで欠陥を悪用し、ユーザの特権を使って、そのユーザのシステムでコードを実行できるようになる。ユーザにローカル管理者の特権がある場合は、攻撃者はそのマシーンを完全にコントロールできるようになる。
この欠陥の影響を受けているのはWindows 7およびそれ以降のものに限る。

マイクロソフトの評価：重要

MS11-061:
リモート・デスクトップのウェブ・アクセスXSS脆弱性
ウィンドウズ・リモート・デスクトップ（RD）は、自分のウィンドウズ・デスクトップのネットワークに、どこからでもアクセスできるようにする機能だ。ウェブ・アクセスのコンポーネントは、ウェブ・ブラウザを介してこの機能を提供するようになっているのだが、残念ながら、 RDウェブ・アクセスのコンポーネントはクロスサイト・スクリプティング（XSS）脆弱性の影響を受けていることが分った。攻撃者は、細工済みのリンクをユーザがクリックするように仕向け、RDウェブ・アクセス・コンポーネントの状況にて、ユーザのコンピュータでスクリプトを実行できるようになる。また、場合によっては攻撃者がユーザのリモート・デスクトップにもアクセスできるようになる可能性がある。
この欠陥の影響を受けているのは、Windows Server 2008 R2 x64だけである。

マイクロソフトの評価：重要

MS11-062:
RAS NDISTAPI ドライバー特権昇格の脆弱性
リモート・アクセス・サービス（RAS）は電話回線を通じてネットワークにアクセスできるようにするコンポーネント、そして、NDISTAPIドライバーはその機能提供にかかわるRASコンポーネントのひとつである。しかし、NDISTAPIドライバーはウィンドウズのカーネルに送るユーザのインプットを適切に認証していないため、攻撃者は細工したアプリケーションを実行して欠陥を利用すると、特権昇格を行うことができるようになる。そうなると、攻撃者はユーザのウィンドウズを完全にコントロールすることも可能になる。しかし、攻撃者が細工したプログラムを実行するには、ユーザのウィンドウズにて有効なクレデンシャルでのローカル・アクセス権が必要なるため、この欠陥のリスクは大幅に緩和される。
この欠陥の影響を受けているのはXPとServer 2003のみである。

マイクロソフトの評価：重要

MS11-063:
CSRSS 特権昇格の脆弱性
クライアント／サーバ・ランタイム・サブシステム(CSRSS)は、コンソール・ウィンドウズとスレッドの作成と削除の役割を担う必要不可欠なウィンドウズ・コンポーネントだが、特権昇格(EoP)脆弱性の影響を受けていることが分った。上記のNDISTAPIドライバー欠陥と同様に、攻撃者が細工したプログラムを実行すると、認証を受けた攻撃者は欠陥を利用してユーザのウィンドウズ・コンピュータでSYSTEM-レベルの完全な操作権利を獲得できる。とはいっても、先述の問題と同じく、攻撃者はまずユーザのウィンドウズで有効なクレデンシャルを使ったローカル・アクセス権を必要とするため、この欠陥のリスクは幾分緩和される。

マイクロソフトの評価：重要

MS11-064:
TCP/IP スタックDoS 脆弱性
ウィンドウズのTCP/IPスタックは、IPベースのネットワーク接続をユーザのコンピュータに提供できる。しかし、これらは2つのサービス拒否(DoS)脆弱性の影響を受けていることが分った。そのうちの1つは非常に古いPing of Deathの脆弱性で、攻撃者は細工したICMPメッセージを送信してユーザのシステムが反応しなくなるようにしたり、再起動が必要になるようにさせたりする。 WatchGuardのXTMアプライアンス、そして大方のファイアウォールは、この昔ながらのDoS欠陥を使った外部からの悪用を阻止することができる。また、2つめの欠陥は細工済みのURLをTCP/IPスタックが処理する方法に関係するもので、攻撃者はユーザのウィンドウズ・ウェブサーバに細工済みのURLを送信し、欠陥を悪用してサーバを動かなくさせたり、再起動を必要にさせたりする。
影響を受けているのはWindows Vistaとそれ以降のものに限る。

マイクロソフトの評価：重要

MS11-068:
Windows カーネルのDoS 脆弱性
カーネルは、コンピュータのオペレーティング・システムにとって中心となるコンポーネントだ。しかし、ウィンドウズのカーネルはファイル内のメタデータの解析欠陥に関係するサービス拒否（DoS)脆弱性の影響を受けている。攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのウンィンドズ・コンピュータを完全に操作できるようになる。しかし、攻撃者はユーザのウィンドウズ・コンピュータで有効なクレデンシャルを使ったローカル・アクセス権を必要とするため、この欠陥によるリスクは大幅に緩和される。
この欠陥の影響を受けているのはWindows Vistaとそれ以降のものに限る。

マイクロソフトの評価：中

解決策：
マイクロソフトは、脆弱性を修正するウィンドウズ用のセキュリティ更新プログラムをリリースしているので、状況に適したプログラムを至急ダウンロードしテストしてから取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。

注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。
MS11-059:
MS11-061:
- For Windows Server 2008 R2 x64
MS11-062:
MS11-063:
MS11-064:　
MS11-068:
解決策：ウォッチガードユーザ専用
攻撃者達は、様々な悪用方法を使ってこうした欠陥を悪用する。適切に設定されたファイアウォールであれば問題のリスクを緩和させることができるが、 Fireboxでローカル攻撃を阻止したり、通常のHTTPトラフィックを利用した攻撃を阻止したりすることはできないため、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
Visio 2003 不正ドキュメントがマルウェアをインストール？ 2011年７月12日
Visio 2003 不正ドキュメントがマルウェアをインストール？
コーリー・ナクライナー　
危険性：中
2011年７月12日　

概要：
- 対象：
  Visio 2003
- 悪用方法：
  故意に細工したVisio ドキュメントをユーザが開くように攻撃者が誘導する
- 影響：
  攻撃者がコードを実行、ユーザのコンピュータを完全に操作できるようになる
- 対策：
  Visio 2003 のパッチをできる限り早急に取り入れるか、Windows のアップデート機能に任せること
詳細：
マイクロソフトのVisio は、設計図やダイアグラムなどの作図に使う人気のソフトウェアだ。ネットワーク・ダイアグラムの作成にこれを使う管理者は多く、Office パッケージのいくつかに搭載されている。

米国時間の12日にリリースしたセキュリティアドバイザリで、マイクロソフトはVisio 2003 にのみ影響しているセキュリティ脆弱性の説明を公開した。安全ではない DLL（ダイナミック・リンク・ライブラリ）には脆弱性をローディングしてしまう問題があり、Visio 2003 はその影響を受けているというのだ。ちなみに、これはバイナリ・プランティング欠陥とも呼ばれている。この種の欠陥についての解説は、 9月のWire でマイクロソフトのセキュリティアドバイザリについて説明したのが初めてだ。

特別に細工したDLLがある場所からVisio 関連のファイル（.vsd /.vdx/.vst/.vtxなど）をユーザが開くように誘導すると、攻撃者は欠陥を悪用し、ユーザのシステム特権を自分のものにした状態でユーザのコンピュータでコードを実行できるようになる。つまり、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

解決策：
マイクロソフトは、この欠陥を修正するVisio 2003 のパッチをリリースしているので、できる限り早急にそれをダウンロードし導入するか、Windowsのアップデート機能に任せることをすすめる。

ウォッチガード・ユーザの解決策：
ビジネス環境が許すのであれば、HTTP やSMTP、POP3プロキシなどを使って、拡張子別に（.vsd /.vdx/.vst/.vtxなど）Visioドキュメントをネットワークから阻止することができる。しかし、その方法では悪質なファイルだけでなく、問題のないファイルもブロックしてしまう。

プロキシ機能を使ってVisioドキュメントをネットワークから阻止したい場合は、次のリンクをクリックし、ビデオ手順を参考にしよう。
- XTM アプライアンス + WSM 11.x
- Firebox X Edge + 10.x
- Firebox X Core & X Peak + Fireware 10.x
ステータス：
マイクロソフトはこのフィックスをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ　MS11-055
この記事はコーリー・ナクライナー CISSPにより調査され書かれたものです。
ご感想を是非お寄せ下さい： your.opinion.matters@watchguard.com. これまでの記事一覧はこちらからどうぞ： LiveSecurityアーカイブ
続きを読む»
Windowsアップデート（3）：ワイヤレス・ブルートゥース攻撃 2011年７月12日
Windowsアップデート（3）：ワイヤレス・ブルートゥース攻撃
コーリー・ナクライナー　
CSRSSやカーネルモード・ドライバーも
危険性：高　
2011年７月12日　

概要：
- 対象：
  Windowsおよび搭載されているコンポーネント
- 悪用方法：
  特別に細工したワイヤレス・ブルートゥース・トラフィックを送信するなど、攻撃方法は様々ある
- 影響：
  攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能に任せること
詳細：
米国時間の12日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響している21件のセキュリティ脆弱性について説明したアドバイザリを3件リリースした。各脆弱性は、影響を及ぼすWindowsのバージョンも、その度合いも異なる。しかし、リモート攻撃者は3つの欠陥のうち、中でも悪質なものを選び、ワイヤレスでそれを悪用してユーザのWindows PCを完全にコントロールできるようになる。

次の概要一覧では、危険性の高いものから順にまとめた（危険性についてはマイクロソフトの概要を参考にした）。
- MS11-053: ブルートゥース・スタック・コード実行問題
  
  ブルートゥースはオープン・ワイヤレス・テクノロジーで、近距離にてデータを送信する規格だ。しかし、最近のWindowsバージョンに搭載されているブルートゥース・スタックは、まだ削除されていないメモリや、初期化されていないメモリにアクセスする方法に関係するコード実行問題の影響を受けている。特別に細工したブルートゥース・パケットを連続して無線送信することで、攻撃者はこの欠陥を利用し、ユーザの脆弱なコンピュータを完全にコントロールできるようになる。しかし、攻撃者はこの攻撃を実行するにあたりブルートゥースの範囲内にいなければならない（ブルートゥースの平均範囲は5メートルから100メートル）。とはいっても、「Snipers」というブルートゥースの特別ギアを使えば、その範囲をキロメートルまで拡大することができる。この欠陥の影響を受けているのはWindows Vistaと7 のみだ。
  
  マイクロソフトの評価：緊急
- MS11-054 : カーネルモード・ドライバーの特権昇格問題（15）
  
  カーネルは、あらゆるコンピュータのオペレーティングシステムの中軸となるコンポーネントだ。 Windowsにはカーネルモード・デバイスドライバー(win32k.sys)も搭載されており、様々なカーネルレベルのデバイスを処理している。しかし、このカーネルモード・ドライバーは15の特権昇格問題（EoP）の影響を受けているという。この欠陥はどれも技術面では異なるものの、その範囲と影響は大体共通している。特別に細工したプログラムを実行することで、ローカルの攻撃者はこうした欠陥を利用し、ユーザのWindowsを完全にコントロールできるようになる。とはいっても、攻撃者はまずユーザのWindowsで使える有効なクレデンシャルを獲得しなければならないため、この欠陥のリスクを大きく減少させている。
  
  マイクロソフトの評価：重要
- MS11-056: CSRSS ローカル特権昇格の脆弱性
  
  CSRSS（クライアント／サーバ・ランタイム・サブシステム) は、スレッドを作成したり削除したりし、コンソール・ウィンドウズを担う必要不可欠なウィンドウズ・コンポーネントである。ところが、これは5つの特権昇格（EoP）の脆弱性による影響を受けており、どれも技術面では異なるが機能的には似通っている。先のカーネルモード・ドライバー欠陥と同様に、特別に細工したプログラムを実行した認証済みの攻撃者は、こうした欠陥を利用してユーザの WindowsのSYSTEMレベル・コントロール全権を獲得することができる。とはいっても上述の問題と同じく、攻撃者はまずそのユーザのWindowsで使える有効なクレデンシャルを必要とするため、この欠陥のリスクを大幅に減少させている。
  
  マイクロソフトの評価：重要
MS11-053:
* 注：Windows Vista SP1は、ワイヤレスのオプション機能パックをインストールした場合に限り対象となる。 MS11-054:
MS11-056:
ウォッチガード・ユーザの解決策：
攻撃者は、ローカルまたはブルートゥース・ワイヤレス・トランスミッションを使ってこうした欠陥を悪用する。ウォッチガードのワイヤードおよび802.11ワイヤレス・アプライアンスは、そうした攻撃方法からはネットワークを保護しないため、マイクロソフトのアップデートをインストールすることがもっとも安全な対策方法となる。

ステータス：
マイクロソフトはこの問題を修正するパッチをリリースしている。

参考資料：
この記事はコーリー・ナクライナー CISSPにより調査され書かれたものです。

ご感想を是非お寄せ下さい： your.opinion.matters@watchguard.com. これまでの記事一覧はこちらからどうぞ： LiveSecurityアーカイブ
続きを読む»

Apple OSX: Leopardのチェックアップ　　2011年6月23日

Apple OSX: Leopardのチェックアップ コーリー・ナクライナー

日付：2011年6月23日

概要：

対象：
現バージョンの OS X 10.5.x (Leopard) と OS X 10.6.x (Snow Leopard)
悪用方法：
悪質なウエブサイトにユーザを誘導したり、不正ドキュメントやイメージをユーザがダウンロードし閲覧するように仕向けるなど、攻撃方法は様々ある
影響：
攻撃結果は様々だが、最悪の場合には、攻撃者がユーザのコンピュータでコードを実行できるようになる
対策：
OS X の管理者はOS X 10.6.8かSecurity Update 2011-004をダウンロードし、テストしてからインストールまたはアップルのソフトウェア・アップデート機能に任せること

詳細：
米国時間の6月23日、アップルは現バージョンのOS X に見られる脆弱性を修正するセキュリティアップデートをリリースした。このアップデートはOS X やOS X Server （Airport / Quicktime / MobileMe を含む）の一部として搭載されている22のコンポーネントで発見された、39件ほどの（情報源CVE-ID）セキュリティ問題を修正している。そのうちのいくつかの概要については、下記を参照することをすすめる。

ImageIO コード実行の欠陥（2）
ImageIOは、OS Xが様々なファイル形式を処理しやすくするコンポーネントのひとつだが、残念ながら、これは特定のタイプのイメージファイル処理に関与するセキュリティ脆弱性2つの影響を受けている（例：バッファオーバーフローなど）。これらは技術面では異なるものの、脆弱性の有効範囲と影響力は同じだ。攻撃者は、特別に細工したイメージファイルを悪質なウエブサイトにホストするなどして、被害者がそれを閲覧するように仕向ける。それがうまくいくと、攻撃者は欠陥を悪用して被害者のコンピュータでアプリケーションをクラッシュさせたり、攻撃コードを実行させたりすることができる。ただし、デフォルトにより攻撃者はユーザの特権でのみ、コードを実行することができる。この影響を受けているイメージ形式には JEPG2000やTIFFがある。
ATS バッファオーバーフローの脆弱性
Apple Type Service (ATS)は、OS X がフォントを処理しやすくする機能だが、これは埋め込みフォント TrueTypeフォントの処理に関与するバッファオーバーフローの脆弱性の影響を受けている。細工したフォントを含む悪質なドキュメントをユーザがダウンロードし閲覧するように仕向けると、攻撃者は欠陥を悪用し、ユーザのコンピュータでコードを実行できるようになる。ただし、デフォルトにより攻撃者はユーザの特権でのみ、このコードを実行することができる。
Quicktimeの脆弱性（5）
Quicktime は、OS X (および iTunes)に搭載されているビデオやメディアを再生する人気のプレイヤーだが、特定のイメージやオーディオ、ビデオ・ファイルの処理に関係する5件のセキュリティ問題の影響を受けている。どれも技術面では異なるが、その基本的な有効範囲と影響力は同じだ。攻撃者は、悪質に細工されたメディアをユーザがQuickTimeで閲覧するよう罠を仕掛け、それに成功すると、欠陥を悪用しユーザの特権を使ってそのコンピュータでコードを実行できる。

アップルのアラートは、この他にも多数のコード実行の脆弱性やサービス拒否（DoS)欠陥、特権昇格の脆弱性、情報開示の欠陥といった問題についても説明している。

このセキュリティアップデートでパッチされたコンポーネントには以下も含まれている。

AirPort	App Store
ATS	Certificate Trust Policy
ColorSync	CoreFoundation
CoreGraphics	FTP Server
ImageIO	International Components for Unicode
Kernel	Libsystem
libxslt	MobileMe
MySQL	OpenSSL
patch	QuickLook
QuickTime	Samba
servermgrd	subversion

詳細についてはアップルのOS X 10.5.x と 10.6.x のアラートを参照すること。

解決策：
アップルは、OS X Security Update 2011-004とOS X 10.6.8で、こうしたセキュリティ問題を修正しているので、OS Xの管理者は状況に適したアップデートを出来る限り早急にダウンロードし、テストしてから取り入れることをすすめる。

注意：使用しているOS Xバージョンに適したパッチがどれか定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使い、必要なアップデートを自動的に選ぶこともできる。

全ユーザへ：
こうした欠陥は、様々な悪用方法を使うが、中にはローカルのものもある。その場合、ペリメター・ファイウォールが攻撃に気付かないため（部署間にファイアウォールを設置している場合は別）、アップデートをインストールすることが主な安全策となる。

ステータス：
アップルはこうした欠陥を修正するアップデートをリリースしている。

参考資料：
2011年６月のセキュリティアップデート：OS X 10.5x / 10.6.x

この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
ツイッター：@SecAdept

深刻な脆弱性を多数修正するウィンドウズのセキュリティアドバイザリ（11） 2011年6月14日
深刻な脆弱性を多数修正するウィンドウズのセキュリティアドバイザリ（11）

コーリー・ナクライナー
2011年6月14日
4:50 pm

SMB / OLE /.NET の深刻な欠陥を修正
危険度：高　
2011年6月14日

概要：
- 対象：
  現バージョンのウィンドウズと搭載されているコンポーネント（.NET Frameworkなどのオプション・コンポーネントも含む）
- 悪用方法：
  細工したネットワーク・トラフィックを送信したり、悪質な画像をユーザが閲覧するように誘導したりするなど、攻撃方法はいくつもある
- 影響：
  攻撃結果は様々だが、最悪の場合、攻撃者がユーザのウィンドウズを完全操作する権利を獲得する
- 対策：
  適切なマイクロソフトパッチを至急インストールするか、ウィンドウズ自動アップデート機能に任せること
詳細：
マイクロソフトは、6月14日付けで11件のセキュリティアドバイザリをリリースし、ウィンドウズと搭載されているコンポーネントで発見された12件の脆弱性について説明した。どの脆弱性も異なるウィンドウズバージョンに影響を与えており、その度合いもそれぞれ異なるが、リモート攻撃者は中でも悪質な欠陥を活用してユーザのウィンドウズの完全操作権利を自分のものにすることができる。

マイクロソフトの評価により、危険性の高いものから順に説明した概要：
- MS11-038: OLE オートメーションのコード実行問題
マイクロソフトによると、 OLE（オブジェクトのリンクと埋め込み）オートメーションはウィンドウズのプロトコルで、アプリケーションがデータを共用できるようにしたり、他のアプリケーションをコントロールしたりするために使うプロトコルだという。しかし残念ながら、このOLEオートメーションは細工されたWMF （Windows MetaFile）画像を解析する方法に関与する脆弱性の影響を受けている。攻撃者は細工した画像をウェブサイトに載せ、ユーザがそれを閲覧するように誘導、欠陥を利用してユーザの特権を使いコード実行ができるようになる。また、ユーザに管理者の特権があった場合、攻撃者はその完全操作権利を自分のものにすることもできる。

 マイクロソフトの評価：緊急
- MS11-039 & MS11-044 : .NET Framework のコード実行問題(２) 　
.NET Frameworkは、開発者がウィンドウズやウェブの新しいアプリケーションを制作する際に使うソフトウェアフレームワークだ。しかし、.NET Framework（SilverLightも同様）はネットワークファンクションを通り抜けるパラメータの認証方法に関与する脆弱性と、オブジェクト内でJITコンパイラが値を認証する方法に関係する問題といったように、2つの複雑な脆弱性の影響を受けている。その作用範囲と影響は攻撃ベクトルにより異なる。可能性を持つベクトルとしては、1）攻撃者が悪質な.NETウェブサイトをホストする、2）ユーザの.NETウェブサイトを攻撃する、3）ユーザのカスタム.NETアプリケーションを利用し、自分の特権を昇格させる、といったように3つのベクトルがあるが、我々は1つめのベクトルによるリスクがもっとも大きなものであろうと見ている。攻撃者は細工したサイトにユーザを誘導すると（もしくは正当なサイトを何らかの方法で攻撃者の有害なサイトにリンクさせる）、欠陥を利用してユーザの特権を譲り受け、そのコンピュータでコードを実行できるようになる。ユーザがローカル管理者であった場合、攻撃者はユーザのコンピュータの完全操作権利を自分のものにすることができる。また、.NET Frameworkをインストールしている場合は、.NET アプリケーションやウェブサイトを実行していない場合でもパッチを取り入れることをすすめる。

 マイクロソフトの評価：緊急
- MS11-041： カーネルモード・ドライバーのコード実行問題
カーネルはオペレーティングシステムのコア・コンポーネントだ。ウィンドウズにはカーネルモード・デバイスドライバー（win32k.sys）も搭載されており、様々なカーネルレベルのデバイスを処理している。しかし、このカーネルモード・ドライバーは、64ビットシステムにあるOpenTypeフォントの処理法に関係するコード実行問題の影響を受けている。攻撃者は細工したフォントをユーザが閲覧するように誘導し、欠陥を利用してユーザのコンピュータを完全に操作できるようになる（この場合ユーザの特権は関係ない）。ただし、前述したがこの欠陥は64ビット版のウィンドウズにのみ影響しているほか、攻撃を成功させるには悪質なフォントがローカルコンピュータもしくはネットワークシェアになければならない。

マイクロソフトの評価：緊急
- MS11-042 DFS メモリ破損の問題
DFSはクライアントやサーバサービスの集合体で、シングルファイルに見せかけながら実は複数ホストのシェアから成るものでありながら、シングルファイルに見せかけたものを作成できるようにする機能だ。しかし、ウィンドウズDFSサービスはセキュリティ脆弱性２件の影響を受けており、中でも悪質なのは、細工済みのDFSレスポンスをDFSクライアントが処理する方法に関与するメモリ破損問題だ。攻撃者は、ユーザのネットワークで悪質なサーバをホストし、細工したDFSレスポンスをリクエストしているクライアントに送信することでメモリ破損の欠陥を利用し、ウィンドウズを完全に操作できるようになる（あるいはユーザのコンピュータをクラッシュさせる場合もある）。とはいっても、大方の管理者はDFSトラフィックがファイアウォールを通過できないようにしているので、この脆弱性は主に内部脅威であるといっていいだろう。

マイクロソフトの評価：緊急
- MS11-043: SMB クライアントのコード実行問題
マイクロソフトのSMBは、ファイルとプリント共有のためにウィンドウズが使用するプロトコルだ。しかしマイクロソフトによると、このSMBクライアントは攻撃者が悪質なコードを実行するために利用できるセキュリティ脆弱性の影響を受けているという。有害なSMBサーバに接続するようにユーザを誘導したり、細工したSMBメッセージを正当なローカルリクエストへの応答として送信することで、攻撃者はこの欠陥を悪用して脆弱なウィンドウズを完全に操作できるようになる。とはいっても、ウォッチガードのXTMアプライアンスのようなファイアウォールであれば、インターネットからのSMBトラフィックを阻止できるはずなので、この脆弱性は主に内部脅威といえるだろう。とはいっても、様々なタイプのマルウェアがSMB脆弱性を利用しており、最初の被害者を出してしまえば、後はネットワーク内で自身を蔓延させることができる。

マイクロソフトの評価：緊急
- MS11-037: MHTML 情報開示の脆弱性
ライブセキュリティが2月に掲載した記事では、XSS（クロスサイト・スクリプティング）脆弱性に似たゼロデイMHTML脆弱性について説明した。この欠陥は、HTMLとMIME（写真やオーディオ、ビデオなどが一般的）の両方を1つのファイルに入れた特別なウェブページの処理に使われるウィンドウズのMHTML や MIME HTMLコンポーネントに関与している。攻撃者が細工したウェブページにユーザを誘導したり、有害なリンクをユーザがクリックするように仕向けることに成功すると、攻撃者はこの欠陥をXSS脆弱性を利用するのとほぼ同じ方法で利用できるようになる。つまり、ユーザのクッキーを盗んだり、ユーザのブラウザを有害なサイトにリダイレクトさせたりするなどして、そのウェブサイトで攻撃者が任意に動き回ることが可能になる。4月には、マイクロソフトがこの欠陥を修正したはずだったが、今回ほとんど同じ問題の新亜種を修正するアップデートが用意されたということは、4月のフィックスは完全なものではなかったのだろう。

マイクロソフトの評価：重要
- MS11-046 AFD 特権昇格の脆弱性
Ancillary Funtion Driver(AFD.sys)は、Winsock TCP/IPコミュニケーションを処理するドライバーだ。このカーネルモード・ドライバーは、特権昇格（EoP）脆弱性の影響を受けている。ローカル攻撃者は細工したプログラムを実行し、欠陥を悪用してウィンドウズを完全に操作できるようになる。とはいっても、攻撃者はまず有効なクレデンシャルを使ってユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥のリスクを大きく緩和させている。

マイクロソフトの評価：重要
- MS11-047: Windows 2008 Hyper-V DoS 脆弱性
Hyper-VはWindows 2008 が仮想化に使うハイパーバイザ技術だ。Hyper-Vは、ゲストOSとホストOSの間の細工済みコミュニケーションを処理する方法に関与する、サービス拒否（DoS）脆弱性の影響を受けている。攻撃者はゲストOSで細工したプログラムを実行することで欠陥を悪用し、2008 Serverが再起動されるまで反応しなくなるようにすることができる。とはいっても、攻撃者がこの欠陥を悪用するには、ゲストOSへの管理者アクセスが必要であるほか、この欠陥が影響を及ぼしているのは2008 Serverのみである。

マイクロソフトの評価：重要
- MS11-048: SMB Server DoS 脆弱性
Windows SMB Serverは、細工したSMBリクエストの処理法に関与するサービス拒否（DoS）の脆弱性の影響を受けている。攻撃者は細工したSMBパケットを送信することで欠陥を悪用し、ウィンドウズが再起動されるまで反応しなくなるようにすることができる。ただし、先に説明したSMBクライアントの脆弱性のように、ファイアウォールはSMBをブロックすることができるため、この脆弱性は主に内部脅威であるといえるだろう。

マイクロソフトの評価：重要
- MS11-051 AD Certificate Services Web Enrollment EoP 脆弱性
アクティブディレクトリ（AD）認証サービス、ウェブエンロールメントサイトは、クロスサイト・スクリプティング(XSS)脆弱性の影響を受けている。攻撃者は、細工されたリンクをユーザがクリックするように誘導すると欠陥を悪用してユーザのクッキーを盗んだり、ユーザのブラウザを有害なサイトにリダイレクトしたりし、実質的に攻撃者の任意でADウェブエンロールメントサイトを動き回れるようになる。この欠陥はNon-Itaniumサーバ版のウィンドウズにのみ影響している。

マイクロソフトの評価：重要
解決策： マイクロソフトはこうした脆弱性を修正できるウィンドウズ対象のパッチをリリースしているので、適切なパッチを至急ダウンロードし、テストしてからネットワーク全体にあてがうことをすすめる。また、ウィンドウズ自動アップデート機能に任せてこの作業を行うことも可能だ。
注：日本語版をダウンロードするには「Choose Language」と表示されたドロップダウンから「Japanese」を選択すること。
MS11-038:
* 注：Server Coreインストールへの影響はない。
MS11-039 & MS11-044: .NET Frameworkアップデートは複雑かつバージョンに依存する性質があるため、パッチの詳細を説明する「マイクロソフトの影響を受けているソフトウェアと受けていないソフトウェア」の欄を参照することをすすめる（もしくは、ウィンドウズの自動アップデート機能に任せて必要なパッチを取り入れる方法もある）。
- MS11-039 Affected & Non-Affected Software section
- MS11-044 Affected & Non-Affected Software section
MS11-041:
MS11-042:
MS11-043:
MS11-037:
* 注：Server Coreインストールへの影響はない。 MS11-046:
MS11-047:
MS11-048:
MS11-051:
ウォッチガード・ユーザ向け：
攻撃者は様々な悪用方法を使って、こうした欠陥を利用することができる。しっかりと設定されているファイアウォールは、いくつかの問題のリスクを緩和させる手助けとなる。とはいっても、Fireboxはローカル攻撃からネットワークを守ることはできず、通常のHTTPトラフィックを利用する攻撃を防ぐこともできないので、マイクロソフトによるアップデートをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。
参考資料：
- マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
12のセキュリティ欠陥を修正するIEのセキュリティアドバイザリ（2） 2011年6月14日
12のセキュリティ欠陥を修正するIEのセキュリティアドバイザリ（2）

コーリー・ナクライナー
2011年6月14日
1:52 pm

危険度：高
2011年6月14日

概要：
- 対象：
  現バージョンのウィンドウズで使用している Internet Explorer (IE)
- 悪用方法：
  悪質なウェブページにユーザを誘導するのが典型的
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行することができ、その完全操作権利も獲得できる
- 対策：
  状況に適したIEパッチを至急取り入れるか、ウィンドウズの自動アップデート機能に任せること
詳細：
月例でパッチを公開しているマイクロソフトは、米国時間の6月14日付けでセキュリティアドバイザリを2件リリースした。 [ MS11-050 / MS11-052 ] 非公式に報告された、現バージョンのウィンドウズで使用しているInternet Explorer (IE) 9.0とそれ以前のバージョンで発見された脆弱性12件についてマイクロソフトは説明しており、その危険性は深刻であると評価している。
- MS11-050: IE 累積アップデート
マイクロソフトは、IEに11件の脆弱性があることをアドバイザリで警告している。各脆弱性の技術面は異なるものの、その大方（11件中8件）の影響と作用範囲は同じだ。これは、IEがリンク・プロパティやレイアウト・メモリなどのHTMLエレメントを処理する方法に起因するメモリ破損問題に関係している。攻撃者は有害なウェブコードを含むウェブページにユーザを誘導し、それに成功するとメモリ破損の脆弱性を悪用してユーザのコンピュータでコードを実行、さらにはユーザの特権を自分のものにすることもできる。通常、ウィンドウズ・ユーザはローカル管理者の特権を持っているため、攻撃者は被害者のコンピュータの完全操作権利を獲得できるようになる。このタイプのコード実行問題を利用して攻撃者がドライブバイ・ダウンロード攻撃を仕掛けるケースは頻繁に見られる。その他の問題は情報開示の脆弱性で、その危険性はそれほどひどいものではない。

技術詳細を知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の情報」の欄を参照することをすすめる。しかし、技術面の違いを別にしても、IEに見られるメモリ破損問題は重要なリスクを提示しているので、 IEの累積パッチを至急ダウンロードしインストールすることをすすめる。
- MS11-052: IE (+ウィンドウズ) VML コード実行の欠陥
初期化されていないオブジェクトや、削除されたオブジェクトを参照するVML （ベクトルマークアップ言語）が細工されていた場合、IEはそれを処理する方法においてもメモリ破損の脆弱性の影響を受けている。細工されたウェブページにユーザを誘導することで攻撃者はこの欠陥を利用し、ユーザのコンピュータでコードを実行できるようになる。その場合、攻撃者はユーザの特権を自分のものにすることができる。こうしたケースではよくあることだが、被害者にローカル管理者の特権があると、攻撃者はその被害者の完全操作権利を獲得することができる。この欠陥はウォッチガードが制作した過去のWireビデオでデモンストレーションを行ったVML IE欠陥に似ている。

最近の攻撃者は正当なウェブページをハイジャックし、それに悪質なコードで罠を仕掛けるケースがよくあるので注意が必要だ。その場合、攻撃者達はサイトにあるウェブ広告を利用したり、SQLインジェクションやXSS攻撃を利用したりするのが典型的だ。よく目にするサイトや信頼できるサイトでも、そのようにハイジャックされてしまえばユーザに対するリスクになる。
解決策：
このパッチは深刻な問題を修正している。適切なIEパッチを至急ダウンロードし、テストしてから取り入れるか、ウィンドウズの自動アップデート機能に任せること。

注：「Change Language:」ドロップダウンから「Japanese」を選択 MS11-050:
* 注：Server Core インストールオプションを使ってインストールしたWindows Server 2008 administratorsにおいては、この欠陥による影響はない。 MS11-052:
* 注：Server Core インストールオプションを使ってインストールしたWindows Server 2008 administratorsにおいては、この欠陥による影響はない。

ウォッチガード・ユーザ向け：
通常、このタイプの攻撃は普通のHTTPトラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするにはHTTPトラフィックを許可しなければならないため、パッチを取り入れることが主な対策となる。
ステータス：
マイクロソフトは脆弱性を修正するパッチをリリースしている。
参考資料：
- マイクロソフトのセキュリティアドバイザリ MS11-050
- マイクロソフトのセキュリティアドバイザリ MS11-052
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。
続きを読む»
スプレッドシートを脆弱にする8つのExcelに伴う脆弱性 2011年6月14日
スプレッドシートを脆弱にする8つのExcelに伴う脆弱性

コーリー・ナクライナー

2011年6月14日
6:10 pm

危険度：高 2011年6月14日

概要：
- 対象：
  マイクロソフトオフィスに搭載されているエクセルの最新バージョン
- 悪用方法：
  有害なエクセルをユーザが開くように誘導する
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
- 対策：
  できる限り早急にマイクロソフトオフィスのアップデートをインストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
パッチリリース日の今日、マイクロソフトはエクセルで発見された8つの脆弱性について説明したセキュリティアドバイザリをリリースした。エクセルは、ウィンドウズ版およびMac版を対象としたマイクロソフトオフィスの一部だ。また、この欠陥はオフィス・ドキュメント・ビューアーや変換用アプリケーションにも影響を及ぼしている。 8つの脆弱性はどれも技術面では異なるが、その影響範囲は同じだ。悪質なエクセルドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意の脆弱性を悪用し、被害者のコンピュータでコードを実行できるようになる。大方の場合、攻撃者はユーザが所持するレベルの特権や許可権を譲り受けることにもなるので、ユーザにローカル管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全操作できるようになる。
解決策：
マイクロソフトは、こうした脆弱性を修正するオフィス用のパッチをリリースしているので状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体にあてがうことをすすめる。また、その他の方法としてはマイクロソフトの自動アップデート機能に任せてもいいだろう。

エクセル・アップデート：
ウォッチガード・ユーザ向け：
ウォッチガードのFirebox製品シリーズには、マイクロソフトのエクセルドキュメントをブロックするように設定できるものもあるが、仕事上この種のドキュメントを許可しておかなければならない企業もあるだろう。このため、パッチを導入することが主な対策となる。

エクセルドキュメントをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロッキング機能でファイル拡張子別（.xls/.xlsx）に設定するための手順をビデオで説明しているので、下記のリンクを参照することをすすめる。ただし、拡張子別にファイルをブロックするようになると、悪質なものだけでなく問題のないものも受信できなくなる点に注意しよう。
- 10.xFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core と X Peak
ステータス：
マイクロソフトは脆弱性を修正するオフィス用のアップデートを提供している。
参考資料：
- マイクロソフトのセキュリティアドバイザリ
この記事はコーリー・ナクライナーCISSPにより、調査され書かれたものです。

続きを読む»
厄介なWINSメッセージがWindowsサーバをハイジャック 2011年5月10日
厄介なWINSメッセージがWindowsサーバをハイジャック

危険度：高

2011年5月10日

概要：
- 対象：
  Windows Server 2003と2008
- 悪用方法：
  細工したWINSパケットを送信
- 影響：
  ユーザのWindowsを攻撃者が完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能に任せること
詳細：
マイクロソフトは、月例「パッチデー」にセキュリティアドバイザリを公開しWindows Server 2003と2008を対象にした深刻な脆弱性について説明した。この欠陥は、マイクロソフト版の NBNS（NetBIOSネーム・サービス）ともいえるサービス、 WINS（ウィンズ・インターネット・ネーム・サービス）に起因している。 WINSは人間が読み取りやすい名称をコンピュータに与えることができるサービスだが（ローカル・ネットワーク・コンピュータにおけるDNSのようなもの）、マイクロソフトによると、 WINSサービスは細工されたメッセージを処理することができず、メモリ破損問題の影響を受けているという。攻撃者は細工したWINSパケットを送信することでこの欠陥を利用し、ユーザのWINSサーバがSYSTEM特権を使ってコードを実行するように強制した上で、サーバの完全操作権利を手に入れる。

とはいっても、この欠陥の作用範囲を軽減させる2つの要因がある。
1. Windows Serverは、デフォルトでWINSサービスをインストールしないようになっている。つまり、自己インストールした場合に限り、この欠陥に対して脆弱となるわけだ。しかし大方のネットワーク管理者は少なくても1台のサーバにWINSをインストールしている傾向があり、そのサーバは組織のネットワークにとって重要なものであるケースが多い。
2. ウォッチガードのXTMアプライアンスなどのファイアウォールは、デフォルトでWINSサービスをブロックするようになっている。WINSはTCPとUDPポート42を使用するので、管理者はそのポートが決してファイアウォールを通過しないようにすること。こうした理由から、WINS攻撃は主に内部脅威であるといえる。しかし、ワームやボット・クライアントなど、特定のマルウェアはローカルWindowsネットワーキング欠陥を利用して、ユーザのローカル・ネットワーク全体でそれを蔓延させることもできる。
問題を緩和させる要因があるにしても、このWINSの脆弱性はWindowsサーバにとって深刻なリスクを掲げているため、状況に適したアップデートをできる限り早急に取り入れることをすすめる。
対策：
マイクロソフトは問題を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、Windowsアップデート機能を使い、自動的にその作業を行う方法もある。 MS11-035

日本語版をダウンロードする場合は「Change Language」のドロップダウン・メニューで「Japanese」を選択すること。
ウォッチガードユーザ：
ウォッチガード・アプライアンスは、デフォルトでWINSサービス（TCP/UDP 42）をブロックするようになっており、インターネットベースの攻撃が、この欠陥を利用してユーザのサーバに攻撃を仕掛けることも阻止できる。ファイアウォールで意図的にWINSを許可するように設定していなければ、外部攻撃からネットワークを守ることができる。とはいっても、何らかの方法でネットワークにマルウェアが侵入してしまった場合は、Windowsネットワーキング欠陥を利用してネットワーク全体を蔓延させようとするため、できる限り早急にパッチを取り入れることをすすめる。
ステータス：
マイクロソフトは欠陥を修正するパッチをリリースしている。
参考資料：
- マイクロソフトのセキュリティアドバイザリ MS11-034
- マイクロソフト・セキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
Officeアップデート：悪質なPowerPointファイルに要注意 2011年5月10日
Officeアップデート：　悪質なPowerPointファイルに要注意

危険度：高

2011年5月10日

概要：
- 対象：
  2010を除く最新版のMicrosoft PowerPoint
  Windows 版とMac（Officeに搭載）版
- 悪用方法：
  有害なPowerPoint ファイルをユーザが開くように仕掛ける
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  マイクロソフトが用意したPowerPointアップデートをできる限り早急にダウンロードするか、マイクロソフトの自動アップデート機能に任せること（Macのアップデートはまだ用意されていない）。
詳細：
マイクロソフトは月例「パッチデー」の日に、セキュリティアドバイザリを公開し、Microsoft Officeに搭載されている最新版のPowerPointに見られるコード実行脆弱性（2）について説明した。この欠陥はWindows版とMac版のどちらにも影響しているが、2010を対象とした最新版のOfficeは対象外となっている。こうした2つの欠陥は技術的には異なるが、その対象範囲と影響は同じである。攻撃者はユーザに有害なPowerPointファイルをダウンロードさせ、それを開くように仕向けて脆弱性を悪用し、被害者のコンピュータでコードを実行することができる。大方の場合、攻撃者はそのユーザの特権と許可権を引き継いだ上で、それを行うが、ユーザにローカル管理者の特権があった場合はユーザのコンピュータを完全に操作することも可能になる。

最近、攻撃者達が標的にしたメール攻撃（スピア型攻撃）で、悪質なOfficeファイルを利用する傾向がある。一般的に、ユーザはOfficeドキュメントが安全だと思っているケースが多いが、犯罪者達はこの種の脆弱性を簡単に利用し、悪質なOfficeドキュメントにマルウェアをインストールすることができる。このため、有害なドキュメントをユーザが開いてしまう以前に、できる限り早急にアップデートをダウンロードしテストしてからアップデートを取り入れることをすすめる。
対策：
マイクロソフトはWindows版のPowerPoint脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、マイクロソフトのアップデート機能を使って自動的にその作業を行う方法もある。残念ながら、マイクロソフトはMac版のアップデートをまだリリースしておらず、それがいつリリースされるのか定かではないが、テストが済み次第連絡されることだろう。
MS11-036 PowerPointアップデート
日本語版をダウンロードする場合は「Change Language」のドロップダウン・メニューで「Japanese」を選択すること。
ウォッチガードユーザ：
PowerPointのようなMicrosoft Officeファイルをネットワークから遮断するように設定できるウォッチガード製品もあるが、ビジネス上そうしたファイルを許可しておかなければならない場合もあるだろう。そうした理由から、パッチを取り入れることが主な対策となる。しかし、それでもOfficeドキュメントをネットワークから遮断したいという場合は、下記のビデオを参照にしてウォッチガードのプロキシ・ポリシーをファイル拡張子別に（PPTやPPTX）阻止する方法もある。但し、ファイルを拡張子別に阻止すると悪質なファイルだけではなく、問題のないドキュメントも受信できなくなるので注意が必要だ。
- 10.xを使用しているFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
マイクロソフトは、こうした脆弱性を修正するPowerPointアップデートをリリースしている。
参考資料：
- マイクソフト・セキュリティアドバイザリ：MS10-036
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
アドビがReaderやAcrobatのFlashゼロデイを部分的に修正 2011年4月22日
アドビがReaderやAcrobatのFlashゼロデイを部分的に修正

危険度：高

2011年4月22日

概要：
- 対象：
  最近のバージョンのAdobe ReaderとAcrobat
- 悪用方法：
  様々な方法があるが、WordやExcelファイルに埋め込まれた悪質なFlashをユーザが開くように誘導する方法が一般的
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる可能性がある
- 対策：
  影響を受けているアドビの人気製品を使用している場合は、いくつもあるアップデートをできる限り早急にダウンロードし、インストールすることを勧める
詳細：
マイクロソフトのパッチデーとリリース日が重なっているアドビのパッチデーは、年に4回と決まっているが、ゼロデイFlashの一般環境下における悪用が最近でまわっているため、アドビは予定前にパッチをリリースするようになってきた。そして米国時間の4月21日、アドビはReaderとAcrobatを対象としたアップデートをリリースし、パッチが用意されていなかったFlashの脆弱性問題を修正した。この欠陥は多くのアドビ製品に搭載されているFlashコンポーネントに内在するため、 ReaderとAcrobatにも影響している。ちなみに、この欠陥については先週のポストで連絡済みではある。いつも通り、アドビはゼロデイ欠陥の詳細については説明していないが、この欠陥がauthplay.dll Flashコンポーネントにあるとは述べている。それは過去に報告されたよく似ている脆弱性においても影響していたコンポーネントだ。細工したWordやExcelもしくはPDFファイルをユーザが開くように誘導する方法を使い、攻撃者はこの未特定欠陥を利用してユーザのリソースを使って、そのユーザのコンピュータでコードを実行できるようになる。ご存知の通り、ユーザが管理者であった場合はゲームオーバーだ。アップデート詳細については、アドビのセキュリティアドバイザリを参照にすることを勧める。

アドビ（日本版）のセキュリティ・アップデート（抄訳）
アドビ（英文）のセキュリティ・アップデート
対策：
アドビはReaderやAcrobatのアップデートをリリースし、いくつかの製品において見られるこの欠陥を修正している。このパッチはAcrobatには完全対応しているが、 Windows版のReader Xに対応するものはまだリリースされていない。Reader Xのデフォルト・セキュリティ設定でこの攻撃に対抗できるため、次回のパッチデーである6月までReader Xのアップデートをリリースする予定はないとアドビは説明している。使用しているソフトウェアが次のリストにある場合は、できる限り早急に状況に適したアップデートをダウンロードしデプロイするか、アドビの自動アップデート機能に任せることを勧める。
- APSB11-08:
ウォッチガードユーザ：
WatchGuardのFirebox製品の中には、ウェブ（HTTP)やメール（SMTP、POP3 ）を介して特定の種類のファイルをユーザがダウンロードできないように設定できるものもある。望むのであれば、Fireboxのプロキシ・サービスを使って一時的に .DOC/ .XLS/.PDF/.SWF/.DIR/.DCR/.FLVといったアドビやMS Office関連の様々なファイルを遮断し、リスクを軽減させることも可能だ。　とはいっても、インタラクティブなコンテンツを表示するため、こうしたファイルに依存するウェブサイトも多く、それらを阻止してしまうとサイトが正常に機能しなくなる可能性がある。また、このような種類のファイルに依存しているビジネスも多く、それらを遮断してしまうと正当なファイルまでもその対象になってしまうため、上記のアップデートを取り入れることを勧める。それでも、問題のアドビやOffice関連ファイルをネットワークから遮断したいというのであれば、次のリンクを参照してFireboxプロキシのコンテンツ・ブロッキング機能を使い、拡張子別にファイルを阻止することができる。
- 10.xを使用しているFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
アドビのアップデートはこうした脆弱性を修正している。
参考資料：
- Adobe Readerのセキュリティアドバイザリ
- アドビ（日本版）のセキュリティ・アップデート（抄訳）
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。(ツイッター：@SecAdept)

続きを読む»
コード実行と情報開示欠陥を修正するIEアップデート 2011年4月12日
コード実行と情報開示欠陥を修正するIEアップデート

危険度：高

2011年4月12日

概要：
- 対象：
  現バージョンのWindowsで使用している最新版のInternet Explorerバージョンすべて
- 悪用方法：
  有害なウェブページにユーザを誘導する方法が典型的
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したインターネット・エクスプローラ（IE）のパッチを至急インストールするか、マイクロソフトのWindows自動アップデート機能に任せること
詳細：
米国時間の4月12日、マイクロソフトは月例「パッチデー」で公開したセキュリティアドバイザリにて、現バージョンのWindowsで使用しているIEバージョン8とそれ以前のバージョンで発見された5つの新しい脆弱性について説明している。研究者達は、その内の4件をマイクロソフトに内密に報告したが、残りの1件については一般公開した。マイクロソフトは、この欠陥の危険性を深刻と評価している。 5つの欠陥はどれも技術的には異なるが、そのうち3つの悪質な欠陥の対象と影響を及ぼす範囲は同じである。それらはどれもメモリ破損問題に関与しており、様々なHTMLエレメントやMSHTMLオブジェクト、ページレイアウトなどをIEが処理する方法に起因している。攻撃者は有害なウェブコードを含むウェブページにユーザを誘導すると、いずれかの脆弱性を悪用し、ユーザのコンピュータでそのユーザの特権を持った状態でコードを実行できるようになる。大抵の場合、Windowsユーザにはローカル管理者の特権が備わっているが、その場合は攻撃者が被害者であるユーザのコンピュータを完全に操作できるようになる。また、こうしたタイプのコード実行問題を利用し、攻撃者がドライブバイ・ダウンロード攻撃を仕掛けるケースは頻繁に見られる。その他2件の情報開示とクリック・ジャッキング問題の危険性は、それほどに深刻なものではない。最近の攻撃者は、正当なウェブページをハイジャックしてサイトに悪質なコードを仕掛けているケースがよくある点に注意しよう。その場合、攻撃者はホストしているウェブ広告や、SQLインジェクション、XSS攻撃などを使うのが典型的な例である。つまり、すぐ分るようなサイトや本物のサイトであっても、そのようにハイジャックされてしまえばユーザにとってはリスクとなる可能性がある。こうした欠陥の技術面の違いを知りたければ、マイクロソフトのセキュリティアドバイザリにある
「Vulnerability Information」を参照することをすすめる。しかし技術面を別にしても、このメモリ破損の欠陥はIEに対して深刻なリスクとなっているため、IEのパッチを至急ダウンロードし、インストールすることをすすめる。

対策：
このパッチは深刻な問題を修正しているので、状況に適したIEのパッチをできる限り早急にダウンロードしテストしてからインストールするか、Windowsの自動アップデート機能に任せて必要なものをインストールすることをすすめる。

*日本語版をダウンロードする場合はドロップダウンメニューで「Japanese」を選択すること。 Internet Explorer 6.0
Internet Explorer 7.0
Internet Explorer 8.0
ウォッチガードユーザ：
この種の攻撃は、ネットワークのユーザがワールドワイドウェブにアクセスできるようにしておくには許可しなければならない通常のHTTPトラフィック状態で移動するため、パッチを利用することが最善策だろう。
ステータス： マイクロソフトは脆弱性を修正するアップデートをリリースしている。

参考資料：
- マイクロソフトによるセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
ネットワークへのドアを開放してしまう有害なOfficeファイル 2011年4月12日
ネットワークへのドアを開放してしまう有害なOfficeファイル

危険度：高

2011年4月12日

概要：
- 対象：
  現バージョンのMicrosoft Officeと、それに搭載されているコンポーネント
- 悪用方法：
  有害なOfficeファイルをユーザが開くように誘導する方法が典型的
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  マイクロソフトが出しているOfficeアップデートをできる限り早急にダウンロードするか、マイクロソフトの自動アップデート機能に任せて必要なものをインストールすること
詳細：
マイクロソフトは月例の「パッチデー」において、セキュリティアドバイザリを2件公開した。アドバイザリは、WindowsとMac版を対象とした現バージョンのOfficeに搭載されているExcelや、その他のコンポーネントで発見された11件の脆弱性について説明している。全11件の脆弱性は技術的に異なり、影響を及ぼすOfficeコンポーネントも同じものではないが、その結果は同じである。例えば、ユーザの1人に有害なOfficeドキュメントをダウンロードさせ、それを開くように仕向けると、攻撃者はいずれかの脆弱性を悪用して被害者となるユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者はそのユーザの特権と許可権を引き継いだ上で実行するケースが大方だ。また、ユーザにローカル管理者の特権があった場合は攻撃者がユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトが公開したセキュリティアドバイザリによると、攻撃者は様々な種類のOfficeファイルを利用して、こうした欠陥を悪用できるという。マイクロソフトは特にExcelファイルが脆弱であると述べているが、同時に他のアドバイザリでは「Officeファイル」とも説明しているので、受信する予定がなかったOffice関連ファイルには注意するのが賢明だろう。各欠陥の詳細について知りたい場合は、セキュリティアドバイザリにある「脆弱性の詳細」を参照することをすすめる。
MS11-021
Excelのコード実行問題９件（評価：重要）
MS11-023
Officeコード実行問題2件（評価：重要）

対策：
マイクロソフトは、こうした脆弱性を修正するOfficeのパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、マイクロソフトの自動アップデート機能を使って自動的にその作業を行うこともできる。

*日本語版をダウンロードする場合はドロップダウンメニューで「Japanese」を選択すること。
MS11-021 Excelアップデート: Office XP w/SP3
Office 2003 w/SP3
Office 2007 w/SP2
Office 2010 32-bit
Office 2010 64-bit
Office 2004 for Mac
Office 2008 for Mac
Office for Mac 2011
Open XML File Format Converter for Mac
Excel Viewer
Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
MS11-023 Office XP w/SP3
Office 2003 w/SP3
Office 2007 w/SP2
Office 2004 for Mac
Office 2008 for Mac
Open XML File Format Converter for Mac

ウォッチガードユーザ：
マイクロソフトのOffceドキュメントを遮断するように設定できるWatchGuard Firebox製品もあるが、ビジネス上、そうしたファイルを許可しておかなければならない場合もあるだろう。そうした理由から、先述のパッチを取り入れることが主な対策となる。

Officeドキュメントをネットワークから遮断したいならば、Fireboxプロキシのコンテンツ・ブロッキング機能を使って、ファイル拡張子別にファイルを阻止することができる。その手順を説明したビデオについては、下記のリンクを参照することをすすめる。除外したいファイル拡張子は.doc/.xls/ .pptなどだが、その他にもいくつもある（「x」で終わる新しいOfficeの拡張子も含む）。但し、ファイルを拡張子別に阻止すると、悪質なファイルだけではなく正当なファイルも受信できなくなる点に注意しよう。

10.xを使用しているFirebox X Edge
Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
マイクロソフトは、Officeの脆弱性問題を修正するアップデートをリリースしている。

参考資料：
- マイクロソフトによるセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
18のセキュリティ問題を修正するWindowsアドバイザリ深刻な問題を抱えていたSMB/DNS/ActiveXの欠陥を修正 2011年4月12日
18のセキュリティ問題を修正するWindowsアドバイザリ 深刻な問題を抱えていたSMB/DNS/ActiveX の欠陥を修正

危険度：高

2011年4月12日

概要：
- 対象：
  現バージョンのWindowsと、それに搭載されているコンポーネント
- 悪用方法：
  細工したネットワーク・トラフィックを送信したり、有害なイメージをユーザが開くように誘導するなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合には攻撃者が被害者のWindowsを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトの自動アップデート機能に任せて必要なパッチをインストールすること
詳細：
米国時間の4月12日、マイクロソフトはWindowsと搭載されているコンポーネントに影響を与えている脆弱性（18）について説明したセキュリティアドバイザリを13件公開した。各脆弱性による影響はWindowsバージョンにより異なり、その度合いも違うが、リモート攻撃者は中でも悪質な欠陥を利用してユーザのWindows PCを完全に操作できるようになる。

脆弱性の危険度が高いものから順に説明した概要は次の通り：
MS11-019
SMB Client のリモート・コード実行問題 マイクロソフトのサーバメッセージブロック(SMB)は、Windowsがファイルシェアやプリントシェアに使うプロトコルだが、マイクロソフトによると、このWindows SMBクライアントは2つのセキュリティ脆弱性の影響を受けているという。攻撃者は、そうした脆弱性を利用して悪質なコードを実行する。攻撃者は、有害なSMBサーバにユーザの1人が接続するように仕向けたり、細工したSMBメッセージを送信することで、いずれかの欠陥を悪用して脆弱なWindowsを完全に操作できるようになる。但し、WatchGuardのXTMアプライアンスのようなファイアウォールは、インターネットからのSMBトラフィックをネットワークから遮断することが普通であるため、この脆弱性は主に内部脅威であるといえるだろう。とはいっても、様々な種類のマルウェアは最初の被害者を感染させることに成功すると、SMB関連の脆弱性を利用してネットワーク内で自身を蔓延させることができる。

マイクロソフトの評価：深刻
MS11-020
SMB サーバリモート・コード実行問題 先の脆弱性と同様に、Windows SMB Serverもコード実行問題の影響を受けている。攻撃者は細工したSMBパケットを送信することで欠陥を悪用し、脆弱なWindowsを完全に操作できるようになる。このケースにおいても、ファイアウォールがSMBをネットワークから遮断することができるため、これは主に内部脅威であるといえる。

マイクロソフトの評価：深刻
MS11-027
ActiveX Kill Bit累積アップデート マイクロソフトと外部の研究家達は、セキュリティ脆弱性の影響をいくつも受けているマイクロソフトと第三者によるActiveXコントロールを複数発見した。攻撃者は、有害なウェブサイトにユーザの1人を誘導すると、いずれかのActiveXコントロールを悪用し、ユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。大方のWindowsで見られる脆弱性と同様に、ユーザにローカル管理者の特権があった場合は攻撃者がユーザのPCを完全に操作できるようになる。このアップデートは脆弱なActiveXすべてにKill Bitを設定することでWindowsで無効にすることができる。無効にしたActiveXコントロールの詳細について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細」を参照することをすすめる。

マイクロソフトの評価：深刻
MS11-028
.NET Framework スタック破損の問題 .NET Frameworkは、ソフトウェア・フレームワークで、開発者達が新しいWindowsやウェブアプリケーションを製作する場合に使われるのだが、残念なことに.NET Framework 内にあるx86 JITコンパイラは、特定の種類のファンクションコールを不適切にコンパイルしてしまう複雑な脆弱性の影響を受けている。この脆弱性による影響とその影響範囲は本人がデザインしたウェブ、またはWindows .NETアプリケーションによって大きく異なる。最悪の場合、攻撃者はこの欠陥を悪用してWindowsを完全に操作できるようになる。しかし、この脆弱性の被害を受けやすいのはカスタム.NETアプリケーションを他者がアップロードできるように許可したり、特別の.NET Windowsアプリケーションを作成したといったような特定の方法で作成したカスタム・ウェブアプリケーションをホストしている場合に限る。.NETアプリケーションを作成するのであれば、マイクロソフトによるセキュリティアドバイザリの「脆弱性の詳細」を参照し、この問題を詳しく調べるのがいいだろう。どちらにせよ、 .NET Frameworkをインストールしている場合は、独自の.NETアプリケーションを作成していなくてもアップデートをインストールすることをすすめる。

マイクロソフトの評価：深刻
MS11-029
GDI+整数のオーバーフロー問題 GDI+（グラフィックス・デバイス・インターフェイス）は、特に２Dベクトルグラフィックを処理するWindowsコンポーネントである。しかし、そのGDI+は不正形式にされたEMFイメージを適切に処理する機能に関与する整数オーバーフロー問題の影響を受けている。有害なイメージをユーザの1人に閲覧させるように誘導し（場合によってはウェブサイトにそれをホスト）、攻撃者はこの欠陥を利用、ユーザの特権を使ってそのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権があった場合は、攻撃者がそのコンピュータを完全に操作できるようになる。

マイクロソフトの評価：深刻
MS11-030
Windows DNS Clientのコード実行問題 Windows DNSクライアントは、細工済みのLLMNR（リンクローカル・マルチキャスト・ネーム・レゾリューション） DNS クエリを処理する機能に関与する未特定脆弱性の影響を受けている。攻撃者が標的にするWindowsのバージョンにより、欠陥の悪用方法は2通りある。例えば、Windows XPとServer 2003のコンピュータを攻撃する場合、攻撃者はまず、ローカルからユーザのコンピュータに有効なクレデンシャルでログインし、そうしてから欠陥を悪用して特権を昇格させる特別なプログラムを実行させなければならない。攻撃者はユーザのコンピュータへのローカル・アクセス権、そして有効なクレデンシャルも必要とするため、このリスクは高いものではない。とはいっても、この欠陥はWindows Vista 7、Server 2008のコンピュータにおいて、より大きなリスクを掲げている。その場合に攻撃者が必要とするのは細工したLLMNRブロードキャスト・メッセージを送信することで、欠陥を利用してNetworkServiceアカウント特権でコードを実行できるようになるため、攻撃者はユーザのコンピュータを大幅に操作できるようになる。

マイクロソフトの評価：深刻
MS11-031 & MS11-022
複数のスクリプティング・エンジンのコード実行問題 VBScriptと JScript は、どちらもマイクロソフトが作成したスクリプト言語で、Windowsやそのアプリケーションが使用しているものだ。マイクロソフトによる2件のセキュリティアドバイザリによると、スクリプティング・エンジンは2つのコード実行問題の影響を受けているという。リスクが低いのはMS10-022を要約したもので、それについては以前のアラートでも説明したと思うが、これはコード実行問題で非常に特定の状況においてF1を押した場合にのみ出てくるものである。しかし、もう１つの脆弱性は整数オーバーフローの欠陥で、攻撃者は細工したスクリプトで簡単に誘発させることができる。攻撃者が細工したウェブページにユーザを誘導すると、欠陥を利用してユーザの特権で、そのユーザのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合は、ゲームオーバーだ。

マイクロソフトの評価： 深刻・重要
MS11-032
OpenTypeフォントCFFドライバー・コード実行の脆弱性 WindowsにはOpenType　Compact Font Format (CFF)など、数多くのフォントが搭載されている。しかし残念なことに、Windowsが OpenType CFFフォントを表示できるようにするドライバーが特定のパラメータバリューを適切に検証していないことが分った。標的のWindowsバージョンが新しいか旧いものかにより、攻撃者がこの欠陥を悪用するには2通りの方法がある。旧いバージョンのWindows（XP/2003）に対して攻撃を仕掛ける場合は、攻撃者のオリジナル・ユーザの特権にかかわらず、そのシステムを完全に操作できるようにするには、細工したプログラムをユーザのコンピュータで実行しなければならない。攻撃者が有害なプログラムを実行するには、ユーザのコンピュータへのローカルアクセス権が必要となる。しかし、新しいバージョンのWindows（Vista/2008/7）においては、自動的にディレクトリでフォントをプレビューできる自動プレビュー機能がある。攻撃者は悪性のOpenTypeフォントを含むファイル共有をユーザが開くように誘導し、この欠陥を悪用してWindowsを完全に操作できるようになる。ちなみに、この欠陥の性質はMS11-007とほぼ同じである。

マイクロソフトの評価：深刻
MS11-024
Fax Cover Page Editor のメモリ破損問題 Windows Fax Cover Page Editor (fxscover.exe) は、文字通りファックスのカバーページを作成するためのプログラムだ。ところが、このプログラムは細工されたファックスのカバーページ (.cov)を処理できない面で未特定のメモリ破損問題の影響を受けている。細工した「.cov」をユーザの1人が開くように誘導すると、攻撃者はこの欠陥を悪用してユーザの特権で、そのユーザのコンピュータでコードを実行することができる。いつものように、ユーザにローカル管理者の特権があった場合、攻撃者はその特権を受け継ぐようになる。

マイクロソフトの評価：重要
MS11-026
MHTML情報開示の脆弱性 2月のポストで、ゼロデイMHTMLの脆弱性がクロスサイト・スクリプティング（XSS）問題と似ていると説明したが、この欠陥は Windows MHTMLまたはMIME HTMLコンポーネントに関与している。これは、HTMLとMIME（主に画像やオーディオ、ビデオなど）のコンテンツを1つのファイルに収めた特別なウェブページを処理するために使われるものだ。細工したウェブページにユーザを誘導したり、有害なリンクをユーザがクリックするように仕向けることに成功すると、攻撃者はクロスサイト・スクリプティング（XSS) 問題を悪用するのとほぼ同じ方法でこの欠陥を悪用することができる。つまり、クッキーを盗んだり、ユーザのブラウザを有害なサイトにリダイレクトさせたり、ウェブサイトで好き勝手に行動したりすることができる。ちなみに、このアップデートで2月のゼロデイ欠陥をついに修正することができる。

マイクロソフトの評価：重要
MS11-033
WordPadのコード実行問題 WordPadはWindowsに搭載されている無料のテキスト編集だ。しかし、このWordPadは細工されたWord文書ファイルに含まれた特定のフィールドを解析できないテキスト変換に関与する未特定の脆弱性の影響を受けている。文書ファイルをユーザの1人が開くように誘導すると、攻撃者は欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作することができるようになる。この欠陥が影響しているのはWindows XPとServer 2003 のみである。

マイクロソフトの評価：重要
MS11-034
Windowsカーネルモード・ドライバの特権昇格問題 カーネルはコンピュータOSの中心的コンポーネントである。Windowsは多くのカーネルレベル・デバイスを処理するカーネルモード・デバイス・ドライバー(win32k.sys)を搭載している。このカーネルモード・ドライバは、2つの特権昇格による脆弱性の影響を受けている。欠陥は技術的には異なるが、その大方の対象範囲と影響は同じである。細工したプログラムを実行することで、ローカル攻撃者は欠陥を利用してユーザのWindowsを完全に操作できるようになる。しかし、攻撃者はまず被害者となる人物のWindowsにおいて有効なクレデンシャルでローカルアクセス権を獲得しなければならない。そうした点から、この欠陥のリスクは大幅に減少する。

マイクロソフトの評価：重要
対策： マイクロソフトはこうした脆弱性をすべて修正するWindows用のパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、別の方法としてマイクロソフトの自動アップデート機能を使い、自動的にその作業を行うという方法もある。

日本語版をダウンロードするには、ドロップダウン・メニューで「Japanese」を選択すること。 MS11-019:
MS11-020:
MS11-027:
注意*Server Core インストールへの影響はない MS11-028: 複雑でバージョン次第の性質を持つ.NET Framework のアップデートを見つけるには、マイクロソフトによるセキュリティアドバイザリの「Affected & Non-Affected Software」を参照し、パッチの詳細情報を入手することをすすめる。 MS11-029:
注意*Server Core インストールへの影響はない MS11-030:
MS11-031 & MS11-022 複雑でバージョン次第の性質を持つ VBScript とJScriptのアップデートを見つけるには、マイクロソフトによるセキュリティアドバイザリの「Affected & Non-Affected Software」を参照し、パッチの詳細情報を入手することをすすめる。
- Affected Software section of MS11-031
- Affected Software Section of MS11-022
MS11-032:
MS11-024: Fax Cover Editorのアップデートには複数のパッチが必要。マイクロソフト・セキュリティアドバイザリの「Affected & Non-Affected Software」を参照し、パッチの詳細情報を入手することをすすめる。 MS11-026:
MS11-033:
MS11-034:
ウォッチガードユーザ：
攻撃者は様々な悪用方法を使って、こうした欠陥を悪用することができる。ファイアウォールが正しく設定されていれば、いくつかの問題のリスクを緩和させることができる。とはいっても、Fireboxはローカル攻撃からネットワークを保護したり、普通のHTTPトラフィックを利用した攻撃を阻止することはできないので、マイクロソフトが提供しているアップデートをインストールすることがもっとも安全な対策方法だろう。
ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。
参考資料：
- マイクロソフトによるセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
アドビのパッチ３つのソフトウェアのゼロデイを修正 2011年3月21日
アドビのパッチ３つのソフトウェアのゼロデイを修正

危険度：高
2011年3月21日

概要：
- 対象：
  最近のバージョンのAdobe Reader/Arobat/Flash Player
- 悪用方法：
  様々な方法があるが、悪質なFlashやReaderのコンテンツを載せたウェブサイトにユーザを誘導する方法が一般的
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  影響を受けているアドビの人気製品を使用している場合は、多々あるアップデートをできる限り早急にダウンロードし、インストールすることを勧める
詳細：
マイクロソフトのパッチデーとリリース日が重なっているアドビのパッチデーは年に4回と決まっているが、ゼロデイFlashの一般環境下における悪用が最近出回っているため、アドビは予定前にパッチをリリースするようになってきた。そして今日、アドビはAndroidを含むすべてのプラットフォーム対象のReader、Acrobat、Flash PlayerのゼロデイFlash脆弱性を修正するセキュリティ・アドバイザリを2件公開した。 2つのアドバイザリは、それぞれ別のソフトウェアを取り上げているが、修正したのは同じコアFlash関連の脆弱性だ。この詳細については過去に説明したので記憶に新しい読者もいるだろう。アドビはいつものごとく、ゼロデイ欠陥の詳細については説明していないが、この欠陥がauthplay.dll に起因しているとは述べている。authplay.dll は、今回焦点が当てられている3つの脆弱な製品が使用している機能である。

攻撃者は、ユーザをウェブサイトに誘導したり、有害なFlashコンテンツが入ったPDFをユーザがダウンロードするように仕向けると、欠陥を悪用しユーザの特権でコードを実行できるようになる。また、被害者のプラットフォームでユーザに管理者やルート特権があった場合、攻撃者はそのコンピュータを完全に操作できるようになる。最初の記事と同様に、アドビがこの欠陥の存在を知る以前に、攻撃者達は一般の環境下でその悪用を始めていた。おそらく大方のユーザがそうだろうとは思うが、影響を受けているソフトウェアを使用している場合はアドビのアップデートを至急インストールすることを勧める。アップデート詳細については、アドビのセキュリティ・アドバイザリを参照にすることを勧める。
- アドビ（日本版）のセキュリティ・アップデート（抄訳）
- APSB11-05:2001年3月のFlash Playerアップデート
- APSB11-06 :2001年3月のReaderとAcrobatのアップデート
対策：
アドビによるReader/Acrobat/Flash Playerを対象としたアップデートをインストールすれば、この欠陥を修正することができる。使用しているソフトウェアが次のリストにある場合は、できる限り早急に状況に適したアップデートをダウンロードしデプロイするか、アドビの自動アップデート機能に任せることを勧める。

注記：　
アドビはこの脆弱性に対応するReader Xのアップデートをまだリリースしていないが、Reader Xのdefault sand-boxing 技術はデフォルトでこの欠陥からユーザを保護できるはずだ。とはいっても、Reader Xのアップデートは後日、用意されることだろう。
- APSB11-05:
- APSB11-06 :
ウォッチガードユーザ：
WatchGuardのFirebox製品の中には、ウェブ（HTTP)やメール（SMTP、POP3 ）を介して特定の種類のファイルをユーザがダウンロードできないように設定できるものもある。望むのであれば、Fireboxのプロキシ・サービスを使って一時的にアドビ関連の様々なファイル（PDF/.SWF/.DIR/.DCR/.FLV）を遮断し、リスクを軽減させることも可能だ。　とはいっても、インタラクティブなコンテンツをウェブサイトで表示するため、その種のファイルに依存しているサイトは多い。また、ファイル共有の際にPDFファイルに依存しているビジネスも多く、そうしたファイルを遮断してしまうと、サイトが適切に機能しなくなったり、正当なファイルまでも遮断してしまうことになるため、上記のアップデートを取り入れることを勧める。それでも問題のアドビ関連ファイルをネットワークから遮断したいというのであれば、次のリンクを参照してFireboxプロキシのコンテンツ・ブロッキング機能を使い、拡張子別にファイルを阻止することができる。
- 10.xを使用しているFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
アドビのアップデートはこうした脆弱性を修正している。

参考資料：
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。(ツイッター：@SecAdept)
続きを読む»

アップル 2011年最初のOS Xパッチで57の脆弱性を修正 2011年3月21日

アップル 2011年最初のOS Xパッチで57の脆弱性を修正

2011年3月21日

概要：

対象：
OS X 10.5.x (Leopard)　/　OS X 10.6.x (Snow Leopard)

悪用方法：
攻撃者が有害なウェブサイトにユーザを誘導したり、様々なドキュメントや画像をユーザがダウンロードするように仕向けるなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行できる

対策：
OS Xの管理者は、OS X 10.6.7 またはセキュリティアップデート2011-001をできる限り早急にダウンロードし、テストしてからインストールするか、アップルのソフトウェア・アップデートで必要なアップデートを自動的にダウンロードすることを勧める

詳細：
米国時間の3月21日、アップルは現バージョンのOS Xで発見された脆弱性を修正するセキュリティアップデートをリリースした。このアップデートでは、OS XやOS X Serverの一部として出荷されている26のコンポーネント（Apache/Quicktime/ClamAVなど）で発見された、およそ57件のセキュリティ問題を修正している（数字はCVE-IDによる情報）。

今回修正された脆弱性はいくつもあるが、その中のいくつかの概要は次の通り：

Multiple ImageIO バッファ・オーバーフローの脆弱性
ImageIOは、OS Xが様々な種類の画像ファイルを処理するためのコンポーネントの1つだが、特定の種類の画像ファイル処理に関与するセキュリティ脆弱性の影響を受けている（バッファ・オーバーフロー問題など）。どの欠陥も技術的には異なるが、その大方の対象と影響は同じだ。

攻撃者は細工した画像ファイルを被害者に閲覧させ（例えば有害なサイトにそれらをホストするなど）、欠陥のいずれかを悪用してアプリケーションをクラッシュさせたり、被害者のコンピュータで攻撃用コードを実行したりする。とはいっても、攻撃者はデフォルトにより、そのユーザの特権でのみコードを実行することができる。

影響を受けている画像の種類：　JEPG/TIFF/XBM

ATSの脆弱性（多数）
ATS（アップル・タイプ・サービス）は、OS Xでフォント処理を実行するために使う機能だが、ある特定の埋め込みフォント処理に関与するメモリ関連の脆弱性の影響をいくつも受けている。

攻撃者は細工したフォントを入れた悪質な文書ファイルをユーザにダウンロードさせ、それをユーザが閲覧するように仕掛けると、欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。但し、攻撃者はデフォルトにより、そのユーザの特権でのみコードを実行することができる。

Quicktimeの脆弱性（5）
Quicktimeは、OS X（およびiTunes）に搭載されている人気のメディア再生機能だが、特定の画像やビデオファイル処理に関与する5つのセキュリティ問題を抱えている（数字はCVE-IDによる情報）。それらはどれも技術的に異なるが、大方の対象と影響は同様である。

攻撃者は、悪質に細工した画像やQuicktimeで見せるビデオをユーザに閲覧させ、いずれかの欠陥を悪用しユーザの特権でコードを実行できるようになる。

アップルのアラートは、この他にも多々あるコード実行の脆弱性や、サービス拒否 (DoS)、情報開示問題、クロスサイトスクリプティング（XSS）についても説明している。

今回のセキュリティアップデートで修正されたコンポーネント：

AirPort	Apache
AppleScript	ATS
bzip2	CarbonCore
ClamAV	ClamAV
File Quarantine	HFS
ImageIO	Image RAW
Installer	Kerberos
Kernel	Libinfo
libxml	Mailman
PHP	QuickLook
Quicktime	Ruby
Samba	Subversion
Terminal	X11

詳細についてはアップルの OS X 10.5.x と10.6.x アラートを参照することを勧める。また、アップルは過去数週間においてセキュリティ・アップデートをいくつもリリースしている。例えば、今月上旬にここで報告したJavaアップデートの他にも、下記製品を対象としたセキュリティ関連のアップデートも公開している。

Apple TV 4.2
Safari 5.0.4（OS X/Windows）
iOS 4.3（iPhone/iPad/iPod）

上記製品を使用している場合はアップデートを取り入れるか、アップルの自動ソフトウェア・アップデート機能に任せることを勧める。

対策：
アップルはOS X セキュリティアップデート2011-001 とOS X 10.6.7をリリースし、こうしたセキュリティ問題を修正している。OS X管理者は、状況に適したアップデートをできる限り早急にダウンロードし、テストしてからインストールすることを勧める。

注意：
使用しているOS Xに、どのパッチをあてがうべきか定かでない場合は、OS Xのソフトウェア・アップデート機能を使って自動的に必要なアップデートをインストールする方法を勧める。

全ユーザへ：
こうした欠陥は、様々な悪用方法を可能にすることができる。中には、ぺリメータファイアウォールが攻撃に関わることのないローカルのものもある（部署間にファイアウォールを設置している場合は別）。このため、アップデートをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
アップルがリリースしたアップデートで欠陥を修正することができる。

参考資料：

2011年3月のOS X 10.5x /10.6.x セキュリティ・アップデート

この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです　(ツイッター：@SecAdept)。

Microsoft Groove2007のコード実行問題　2011年3月8日
Microsoft Groove2007のコード実行問題
危険度：中

2011年3月8日

概要：
- 対象：
  Microsoft Groove 2007サービス（Office 2007のバージョン・シリーズに搭載されている場合もある）
- 悪用方法：
  細工済みのGrooveファイルをユーザが開くように誘導する
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したGrooveのアップデートを至急インストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
Microsoft Groove（現在はMicrosoft SharePoint Workspaceと呼ばれている）は、ドキュメント・コラボレーションのプログラムで、オンライン・チームやオフラインのメンバーと、ワークスペースを共有できるようにするものだ。文書ファイルを編集すると、自動的に共有しているワークスペースとその変更したデータの同期が行われる。GrooveはMicrosoft Office 2007のEnterprise版とUltimate版に搭載されている。マイクロソフトはパッチの日にリリースしたセキュリティアドバイザリで、Microsoft Groove 2007サービスに影響している深刻な脆弱性について説明した。不安定なDLL（ダイナミックリンクライブラリ）のローディング技術に関係するこの欠陥は、過去のセキュリティアドバイザリでも説明されていた。細工済みのDLLと同じネットワーク・ディレクトリにある不正細工済みのGroove関連ファイル（.vcg/.gta）をユーザが開くように誘導すると、攻撃者はこの脆弱性を利用し、ユーザの特権を自分のものにした状態で、そのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はこれを利用することでユーザのコンピュータを完全に操作できるようになる。

対策：
Microsoft Groove 2007 Service のアップデートをダウンロードし、テストしてからネットワークに取り入れるか、Windowsの自動アップデート機能に任せることを勧める。

ウォッチガードユーザ：
自分の仕事環境に合うならば、HTTPやSMTPおよび（もしくは）POP3プロキシを使って、こうした脆弱性を誘発するために使われるGrooveに関連のファイル(.vcg /.gta) をネットワークから遮断することも可能だ。とはいっても、そうすることで問題のないGrooveファイルもユーザがダウンロードできなくなってしまうので、上記のアップデートをインストールすることを勧める。それでもウォッチガードのプロキシ機能を使って、こうした種類のファイルを阻止したいというのであれば、次の手順を参照にすることを勧める。
- 10.xを使用しているFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
マイクロソフトは、この脆弱性を修正するアップデートをリリースしている。

参考資料：
マイクソフト・セキュリティアドバイザリ：MS11-016
マイクロソフトセキュリティアドバイザリ（一覧）
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
Media PlayerとRDPの脆弱性を修正するWindowsアップデート 2011年3月8日
Media PlayerとRDPの脆弱性を修正するWindowsアップデート
危険度：高

2011年3月8日

概要：
- 対象：
  現バージョンのWindowsと、それに搭載されているコンポーネント
- 悪用方法：
  細工したファイルをユーザが開くように誘導する（メディアファイルもしくはRDP設定ファイル）
- 影響：
  最悪の場合は、攻撃者が被害者のWindowsコンピュータを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
3月8日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響する3つの脆弱性について説明した2件のセキュリティアドバイザリを公開した。各脆弱性による影響はWindowsバージョンにより異なり、その度合いも違うが、リモート攻撃者は中でも悪質な欠陥を利用してユーザのWindows PCを完全に操作できるようになる。

脆弱性の危険度が高いものから順に説明した概要は次の通り：
- MS11-015
  Windows Media関連のコード実行問題（2）
- MS11-017
  リモートデスクトップの不安定なライブラリ・ローディング問題
対策：
マイクロソフトはこうした脆弱性をすべて修正するWindows用のパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、別の方法としてはマイクロソフトの自動アップデート機能を使い、自動的にその作業を行うという方法もある。
MS11-015
注意*Server Core インストールへの影響はなし

注記：日本語版をダウンロードする場合は「Change Language」のドロップダウンメニューから「Japanese」を選択 MS11-017
- リモートデスクトップ・クライアント5.2
- リモートデスクトップ・クライアント6.x
- リモートデスクトップ・クライアント7.0
注意*Server Core インストールへの影響はなし

ウォッチガードユーザ：
自分の仕事環境に合うならば、HTTPやSMTPおよび（もしくは）POP3プロキシを使って、脆弱性を誘発するために使われるWindows Media PlayerやRDP関連のファイルを(.rdp/.wtv/ .drv-ms/.mpgなど) ネットワークから遮断することも可能だ。とはいっても、そうしたファイルは正当な目的で使われることが多いので、ネットワークから遮断してしまうと、ユーザがインターネットで特定のメディアにアクセスできなくなるだろう。そのため、上記のアップデートをインストールする方法を勧める。それでもウォッチガードのプロキシ機能を使って、このような種類のファイルを阻止したいというのであれば、次の手順を参照にすることを勧める。
- 10.xを使用しているFirebox X Edge
- Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
マイクロソフトは、こうした問題を修正するためのパッチをリリースしている。
参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
コード実行を阻むOS X Javaのアップデート　2011年3月8日
コード実行を阻むOS X Javaのアップデート
2011年3月8日

概要：
- 対象：
  OS X 10.5.x (Leopard)とOS X 10.6.x (Snow Leopard)
- 悪用方法：
  細工済みのJavaアプレットを載せた有害なウェブサイトにユーザを誘導する
- 影響：
  最悪の場合、攻撃者はユーザの特権を自分のものにしてから、そのコンピュータでコードを実行する
- 対策：
  Java for OS X 10.5 Update 9 またはJava for OS X 10.6 Update 4をできる限り早急にインストールするか、アップルの自動アップデート機能を使うこと
詳細：
3月8日、アップルはOS X 10.5.x とOS X 10.6.xを対象としたJavaのセキュリティ・アップデートについて、
2件のアドバイザリをリリースした[1/2] 。このアドバイザリは、OS XのJavaコンポーネントで発見された16の脆弱性について警告している（数字はCVE-IDより）。しかし、アップルは欠陥の詳細については説明しておらず、中でも悪質な欠陥による潜在的影響についてのみ情報を提供している。攻撃者は、細工済みのJavaアプレットを含む有害なウェブサイトにユーザを誘導するといずれかのJava欠陥を悪用し、ユーザのOS Xコンピュータでコードを実行したり、特権昇格を行うことができる。ただし大方のケースにおいて、攻撃者はその時点でログインしているユーザの特権しか獲得することができず、OS Xユーザにはルートや管理者アクセス権がない。とはいっても、できる限り早急にアップルが提供しているOS X Javaのアップデートをインストールすることが賢明だろう。

対策：
アップルはこうした欠陥を修正するためにJava for OS X 10.5 Update 9 [dmg file] と Java for OS X 10.6 Update 4 [dmg file] をリリースしている。OS X 10.5.xや10.6.xを入れているコンピュータを管理している場合は、このアップデートをできる限り早急にダウンロードしてネットワークに取り入れるか、OSXの自動ソフトウェア・アップデート機能に任せてアップデートをインストールすることを勧める。

ウォッチガードユーザ：
中には、有害なJavaバイトコードを含むウェブページに行くことに依存する脆弱性もあるが、ほとんどのFirebox製品シリーズに搭載されているHTTPプロキシポリシーは、自動的にJavaバイトコードをネットワークから遮断するようになっているので、こうした脆弱性によるリスクをいくらか緩和させている。

ステータス：
アップルは、こうした問題を修正するためのJavaアップデートをリリースしている。

参考資料：
アップルのOS X 10.5 Java アップデート9 のアドバイザリ
アップルのOS X 10.6 Java アップデート4 のアドバイザリ
アップルのソフトウェア・ダウンロード
セキュリティ・アップデート2010-004 (Leopard)
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
セキュリティ脆弱性（11）を修正リリースが遅れたMozillaのFirefox 3.6.14アップデート 2011年3月2日
セキュリティ脆弱性（11）を修正
リリースが遅れたMozillaのFirefox 3.6.14アップデート

2011年3月2日

概要：
- 対象：
  Windows/Linux/ Macintosh対応のFirefox 3.6.xとFirefox 3.5.x
- 悪用方法：
  典型的なのは有害なウェブページにユーザを誘導する方法
- 影響：
  結果は様々だが、最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  Firefox 3.6.14 (または3.5.17)バージョンにアップグレードするか、Firefoxの自動アップデート機能に任せること
詳細：
米国時間の3月1日、Mozillaは同社の人気のマルチプラットフォーム・ウェブ・ブラウザ「Firefox」で発見された11件のセキュリティ脆弱性を修正するアップデートをリリースした（数字はCVEから）。Mozillaは大方の脆弱性を深刻レベルの問題と見なしている。つまり、ユーザがいつも通りにウェブをブラウズしている間に、攻撃者は脆弱性を利用してコードを実行、ソフトウェアをインストールできるようになる。Firefox 3.6.13バージョンの中でも、もっとも深刻な問題である3つの概要は次の通り。
- JPEG関連のコード実行問題（2011-009）
  
  Firefoxは、JPEG画像のデコードに関係するコード実行欠陥の影響を受けている。攻撃者は有害なJPEG画像を載せたウェブページにユーザを誘導し、バッファ・オーバーフローを利用してFirefoxをクラッシュさせたり、ユーザの特権を自分のものにしてから、そのユーザのコンピュータで悪質なコードを実行したりする。また、ユーザがローカル管理者であった場合やルート特権を持っていた場合は、攻撃者が被害者のコンピュータを完全に操作することも可能になる。
  
  Mozillaによる評価：深刻
- JavaScript Engineのバッファ・オーバーフロー問題（2）(2011-04/2011-05)
  
  Mozillaによると、FirefoxのJavaScript Engine はバッファ・オーバーフロー問題（2件）の影響を受けているという。攻撃者は有害なjavascriptを含むウェブページにユーザを誘導し、2つあるバッファ・オーバーフローのいずれかを利用してFirefoxをクラッシュさせたり、ユーザの特権を得た状態で、そのユーザのコンピュータで悪質なコードを実行できるようになる。また、例によってユーザに管理者特権があった場合、攻撃者はそのコンピュータを完全に操作できるようになる。
  
  Mozillaによる評価：深刻
- メモリ破損問題（2） (2011-01)
  
  Mozillaのアップデートが修正した脆弱性の中には、最低でもFirefoxをクラッシュさせることができる「セーフティ」関連のメモリ破損問題もある。Mozillaのアラートでは、Firefoxのブラウザ・エンジンに関与する問題、という以外に詳細は語られていない。しかし、攻撃者が充分な努力を費やせば、メモリ破損欠陥のいくつかを悪用して被害者のコンピュータで任意コードを実行できるようになるだろう、とMozillaは推測している。しかし、それにはまず攻撃者がユーザを有害なウェブページに誘導しなければならない。ユーザがその罠に掛かれば、攻撃者はそのユーザの特権を獲得した状態で有害なコードをユーザのコンピュータで実行できるようになる。また、ユーザがローカル管理者だったり、ルート特権を持っていた場合、攻撃者はその被害者のコンピュータを完全に操作することもできる。
  
  Mozillaによる評価：深刻
Mozillaのアラートは、この他にも深刻な脆弱性について説明している。その多くは、攻撃者がユーザを有害なウェブページに誘導するだけで、コード実行を可能にできるものである。Firefox 3.6.14が修正した脆弱性リストについては、Mozillaの「Known Vulnerabilities 」のページを参照することを勧める。また、こうした脆弱性の中にはFirefox 3.5.x.に影響しているものもあるので、3.5.xシリーズを使用している場合は3.6.14に移行することを勧める。とはいっても、どうしても3.5.xでなければならないというユーザのために、Mozillaはレガシー・バージョン用のアップデート（3.5.17）も用意している。ところで、Mozillaはこのアップデートを2月初旬にリリースする予定でいたが、修正が困難な問題があったためリリースが遅れた。このアップデートは未解決問題の修正も入っているので、できる限り早急にこれをダウンロードし、インストールすることを勧める。

対策：
Mozillaはこうしたセキュリティ脆弱性を修正する Firefox 3.6.14と3.5.17をリリースしているので、ネットワークでFirefoxを使用している場合は、できる限り早急にバージョン3.6.14をダウンロードし取り入れることを勧める。何らかの理由でFirefox 3.5.xでなければならないという場合は、3.5.17にアップグレードすること。 注記：
Firefoxの最新バージョンである3.6.xは、Firefoxのアップデートが入手可能になると自動的にユーザに知らせるようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。ちなみに、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのもウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScriptエクステンションをインストールしておくといいだろう。
全ユーザへ：
この攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにするにはHTTPトラフィックがファイアウォールを通過できるように許可しておかなければならないため、パッチを利用することが最善策となるだろう。
ステータス：
Mozillaはこうした脆弱性を修正するFirefox 3.6.14 をリリースしている。
参考資料：
- Firefox 3.6.14 リリースノート
- Fixed in Firefox 3.6.14で修正された脆弱性
この記事はコーリー・ナクライナーCISSPにより調査され書かれたものです。
続きを読む»
Oracle (Sun)のアップデート深刻な21件のセキュリティホールを修正　2011年2月16日
Oracle (Sun) のアップデート深刻な21件のセキュリティホールを修正

危険度：高

2011年2月16日

概要：
- 対象：
  2月14日までにリリースされたSun Java実行環境（JRE）とJava開発キット（JDK）の全バージョン（Windows/Solaris/Linuxプラットフォーム用）
- 悪用方法：
  細工済みのJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合ユーザのコンピュータを攻撃者が完全に操作できるようになる
- 対策：
  できる限り早急に状況に適したJRE（またはJDK)をインストールすること
詳細：
サン・マイクロシステムズが最初に施行したプログラミング言語のJavaは、ウェブページを向上させるためによく使われているものだ。近頃のオペレーティングシステムは、大方Javaインタープリタを実行することでウェブサイトや他からのJavaコードを認識しプロセスしているのだが、OracleのSun JRE は現在使われているJavaインタープリタの中でも最も人気がある。ところが、Oracleは2月15日にセキュリティアラートをリリースし、WindowsやSolaris、Linux用のSun JREとSun Java SDKの前バージョンに影響する脆弱性21件について警告した。各脆弱性の技術面は大きく異なるものの、攻撃者は細工済みのJavaを含む悪質なウェブページにユーザを誘導することで、その多くを似たような方法で悪用できるという。そして最悪の場合、ユーザがそうしたサイトに行ってしまうと、攻撃者はJava欠陥をいくつか利用し、ユーザのコンピュータで攻撃用コードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者は欠陥を利用し、ユーザのコンピュータを完全に操作できるようになる可能性もある。さらに、脆弱性の中には攻撃者がサービス拒否攻撃を仕掛けられるようにしたり、ユーザのコンピュータにある機密情報を暴露してしまうものもある。ドライブバイ・ダウンロード攻撃において攻撃者達が新しいJavaの脆弱性を利用しているケースが増えているため、このJavaアップデートはかなり深刻なものといえる。Javaは大方のユーザが使っているものだが、それをインストールしている場合はできる限り早急にOracleのアップデートをダウンロードし、インストールすることを勧める。
対策：
Sunはこうした問題を修正するJREやSDKのアップデートをいくつもリリースしているので、Sun JREをネットワークで使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし、導入することをすすめる。

JRE /JDK 6.0
Update24 のダウンロード先
Oracleの日本版サイト前リリースのJavaはサポート終了日または製造中止日をすでに迎えている。詳細はこちらを参照。

注記：　
Sun JREクライアントは、アップデートがあることを自動的に知らせるようになっている場合もあるので、その場合は自動機能に任せること。
ウォッチガードユーザ：
WatchGuardのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、その方法を取ると正当なウェブサイトまでJavaアプレットを使えないようになってしまう点に注意しよう。Javaアプレットを遮断したくない場合は、状況に適したSun JREアップデートをできる限り早急にダウンロードすることを勧める。また、Javaアプレットを遮断しても、そのリスクを緩和できる脆弱性は限られているためSunのアップデートを導入することが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットをネットワークから遮断するには、HTTP ProxyアドバンスFAQの「Deny Java Applets」を参照にすることを勧める。
ステータス：
Sunは問題を修正するアップデートをリリースしている。
参考資料：
Oracleの2011年2月Javaセキュリティアドバイザリ
SecuniaによるJavaアドバイザリ
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され執筆されました。
続きを読む»
Adobeのパッチデーに公開されたReader/Shockwave/Flashのアップデート 2011年2月10日
Adobeのパッチデーに公開されたReader/Shockwave/Flashのアップデート

危険度：高

2011年2月10日
概要：
- 対象：
  最近のバージョンのAdobe Reader/Acrobat/Shockwave/Flash/ColdFusion
- 悪用方法：
  様々な方法があるが、一般的なのは悪質なFlashやReader、Shockwaveなどを含むウェブサイトにユーザを誘導する方法
- 影響：
  最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  Adobeの人気製品を使用している場合は、いくつもあるアップデートをできる限り早急にダウンロードし、インストールすることを勧める
詳細：
Adobeが年に4回リリースするパッチデーは、マイクロソフトの「Black Tuesday」（毎月第2火曜日）と同じ日であるためマイクロソフト・アップデートの波に押されがちだ。しかし、攻撃者達が第三者のプログラムを使い、こうした欠陥を標的にしているケースが上昇しており、Adobeの数あるパッチを重要なものにしている。

2月8日にAdobeは人気のアプリケーションに見られるセキュリティ欠陥をいくつも修正するアップデートを含んだ4件のセキュリティアドバイザリを公開した。影響を受けているソフトウェアはReader/Acrobat/Shockwave/Player/Flash Player/Coldfusionだ。

各セキュリティアドバイザリの概要：
APSB11-01:
21件の脆弱性を修正するShockwave のアップデート Adobe Shockwave Playerは、Shockwaveというインタラクティブな動画ウェブコンテンツやムービーを表示することができる。Adobeによると、Shockwave Playerは4億5000万台ものPCにインストールされているという。しかし、AdobeはWindowsやMacintoshに入れているShockwave Player 11.5.9.615（それ以前のバージョンも含む）が、21件の深刻な脆弱性の影響を受けていると警告。Adobeがリリースしたアドバイザリには欠陥の技術詳細の説明はないが、各欠陥の性質とその基本的な影響については解説している。大方、こうした欠陥は未特定のメモリ破損の脆弱性から成り立っていて、どれも技術的には異なるが、その大体の対象と影響を及ぼす範囲は同じである。悪質なShockwaveコンテンツを含むウェブサイトにユーザを誘導すると、攻撃者は脆弱性を悪用し、ユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者は欠陥を利用して被害者のPCを完全に操作できるようにもなる。

危険度：深刻
APSB11-02 :
13件のセキュリティ欠陥を修正するFlashのアップデート Adobe Flash Playerは、Flashというウェブコンテンツになるインタラクティブな動画を表示することができる。Secuniaによる最近の統計によると、Adobe Flash PlayerをインストールしているWindowsコンピュータは全体の99％もあるそうなので、おそらく君のユーザ達のコンピュータにもFlashは入っていることだろう。 AdobeのアップデートはFlash Playerに見られる13件のセキュリティ脆弱性を修正しているが（Windows/Mac/Linux/Solaris対象）、その技術詳細については触れていない。とはいっても、欠陥が影響を及ぼす範囲については説明している。最悪の場合、攻撃者は悪質なウェブサイトにユーザを誘導し、いずれかの欠陥を利用してユーザのコンピュータを操作できるようになるが、おそらく攻撃者はログインしているユーザの特権しか獲得することはできないだろう。しかし、大方のWindowsユーザはローカル管理者の特権を持っているため、攻撃者がWindowsを完全に操作できるようになる可能性も十分にある。

危険度：深刻
APSB11-03:
29件のセキュリティ欠陥を修正するReaderのアップデート AdobeはWindowsやMac、UNIXで使用している Adobe Reader X やAcrobat X、およびそれ以前のバージョンに影響している29件のセキュリティ脆弱性についてセキュリティアドバイザリで説明している（数字はCVE-IDによる）。欠陥はそれぞれ技術面では異なるが、様々なコード実行の欠陥から成り立つものが大半で、その影響と範囲は同様だ。最悪の場合、攻撃者は細工済みの悪質なPDFドキュメント(.pdf)をユーザがダウンロードして開くように誘導し、こうした脆弱性をいくつも悪用してユーザのコンピュータでユーザの特権を使い、コードを実行できるようになる。また、ユーザにローカル管理者の特権が備わっていた場合、攻撃者はユーザのマシーンを完全に操作することも可能になる。

去年、ライブセキュリティは攻撃者が Adobe Readerのような第三者のアプリケーションを標的にするケースが増えるだろうと予想した。攻撃者によりもっとも悪用されているアプリケーションはAdobe Readerであることがいくつも確認されており、この予想が当たったことを証明している。こうした理由から、Readerのアップデートを至急ダウンロードし、インストールすることを勧める。

危険度：深刻
APSB11-04
5件の脆弱性を修正するColdFusion のHotfix AdobeのColdFusionは、ウェブアプリケーションを開発しデプロイできるようにするアプリケーション・サーバだ。しかしAdobeによると、(Win/Mac/UNIX) で使用しているColdFusion 9.0.1は、5つのセキュリティ脆弱性の影響を受けているという。中でも悪質なのはクロスサイト・スクリプティング（XSS）の脆弱性で、被害者のサイト訪れるユーザのクッキーやセッションをハイジャックすることができる。ColdFusionは一番人気のサーバではないので、この欠陥の影響を受けるウォッチガード・ユーザはそれほど多くはないだろう。

危険度：重要
対策： Adobeは脆弱性の影響を受けているソフトウェアすべてに対してアップデートをリリースしているので、使用しているソフトウェアが次のリストにある場合は、できる限り早急に状況に適したアップデートをダウンロードしデプロイするか、Adobeの自動アップデート機能に任せることを勧める。 APSB11-01:Shockwave 11.5.9.620にアップグレード
APSB11-02:Flash 10.2.152.26にアップグレード

APSB11-03 Adobe Reader Windows
Mac Unixのアップデートは2月28日にリリース予定。 Adobe Acrobat Standard /Pro （Windows）
Pro Extended （Windows）
3D（Windows）
Pro （Mac）

APSB11-04
ColdFusion Hotfixをダウンロードし、インストールすることを勧める。

ウォッチガードユーザ：
WatchGuardのFirebox製品の中には、ウェブ（HTTP)やメール（SMTP、POP3 ）を介して特定の種類のファイルをユーザがダウンロードできないようにするものもある。また、Fireboxのプロキシ・サービスを使って一時的に Adobe関連の様々なファイル（.PDF/.SWF/.DIR/.DCR/.FLV）を遮断し、リスクを軽減させることも可能だ。

とはいっても、インタラクティブなコンテンツをウェブサイトで表示できるようにするため、こうしたファイルに依存しているサイトは多い。つまり、この種のファイルを遮断してしまうと、サイトが適切に機能しなくなるほか、ファイル共有にPDFファイルを使うビジネスも多いため、正当なファイルまでも遮断してしまうことになる。このため、上記のアップデートを取り入れることが対策としては賢明だろう。それでも問題のAdobeファイルをネットワークから遮断したいという場合は、次のリンクを参照してFireboxプロキシのコンテンツ・ブロッキング機能を使い、ファイル拡張子別にファイルを阻止できる。 10.xを使用しているFirebox X Edge FTP プロキシでファイルを遮断するには？
HTTP プロキシでファイルを遮断するには？
POP3 プロキシでファイルを遮断するには？
SMTP プロキシでファイルを遮断するには？
Fireware 10.xを使用しているFirebox X Core やX Peak FTP プロキシでファイルを遮断するには？
HTTP プロキシでファイルを遮断するには？
POP3 プロキシでファイルを遮断するには？
SMTP プロキシでファイルを遮断するには？

ステータス：
Adobe は脆弱性を修正するアップデートをリリースしている。

参考資料：
Adobe Shockwave Playerのセキュリティアドバイザリ
Adobe Flash Player のセキュリティアドバイザリ
Adobe Readerのセキュリティアドバイザリ
Adobe ColdFusionのセキュリティアドバイザリ
Adobeの日本版サイト
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
ご感想はこちらまでお寄せ下さい：your.opinion.matters@watchguard.com LiveSecurity アーカイブまたは弊社日本版サイトをご覧ください。
続きを読む»
2件のVisioコード実行問題　2011年2月8日
2件のVisioコード実行問題

2011年2月8日

危険度：中

概要：
- 対象：
  Visio 2002/2003/2007
- 悪用方法：
  悪性のVisio ドキュメントをユーザが開くように仕掛ける
- 影響：
  攻撃者が攻撃用コードを実行した場合、ユーザのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  状況に適したVisioのパッチをできる限り早急に取り入れるか、Windowsの自動アップデート機能に任せること
詳細：
マイクロソフトのVisioは、ネットワーク図などダイアグラムの作図において、多くの管理者が好んで使用しているアプリケーションだ。しかし、米国時間の2月8日に公開したセキュリティアドバイザリで、マイクロソフトはVisioの現バージョンに影響しているセキュリティ脆弱性2件について説明した。技術面は異なるが、どちらの脆弱性においても影響範囲は同じである。

攻撃者はユーザに細工済みのVisioドキュメントをダウンロードさせてそれを開くように仕向けると、どちらかの脆弱性を悪用してユーザの特権と許可権を引き継ぎ、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権が備わっていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
対策： マイクロソフトは問題を修正するアップデートをリリースしているので、状況に適したVisioのパッチをできる限り早急にダウンロードし、テストしてから取り入れるか、Windowsの自動アップデート機能に任せることを勧める。 Visio 2002 Visio 2003 Visio 2007

ウォッチガードユーザ：
自分の仕事環境に合うならば、HTTPやSMTPおよび（もしくは）POP3プロキシを使って、拡張子が「 .VSD」のファイルをネットワークから遮断することもできる。しかし、この方法を使った場合その種のファイルであればそれが正当であろうと、悪質なものであろうと、どちらも受信できなくなる点に注意しよう。

プロキシ機能を使ってVisioファイルを阻止する方法を取る場合は、次の手順を参照にすることを勧める： 10.xを使用しているFirebox X Edge
Fireware 10.xを使用しているFirebox X Core やX Peak
ステータス：
マイクロソフトは問題を修正するアップデートをリリースしている。

参考資料：
- マイクソフト・セキュリティアドバイザリ：MS11-008
- マイクロソフト・セキュリティアドバイザリ：日本語一覧
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
ご感想はこちらまでお寄せ下さい：your.opinion.matters@watchguard.com その他のアラートなど：LiveSecurity アーカイブまたは弊社日本版サイトをご覧ください。
続きを読む»
IIS FTPサービスのバッファ・オーバーフロー問題　　2011年2月8日
IIS FTPサービスのバッファ・オーバーフロー問題

2011年2月8日

危険度：高

概要：
- 対象：
  Windows Vista /2008 /7 /2008 R2 で使用しているIIS FTPサービス
- 悪用方法：
  細工したFTPリクエストを送信
- 影響：
  最悪の場合、攻撃者が被害者のIISサーバを完全に操作できるようになる
- 対策：
  状況に適したIISのアップデートを至急インストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
IIS（インターネット・インフォメーション・サービス）は、すべてのバージョンのWindowsに搭載されている人気のウェブ兼FTPサーバだ。マイクロソフトがパッチの日にリリースしたセキュリティアドバイザリには、IISの最新版に搭載されているオプションのFTPサーバに影響している深刻な脆弱性について説明がされている。具体的に説明すると、こういうことだ。まず、IIS FTPサービスは、細工されたFTPコマンド（もっと詳しく言えば、FTPレスポンスの特別にエンコードされた文字列）の処理法に関与するバッファ・オーバーフローの脆弱性の影響を受けている。そして、不正形式のFTPコマンドを送信することにより、攻撃者はこの脆弱性を悪用してユーザのFTPサーバをサービス拒否（DoS) の状態に追い込んだり、それを完全に操作できるようになったりする。攻撃者がこの攻撃を始めるにあたり、FTPサーバに認証する必要はない。しかし、IISはデフォルトでIIS FTPサービスをインストールしたり、それをスタートさせたりすることはないため、このサービスを意図的にインストールしたりスタートさせたのではない限り、この攻撃において脆弱にはならない。とはいっても、ウェブ管理者が簡単にウェブサイトをアップデートできるようにするため、IISのFTPサービスを有効にしている管理者は多い。もしそのケースにあてはまるならば、この欠陥のリスクは深刻なものと捉えることが賢明だ。すでに研究者達は、この欠陥のDoSバージョンを立証するPoC（コンセプトの証明）悪用コードを一般公開しているので、IIS FTPサービス使用の有無にかかわらず、できる限り早急にアップデートをダウンロードし、テストしてからインストールすることを勧める。このアップデートは重要なサーバー・アップデートであるため、実際のウェブサイトにプッシュする以前に、テスト用のサーバで先に試しておくことを強く勧める。 対策： 状況に適したIISパッチを至急ダウンロードし、テストしてからインストールするか、Windowsの自動アップデートに任せることを勧める。

注意：
日本語版をダウンロードする場合は「Choose Language」ドロップダウン・メニューから「Japanese」を選択すること。
- Windows Vista (w/SP1 またはSP2)
- Windows Vista x64 (w/SP1 またはSP2)
- Windows Server 2008 (w/SP2)
- Windows Server 2008 x64 (w/SP2)
- Windows 7
- Windows 7 x64
- Windows Server R2 2008 x64
- Windows Server R2 2008 Itanium
ウォッチガードユーザ：
この攻撃は一見何の問題もないFTPレスポンストラフィックを利用するので、対策としては先述のアップデートの使用を勧める。

ステータス：
マイクロソフトは問題を修正するアップデートをリリースしている。

参考資料：
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
ご感想はこちらまでお寄せ下さい：your.opinion.matters@watchguard.com その他のアラートなど：LiveSecurity アーカイブまたは弊社日本版サイトをご覧ください。
続きを読む»
IEの累積アップデート、コード実行の欠陥4つを修正　2011年2月8
IEの累積アップデート、コード実行の欠陥4つを修正

2011年2月8

危険度：高

概要：
対象：　
現バージョンのWindowsで使用している、最新版のInternet Explorer
悪用方法：
悪質なウェブページにユーザを誘導する方法が一般的
影響：
最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、そのコンピュータを完全に操作できるようになる
対策：
状況に適したインターネットエクスプローラのパッチを至急インストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
米国時間の2月8日、パッチの日にマイクロソフトは新たな4つの脆弱性について説明したセキュリティアドバイザリをリリースした。この問題は、現バージョンのWindows（Windows 7やWindows Server 2008 も対象）で使用しているInternet Explorer(IE) 8.0、およびそれ以前のバージョンに影響している。研究者達はその内の2件はマイクロソフトに内密に報告したが、他2件については一般公開した。マイクロソフトは、この欠陥による危険性を深刻な問題と評価している。 4つの欠陥は技術的には異なるが、その対象と影響を及ぼす範囲は同じである。その大半はIEがCSS（カスケーディング・スタイルシート）など、様々なHTMLやオブジェクトを処理する方法に関係するメモリ破損問題に影響している。悪質なウェブコードを含んだウェブページにユーザを誘導することに成功すると、攻撃者はいずれかの脆弱性を悪用し、ユーザのコンピュータでその特権を得た状態でコードを実行できるようになる。Windowsユーザにはローカル管理者の特権が備わっていることが多いが、その場合、攻撃者は被害者であるユーザのコンピュータを完全に操作できるようになる。また、攻撃者がこの種のコード実行問題を利用し、ドライブバイ・ダウンロード攻撃を仕掛けるケースも頻繁にある。さらに、最近の攻撃者は正当なウェブページをハイジャックし、悪質なコードで罠を仕掛けたりすることもよくある点に注意しよう。その場合、攻撃者はホストしているウェブ広告、SQLインジェクション、XSS 攻撃などを使うのが典型的な例だ。つまり、すぐ分るようなサイトや本物のサイトであっても、そのようにハイジャックされてしまえばユーザにとってはリスクと成りえるわけだ。欠陥の技術面の相違点について知りたければ、マイクロソフトのセキュリティアドバイザリにある「Vulnerability Information」を参照することを勧める。しかし技術面を別にしても、このメモリ破損の欠陥はIEにおいて深刻なリスクとなっているので、至急IEの累積パッチをダウンロードしインストールすることを勧める。
対策：
このパッチは深刻な問題を修正しているので、状況に適したIEパッチをできる限り早急にダウンロードし、テストしてからインストールするか、Windowsの自動アップデート機能を使うことを勧める。注意：
日本語版をダウンロードする場合は「Choose Language」ドロップダウン・メニューから「Japanese」を選択すること。

Internet Explorer 6.0 Windows XP (w/SP3) Windows XP x64 (w/SP2) Windows Server 2003 (w/SP2) Windows Server 2003 x64 (w/SP2) Windows Server 2003 Itanium (w/SP2)
Internet Explorer 7.0 Windows XP (w/SP3) Windows XP x64 (w/SP2) Windows Server 2003 (w/SP2) Windows Server 2003 x64 (w/SP2) Windows Server 2003 Itanium (w/SP2) Windows Vista (w/SP1 or SP2) Windows Vista x64 (w/SP1 or SP2) Windows Server 2008 (w/SP2) Windows Server 2008 x64 (w/SP2) Windows Server 2008 Itanium (w/SP2)
Internet Explorer 8.0 Windows XP (w/SP3) Windows XP x64 (w/SP2) Windows Server 2003 (w/SP2) Windows Server 2003 x64 (w/SP2) Windows Vista (w/SP1 or SP2) Windows Vista x64 (w/SP1 or SP2) Windows Server 2008 (w/SP2) Windows Server 2008 x64 (w/SP2) Windows 7 Windows 7 x64 Windows Server R2 2008 x64

Windows Server R2 2008 Itanium

注意*　
この欠陥はServer Coreインストール・オプションを使ってインストールしたWindows Server 2008管理者達への影響はない。

ウォッチガードユーザ：
この種の攻撃は、ネットワークのユーザがワールドワイドウェブにアクセスできるようにしておくには許可しておく必要がある通常のHTTPトラフィックの状態で移動する。このため、先述したパッチを取り入れることが主な対策となる。
ステータス：
マイクロソフトは脆弱性問題を修正するアップデートをリリースしている。
参考資料：
- マイクソフト・セキュリティアドバイザリ：MS11-003
- マイクロソフト・セキュリティアドバイザリ：日本語一覧
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
ご感想はこちらまでお寄せ下さい：your.opinion.matters@watchguard.com その他のアラートなど：LiveSecurity アーカイブまたは弊社日本版サイトをご覧ください。
続きを読む»
15のセキュリティ脆弱性を修正するWindowsセキュリティアドバイザリ　2011年2月8日
15のセキュリティ脆弱性を修正するWindowsセキュリティアドバイザリ（9）
Windowsハッキングに使われる悪性のサムネイルやフォント

危険度：高

2011年2月8日

概要：
- 対象：
  現バージョンのWindows及びそれに搭載されているコンポーネント
- 悪用方法：
  細工済みのファイルをユーザが開くように仕向けたり、悪性のウェブサイトやファイル共有にユーザを誘導するなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者が被害者のWindowsコンピュータを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトの自動アップデート機能を使って必要なパッチをインストールすること
詳細：
米国時間の2月8日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響する脆弱性15件についてセキュリティアドバイザリを9件公開した。各脆弱性による影響はWindowsのバージョンにより異なり、その度合いも違うが、リモート攻撃者は中でも悪質な欠陥を利用してユーザのWindows PCを完全に操作できるようになる。

脆弱性の危険度が高いものから順に説明した概要は次の通り：
- MS11-006
  Windowsシェルのグラフィック処理脆弱性によるバッファ・オーバーフロー
Windowsシェルのグラフィック処理は、Windowsのユーザインターフェイス（UI)を表示・編成するためのWindowsコンポーネントの1つだが、これは細工されたサムネイル画像を処理する方法に関与するバッファ・オーバーフロー脆弱性の影響を受けている。攻撃者は細工済みのサムネイルを含んだファイル共有、UNCパス、またはWebDAV のロケーションにユーザを誘導すると、欠陥を利用してユーザのコンピュータを完全に操作できるようになる（注：Windows7と 2008 R2への影響はない）。

マイクロソフトの評価：深刻
- MS11-007
  OpenTypeフォントCFFドライバー・コード実行の脆弱性
  
  WindowsにはOpenTypeCompact Font Format (CFF)など、数多くのフォントが搭載されているが、残念ながら、WindowsがOpenType CFFフォントを表示できるようにするドライバーは特定のパラメータ値を適切に検証しないことが分った。標的のWindowsのバージョンが新しいか旧いかにより、攻撃者が欠陥を悪用する方法は2つある。例えば、旧いバージョンのWindows（XP/2003）に対して攻撃を仕掛ける場合は、攻撃者のオリジナル・ユーザの特権にかかわらず、そのシステムを完全に操作できるようにするには、ユーザのコンピュータで細工したプログラムを実行しなければならない。また、攻撃者が悪質なプログラムを実行するには、ユーザのコンピュータへのローカルアクセス権が必要となる。しかし、新しいバージョンのWindows（Vista/2008/7）においては、自動的にディレクトリでフォントをプレビューできる自動プレビュー機能があるため、攻撃者は悪性のOpenTypeフォントを含むファイル共有をユーザが開くように誘導し、この欠陥を悪用してWindowsコンピュータを完全に操作できるようになる。
  
  マイクロソフトの評価：深刻
- MS11-005
  Windows 2003 のAD　DoS脆弱性
AD（アクティブディレクトリ）は、Windowsコンピュータの集中認証および認証サービスで、サーバ版のWindowsに搭載されている。しかし、この機能はSPN（サービスプリンシパル名）をアップデートするために特別に作成されたリクエストに関与するサービス拒否（DoS) 脆弱性の影響を受けている。攻撃者は、悪質なリクエストを送信することで欠陥を利用し、ユーザのドメイン・コントローラをNTLM認証にダウングレードさせるか、場合によっては完全に応答しなくなるようにすることができる。とはいっても、攻撃者がこの脆弱性を利用するには、有効なユーザ・クレデンシャルと、ユーザのネットワークへのアクセス権が必要となるため、この脆弱性は主に内部脅威であると言える。その上、この欠陥が影響しているのは2003サーバ版のWindowsのみである。

マイクロソフトの評価：重要
- MS11-010
  CSRSS ローカル特権の昇格の脆弱性
CSRSS（クライアント/サーバ・ランタイム・サブシステム）は、コンソール・ウィンドウズとスレッドの作成・削除の役割を担っており、Windowsにとって不可欠なコンポーネントだが、ユーザがシステムからログオフしても適切にユーザ・プロセスを終了していないことが分った。認証済みの攻撃者は細工したプログラムを実行して欠陥を利用し、攻撃者がシステムからログオフしても続行する悪質な監視プログラムを実行する。このプログラムは特権を持つユーザのクレデンシャルを獲得することができるため、攻撃者はそれで自分の特権を昇格させることができるようになる。しかし、攻撃者がこの欠陥を悪用するには、まず有効なクレデンシャルでWindowsコンピュータへのローカルアクセス権（またはゲスト。・アクセス権でも可）が必要となる。この欠陥の影響を受けているのはWindows XPとServer 2003 のみである。

マイクロソフトの評価：重要
- MS11-011 & MS11-012
  カーネル関連の特権昇格の問題（複数）
カーネルはコンピュータOSの中心的コンポーネントである。Windowsには、多くのカーネルレベル・デバイスを処理するカーネルモード・デバイス・ドライバー(win32k.sys)が搭載されている。Windowsカーネルと、このカーネルモード・ドライバは、複数の特権の昇格による脆弱性の影響を受けている。これら欠陥は技術的には異なるが、その大方の対象と影響は同じである。攻撃者は細工したプログラムを実行して欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者はまず被害者となる人物のWindowsコンピュータにおいて、有効なクレデンシャルでローカルアクセス権を獲得しなければならないため、この欠陥のリスクは大幅に減少する。

マイクロソフトの評価：重要
- MS11-013
  ケルベロスの特権昇格の問題（複数）
ケルベロスはWindowsサーバ版が使用する認証プロトコルだが、この機能はCRC32のようなハッキングメカニズムをサポートすることに起因する特権昇格の影響を受けている。攻撃者は細工したプログラムをインストールすることで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者はまず被害者となる人物のWindowsコンピュータで有効なクレデンシャルを持った上でローカルアクセス権を獲得しなければならない。そうした点から、この欠陥によるリスクは大幅に減少する。また、Windowsケルベロス・コンポーネントは、攻撃者が別のユーザになりすまして介入者攻撃を利用できるようにするスプーフィング欠陥の影響も受けている。

マイクロソフトの評価：重要
- MS11-014
  LSASS の特権昇格の問題
LSASS（ローカル・セキュリティ・オーソリティ・サブシステム・サービス）は、Windowsのセキュリティ・ポリシーや認証タスクを処理するWindowsのコンポーネントだ。しかし、LSASSは特別に作成された認証リクエストを処理できないことに起因する特権昇格問題の影響を受けている。認証済みの攻撃者は、悪質なアプリケーションを実行することで欠陥を悪用し、自分の特権を昇格させてユーザのコンピュータを完全に操作できるようになる。もちろん、攻撃者がこの脆弱性を悪用するには有効なクレデンシャルと、ユーザのアクティブディレクトリ・サーバへのアクセス権が必要となるため、この脆弱性は主に内部脅威であると言える。この欠陥の影響を受けているのはWindows XPとServer 2003 のみである。

マイクロソフトの評価：重要
- MS11-009
  スクリプトエンジンの情報開示の脆弱性
VBScriptと JScript は、どちらもマイクロソフトが作成したスクリプト言語で、Windowsやそのアプリケーションが使用しているものだ。しかし、この種のスクリプトを処理するスクリプトエンジンは、特別に作成されたスクリプトを解読する方法に関係するメモリ破損の脆弱性の影響を受けている。このメモリ破損の欠陥は、不規則に情報を流してしまう原因になっている。攻撃者は悪質なウェブページにユーザを誘導すると、この欠陥を利用してプライベートなデータを読み取れるようになる。しかし、その不規則な性質は、この欠陥によるリスクを幾分緩和させている。この欠陥の影響を受けているのはWindows 7 と Server 2008 R2 のみである。

マイクロソフトの評価：重要
対策： マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、マイクロソフトの自動アップデート機能を使って自動的にその作業を行う方法もある。

注：日本語版をダウンロードする場合は「Change Language」のドロップダウンメニューから「Japanese」を選択。 MS11-006:
注意*Server Core インストールへの影響はない MS11-007:
注意*Server Core インストールへの影響はない MS11-005:
MS11-010:
MS11-011:
MS11-012:
MS11-013:
MS11-014:
MS11-009:
- Windows 7
- Windows 7 x64
- Windows Server 2008 R2 x64
- Windows Server 2008 R2 Itanium
ウォッチガードユーザ：
攻撃者は様々な悪用方法を使って、こうした欠陥を悪用することができるが、正しく設定されているファイアウォールでは、こうしたいくつかの問題のリスクを緩和させることができる。とはいっても、Fireboxはローカル攻撃からネットワークを保護したり、普通のHTTPトラフィックを利用した攻撃を阻止することはできないため、マイクロソフトが提供しているアップデートをインストールすることがもっとも安全な対策方法だ。
ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。
参考資料：
- マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
ご感想はこちらまでお寄せ下さい：your.opinion.matters@watchguard.com
その他のアラートなど：LiveSecurity アーカイブまたは弊社日本版サイトをご覧ください。
続きを読む»
マイクロソフトがMDACとBackup Managerの脆弱性を修正 2011年1月11日
マイクロソフトがMDACとBackup Managerの脆弱性を修正

2011年1月11日

概要：
- 対象：
  現バージョンのWindowsと、それに搭載されているコンポーネント
- 悪用方法：
  悪質なウェブサイトにユーザを誘導したり、細工済みのファイルをユーザが開くように仕掛けるなど、様々な攻撃方法がある
- 影響：
  結果は様々だが、最悪の場合は攻撃者が被害者のWindowsコンピュータを完全操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
米国時間の11日、マイクロソフトはWindowsと、それに搭載されているコンポーネントに影響を及ぼしている3つの脆弱性について説明したセキュリティアドバイザリ2件を公開した。各脆弱性による影響はWindowsのバージョンにより異なり、その度合いも違うが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのWindows PCを完全に操作することが可能だ。

脆弱性の危険度が高いものから説明：
- MS11-002
  MDACコード実行の脆弱性
- MS11-001
  Backup Managerの不安全なライブラリ・ローディングの脆弱性
「グレイハット」の研究家達は一般公開されているフォーラムで、少なくとも1つの悪用方法をすでに公開しているので、できる限り早急に両アップデートをダウンロードし、インストールすることをすすめる。

対策：
マイクロソフトはこうした脆弱性を修正するWindowsのパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、マイクロソフトの自動アップデート機能を使い自動的にその作業を行うオプションもある。

注意：
日本語版をダウンロードするには「Choose Language」ドロップダウン・メニューから「Japanese」を選択すること。 MS11-002:
- Windows XP (w/SP3)
- Windows XP x64 (w/SP2)
- Windows Server 2003 (w/SP2)
- Windows Server 2003 x64 (w/SP2)
- Windows Server 2003 Itanium (w/SP2)
- Windows Vista (w/SP1 or SP2)
- Windows Vista x64 (w/SP1 or SP2)
- Windows Server 2008 (w/SP2)
- Windows Server 2008 x64 (w/SP2)
- Windows Server 2008 Itanium (w/SP2)
- Windows 7
- Windows 7 x64
- Windows Server 2008 R2
- Windows Server 2008 R2 x64
MS11-001:
- Windows Vista (w/SP1 or SP2)
- Windows Vista x64 (w/SP1 or SP2)
注意*このアップデートは他のバージョンのWindowsには影響しない

ウォッチガードユーザ：
こうした攻撃は、ネットワークのユーザがワールドワイドウェブにアクセスできるようにしておくには許可しなければならない通常のHTTPトラフィックの状態で移動するため、パッチを取り入れることが主な対策となる。

ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ一覧
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»
Windowsセキュリティアドバイザリ（12）緊急レベルは1件のみ 2010年12月14日
Windowsセキュリティアドバイザリ（12）　緊急レベルは1件のみ

2010年12月14日

対象：
Task Scheduler/Movie Maker/Kernel　その他

概要：
- 影響を受けている製品：
  現バージョンのWindowsと搭載されているコンポーネント
- 脆弱性の悪用方法：
  細工したファイルをユーザが開くように促したり、有害なウェブサイトやファイル共有に誘導するなど、攻撃方法はいくつもある
- 影響：
  結果は様々だが最悪の場合は攻撃者がユーザのWindowsを完全に操作できるようになる
- 対策：
  状況に適したマイクロソフトのパッチを至急取り入れるか、Windowsの自動アップデート機能に任せること
詳細：
米国時間の14日、マイクロソフトは12件のセキュリティアドバイザリをリリースし、Windowsとそれに搭載されているコンポーネントに影響を及ぼしている19件の脆弱性について説明した。各脆弱性による影響はWindowsバージョンにより異なり、その度合いも違う。しかし、リモート攻撃者は中でも悪質な欠陥を利用してユーザのWindows PCを完全に操作できるようになる。

以下は脆弱性の概要：　（危険性「高」→「低」）
（セキュリティアドバイザリのリスト）
- MS10-091:
  OpenType フォント (OTF) ドライバーの脆弱性により、リモートでコードが実行される
  
  OpenType フォント(OTF) ドライバーは、OpenTypeフォントを含むドキュメントやメール、ウェブページなどを処理するためWindowsに搭載されているコンポーネントだが、細工されたOpenType フォントの処理法に関係するコード実行の脆弱性3つの影響を受けている。攻撃者は、ウェブ・ページや有害なOpenTypeフォントを含むコンテンツをユーザに閲覧させたり開かせたりすることで欠陥を利用し、ユーザのコンピュータを完全に操作できるようになる。また、攻撃者はOpenTypeフォントを含むファイル共有に被害者を誘導するだけで、Windows 7やServer 2008に対してこの脆弱性を利用することもできる。Windows 7やServer 2008など、新しいバージョンのWindowsにあるプレビュー機能は、こうした欠陥を自動的に誘発する。
  
  マイクロソフトの評価：　緊急
- MS10-092:
  タスクスケジューラの脆弱性により、特権が昇格される
  
  タスク・スケジューラはWindowsでタスクを自動化できるようにするサービスだが、特権昇格の脆弱性の影響を受けている。つまり、Windowsのローカル・ユーザであれば誰でもフルシステム特権でタスクをスケジュールすることが可能になるので、ローカルの攻撃者は、細工したプログラムを実行することでこの欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。ただし、攻撃者はユーザのWindowsへの有効なクレデンシャルが必要なため、リスクは高くない。
  
  マイクロソフトの評価：　重要
- MS10-093:
  Windows ムービーメーカーの脆弱性により、リモートでコードが実行される
  
  ムービーメーカーは、ムービーやビデオの製作・編集を可能にするアプリケーションでWindowsに搭載されている。ムービーメーカーは、安全ではないダイナミック・リンク・ライブラリ（DLL）のローディング脆弱性の影響を受けている（バイナリ・プランティングもしくはバイナリの植え付けとも呼ばれている）。ウォッチガードがこの欠陥について最初に説明したのは、9月のWireでマイクロソフトのセキュリティアドバイザリについて解説した時のことだった。細工したDLLと同じ場所で悪質なムービーメーカー(.mswmm) ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者は完全なシステム特権を持った状態にあるため、そのユーザのコンピュータを完全に操作できるようになる。ただし、この欠陥はVistaに搭載されているムービーメーカーにだけ影響している。
  
  マイクロソフトの評価：重要
- MS10-094:
  Windows Media エンコーダーの重要な更新
  
  Media エンコーダーはビデオやオーディオの内容をWindows Media 形式に変換したり保存したりするWindowsのコンポーネントだ。ムービーメーカーと同様に、安全ではないダイナミック・リンク・ライブラリ（DLL）のローディング脆弱性の影響を受けている。それについては9月のWireで最初に説明した。細工したDLLと同じ場所で悪質なメディア・プロフィール (.prx) ファイルをユーザが開くように誘導すると、攻撃者は欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者は完全なシステム特権を持っているため、そのコンピュータを完全に操作できるようになる。ただし、この欠陥はWindows 7とServer 2008 R2には影響しない。
  
  マイクロソフトの評価：　重要
- MS10-095:
  BranchCache コード実行の脆弱性
  
  BranchCache はWAN最適化機能でWindows 7とServer 2008 R2にのみ搭載されているが、先に説明した問題と同様に、安全ではないダイナミック・リンク・ライブラリ（DLL）のローディング脆弱性の影響を受けている。細工したDLLと同じ場所で悪質な.emlファイルや.rssファイル、.wpostファイルをユーザが開くように誘導すると、攻撃者は欠陥を悪用しユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者は完全なシステム特権を持っているため、そのユーザのコンピュータを完全に操作できるようになる。ただし、この欠陥の対象となっているのはWindows 7とServer 2008 R2のみである。
  
  マイクロソフトの評価：　重要
- MS10-096:
  Windows アドレス帳の脆弱性により、リモートでコードが実行される
  
  Windows Address Book (WAB)は名称そのもの、つまり連絡先を保管するアプリケーションで、Windowsに搭載されている。先に解説したコンポーネントと同様に、このWABも安全ではないダイナミック・リンク・ライブラリ（DLL）のローディング脆弱性の影響を受けている。細工したDLLと同じ場所で悪質な.wabファイルをユーザが開くように誘導すると、攻撃者は欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者は完全なシステム特権を持っているため、そのユーザのコンピュータを完全に操作できるようになる。
  
  マイクロソフトの評価：　重要
- MS10-097:
  インターネット接続のサインアップウィザードの安全でないライブラリのロードにより、リモートでコードが実行される
  
  インターネット接続のサインアップウィザードは、インターネット接続を設定したりトラブルシュートする際に使うWindowsのコンポーネントだ。先に説明した欠陥と同様に、このウィザードは安全ではないダイナミック・リンク・ライブラリ（DLL）のローディング脆弱性の影響を受けている（今月のWindowsで発見された内で、この「安全ではないDLLローディング欠陥」は、これが最後）。細工したDLLと同じ場所で悪質な.ins ファイルや.ispファイルをユーザが開くように誘導すると、攻撃者は欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。この場合、攻撃者は完全なシステム特権を持っているため、そのユーザのコンピュータを完全に操作できるようになる。ただし、この欠陥が影響を及ぼしているのはWindows XPとServer 2003のみである。
  
  マイクロソフトの評価：　重要
- MS10-098
  Windows カーネルモードドライバーの脆弱性により、特権が昇格される
  
  カーネルはあらゆるコンピュータ・オペレーティングシステムの中枢となるコンポーネントで、Windowsにもカーネルモード・デバイス・ドライバー(win32k.sys)が搭載されており、様々なカーネルレベル・デバイスに対応している。カーネルモード・ドライバーは、6つの特権昇格の脆弱性の影響を受けている。脆弱性はいずれも技術面では異なるが、その影響範囲は同じである。ローカル攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになるが、攻撃者はまずユーザのWindowsで有効なクレデンシャルを持っていなければならないため、この脆弱性のリスクを大幅に軽減させている。
  
  マイクロソフトの評価：　重要
- MS10-099:
  カーネルNDProxy バッファ・オーバーフローの脆弱性
  
  Windowsにはルーティング・アンド・リモートアクセス（RAAS）サービスが搭載されているが、これはWindowsコンピュータがネットワーク・ルータのように機能することを可能にしているものである。NDProxyはRAASコンポーネントの1つで、そういった機能提供に役立つのだが、残念ながらNDProxyコンポーネントはバッファ・オーバーフロー被害の影響を受けている。ローカル攻撃者は、細工したプログラムを実行することで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者はまずユーザのWindowsで有効なクレデンシャルを持っていなければならない点が、脆弱性のリスクを大幅に軽減させている。ちなみに、この欠陥の影響を受けているのはWindows XPとServer 2003のみである。
  
  マイクロソフトの評価：　重要
- MS10-100:
  承認ユーザーインターフェイスの脆弱性により、特権が昇格される
  
  Consent UI は、Windowsのユーザ・アクセス・コントロール（UAC）サービスの一部で、特に管理タスクを行う際に承認を促すコンポーネントである。しかし、このConsent UIは特権昇格の脆弱性の影響を受けている。ローカル攻撃者は細工したプログラムを実行して欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになるが、その場合において攻撃者はユーザのWindowsへの有効なクレデンシャルが必要となるため、そのリスクは大幅に軽減している。ちなみに、影響を受けているのは最近のバージョンのWindowsのみである（つまりVistaまたはそれ以降のバージョン）。
  
  マイクロソフトの評価：　重要
- MS10-101:
  Windows Netlogon サービスの脆弱性により、サービス拒否が起こる
- MS10-102:
  Hyper-V DoSの脆弱性
  
  Hyper-Vはハイパーバイザ（hypervisor)技術で、仮想化プラットフォームをWindows Server 2008やServer 2008 R2で提供するために使われているものだが、仮想ネットワークで送信した細工済みのパケット処理に関与するサービス拒否（DoS）脆弱性の影響を受けている。ローカル攻撃者は細工したプログラムを実行して欠陥を利用し、ユーザの仮想サーバが応答しないようにすることができる。それを元に戻すにはマシンを再起動させなければならない。とはいっても、攻撃者にはユーザのコンピュータへのローカル・アクセス権が必要なため、この欠陥によるリスクは低いといえる。
  
  マイクロソフトの評価：　重要
解決策： マイクロソフトは、こうした脆弱性をすべて修正したWindowsパッチをリリースしているので、状況に適したものを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、Windowsの自動アップデート機能に任せて必要なパッチをダウンロードしインストールする方法もある。

日本語版をダウンロードするには「Change Language」ドロップダウン・メニューで「Japanese」を選択：
MS10-091:
MS10-092:
MS10-093:
- Movie Maker 2.6 for Windows Vista (w/SP1 or SP2)
- Movie Maker 2.6 for Windows Vista x64 (w/SP1 or SP2)
MS10-094:
- Windows XP (w/SP3)
- Windows XP x64 (w/SP2)
- Windows Server 2003 (w/SP2)
- Windows Server 2003 x64 (w/SP2)
- Windows Vista (w/SP1 or SP2)
- Windows Vista x64 (w/SP1 or SP2)
- Windows Server 2008 (w/SP2)
- Windows Server 2008 x64 (w/SP2)
MS10-095:
MS10-096:
*注意：　Server Core インストールへの影響はない MS10-097:
MS10-098:
MS10-099:
MS10-100:
*注意：　旧バージョンのWindowsやServer Coreインストールへの影響はない MS10-101:
MS10-102:
- Windows Server 2008 x64 (w/SP2)
- Windows Server 2008 R2 x64
WatchGuardユーザ：
攻撃者は、あらゆる悪用方法を使ってこうした欠陥を悪用する。適切に設定されたファイアウォールであれば、こうした問題によるリスクをいくらか緩和することもできるが、Fireboxでローカル攻撃を阻止したり、通常のHTTPトラフィックを利用した攻撃を阻止することもできないので、マイクロソフトのアップデートをインストールすることがもっとも安全な対策といえるだろう。

ステータス：
マイクロソフトは問題を修正したパッチをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ：MS10-091
- マイクロソフトのセキュリティアドバイザリ：MS10-092
- マイクロソフトのセキュリティアドバイザリ：MS10-093
- マイクロソフトのセキュリティアドバイザリ：MS10-094
- マイクロソフトのセキュリティアドバイザリ：MS10-095
- マイクロソフトのセキュリティアドバイザリ：MS10-096
- マイクロソフトのセキュリティアドバイザリ：MS10-097
- マイクロソフトのセキュリティアドバイザリ：MS10-098
- マイクロソフトのセキュリティアドバイザリ：MS10-099
- マイクロソフトのセキュリティアドバイザリ：MS10-100
- マイクロソフトのセキュリティアドバイザリ：MS10-101
- マイクロソフトのセキュリティアドバイザリ：MS10-102
- マイクロソフトのセキュリティアドバイザリ一覧（日本語）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
新しい5つの「ドライブバイ・ダウンロード」脆弱性の影響を受けているIE 2010年12月14日
新しい5つの「ドライブバイ・ダウンロード」脆弱性の影響を受けているIE

2010年12月14日

概要：
- 影響を受けている製品：
  現バージョンのWindowsで使用しているInternet Explorer（IE)のバージョンすべて
- 脆弱性の悪用方法：
  一般的なのは有害なウェブページにユーザを誘導する方法
- 影響：
  結果は様々だが、最悪の場合は攻撃者が被害者であるユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したIEパッチを至急取り入れるか、Windowsの自動アップデート機能に任せること
詳細：
米国時間の14日、マイクロソフトはパッチデーにリリースしたセキュリティアドバイザリで、現バージョンのWindowsで（Windows 7とWindows Server 2008も対象）実行しているInternet Explorer (IE) 8.0とそれ以前のバージョンで発見された新な7件の脆弱性について説明した。そのうち4件はマイクロソフトが発見したものだが、その他は一般公開されていた情報だ。マイクロソフトは、この問題を全体的に見て「緊急」と評価している。これら7件の脆弱性は、いずれも技術面では異なるが、そのうち5件の影響範囲は同じである。欠陥はどれもメモリ破損問題に関係するHTMLエレメントやオブジェクトをIEが処理する方法に起因している。有害なウェブコードを含んだウェブ・ページにユーザを誘導すると、攻撃者は５つの脆弱性のうち、いずれかを悪用してユーザの特権を獲得した状態で、そのユーザのコンピュータでコードを実行する。また、Windowsユーザには大方ローカル管理者の特権があるが、その場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。また、この種のコード実行の脆弱性を利用して攻撃者がドライブバイ・ダウンロード攻撃を仕掛けるケースもよく見られる。その他2つの脆弱性はクロスサイトもしくはクロスサイト・ドメイン・スクリプティング（XSS)欠陥である。攻撃者は特にこのタイプの脆弱性を利用し、いつもはアクセスできないこと、つまり他のドメインやサイトからクッキーなどの情報を閲覧したり、他のドメインやサイトの特権でスクリプトを実行したりする。また、最近の攻撃者達は正当なウェブ・ページをハイジャックし、有害なコードで罠を仕掛け、ウェブ広告やSQLインジェクション、XSS攻撃を使う手口がよく見られるので注意が必要だ。もちろんサイトがハイジャックされてしまえば、見覚えのあるサイトや信頼できるはずのウェブサイトもユーザにとってリスクになる。各欠陥の技術面の違いを詳しく知りたければ、マイクロソフトのセキュリティアドバイザリにある「脆弱性の情報」を参照することをすすめる。技術面の違いを別にしても、IEのメモリ破損欠陥はそれだけでも十分なリスクであるため、至急IEの累積パッチをダウンロードしインストールすることをすすめる。

解決策：
このパッチは緊急問題を修正しているので、状況に適したIEパッチを至急取り入れるかWindowsの自動アップデート機能に任せることをすすめる。ちなみに、マイクロソフトはWindows 2000 とIE 5.xのサポートを打ち切っているので、まだIEやWindowsのレガシーバージョンを使用している場合は、最新のセキュリティアップデートを取り入れるため、それらをアップデートすることを強くすすめる。

日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューで「Japanese」を選択：
*注意：この欠陥は、Windows Server 2008 の管理者で、Server Coreインストール・オプションを使ってインストールした場合には影響しない。

WatchGuardユーザ：
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにするにはHTTPトラフィックがファイアウォールを通過できるように許可しておかなければならないため、パッチを利用することが最善策といえるだろう。

ステータス：
マイクロソフトは脆弱性を修正したアップデートをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ：MS10-090
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
Officeアップデート　画像が埋め込まれたドキュメントの欠陥を修正 2010年12月14日
Officeアップデート　画像が埋め込まれたドキュメントの欠陥を修正

2010年12月14日

概要：
- 影響を受けている製品：
  WindowsのMicrosoft Office の現バージョンすべてとWorks 9
- 脆弱性の悪用方法：
  細工したOfficeドキュメントを開かせるようにユーザを誘導する方法が一般的に使われている
- 影響：
  攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  状況に適したOfficeパッチを至急取り入れるか、Windowsの自動アップデート機能に任せること
詳細：
米国時間の14日、マイクロソフトは2件のセキュリティアドバイザリをリリースし、WindowsのMicrosoft Officeに搭載されているコンポーネントとプログラムで見つかった脆弱性12件について説明した。特に焦点が当てられているのはPublisherとOffice Graphics Filtersコンポーネントである。中にはOffice Converter PackやMicrosoft Works 9に影響を与えている脆弱性もある。各欠陥のOfficeコンポーネントやアプリケーションは異なるが、その結果はどれも同じである。攻撃者は細工したOfficeドキュメントをユーザがダウンロードし、それを開くように誘導し、脆弱性を悪用して被害者のコンピュータでコードを実行できるようにする。通常、そうした場合において攻撃者はユーザの持つ権限や許可権レベルを受け継いだ状態にあるので、ユーザにローカル管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。こうした脆弱性の多くは、攻撃者が特別に細工した画像ファイルを何らかのOfficeドキュメントに埋め込むことに関与しており、Officeドキュメントであればそのタイプにかかわらず欠陥を誘発することになる。このため、受信する予定のなかったOfficeドキュメントには注意するようにユーザに警告すること。各欠陥の詳細について知りたければ、マイクロソフトのセキュリティアドバイザリ「脆弱性の詳細」を参照することをすすめる。

マイクロソフトのアドバイザリへのリンク（日本語）
- MS10-103:
  Microsoft Publisher の脆弱性により、リモートでコードが実行される（重要）
- MS10-105:
  Microsoft Office グラフィックフィルターの脆弱性により、リモートでコードが実行される（重要）
解決策：
マイクロソフトはこうした脆弱性を修正するOfficeのパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。

日本語版のダウロードは「Change Language:」ドロップダウン・メニューで「Japanese」を選択： MS10-103:
MS10-105:
WatchGuardユーザ：
WatchGuard のFirebox製品にはMicrosoft Officeドキュメントをネットワークから遮断するように設定できるものもあるが、大方の組織ではビジネス上それを必要としているほか、こうした脆弱性によるリスクを緩和させるにはOfficeドキュメントの全種類を遮断しなければならないため、パッチを利用することが最善策といえるだろう。それでもやはりすべてのOfficeドキュメントをネットワークから遮断したいというのであれば、次のビデオを参照し、Fireboxのプロキシ・ポリシーを使ってファイルを拡張子別にブロックすることができる。しかしそうすることで、害のないドキュメントも阻止してしまうことに注意しよう。
- 10.xを実行しているFirebox X Edge
- Fireware 10.x またはFireware XTMを実行しているFirebox X Core やX Peak
ステータス：
マイクロソフトは脆弱性を修正するOfficeアップデートをリリースしている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ：MS10-103
- マイクロソフトのセキュリティアドバイザリ：MS10-105
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
Firefox 12月のアップデート　深刻な脆弱性を多数修正 2010年12月13日
Firefox 12月のアップデート　深刻な脆弱性を多数修正

2010年12月13日

概要：
- 影響を受けている製品：
  Firefox 3.6.x /Firefox 3.5.x （対象：Windows/Linux/Macintosh）
- 脆弱性の悪用方法：
  有害なウェブページにユーザを誘導する方法が一般的
- 影響：
  結果は様々だが、最悪の場合は攻撃者が被害者であるユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  Firefox3.6.13（または3.5.16）にアップグレードするか、Firefoxの自動アップデート機能に任せること
詳細：
Mozillaは先週、評判の良い同社のマルチプラットフォーム・ウェブ・ブラウザのFirefoxで発見された13件の脆弱性を修正したアップデートをリリースした（数字はCVE によるもの）。Mozillaはその脆弱性の大半を深刻レベルの問題として評価している。つまり、攻撃者は脆弱性を利用してコードを実行し、ユーザが普通にウェブをブラウズしている間に、攻撃者はソフトウェアをインストールすることができる。

Firefox 3.6.12 で発見された深刻な脆弱性トップ3の詳細：
- Javascript Arrayの整数のオーバーフロー脆弱性
  (2010-81)
  
  Firefoxのjavascriptarray（特にNewIdArray）は、メモリ・バッファ・オーバーフローの原因となる整数のオーバーフロー問題の影響を受けている。細工した有害なウェブ・ページにユーザを誘導すると、攻撃者はバッファ・オーバーフローを利用してFirefoxをクラッシュさせたり、ユーザの特権を獲得した上で、そのコンピュータで悪質なコードを実行することが可能になる。また、ユーザがローカル管理者であったり、ルート特権を持っていると、攻撃者はその被害者のコンピュータを完全に操作できるようにもなる。
  
  Mozillaの評価：深刻
- Document.write() バッファ・オーバーフローの脆弱性
  (2010-75)
  
  Mozillaによれば、ページ (document.write) にテキストを書き込む際に使うjavascriptの方法がバッファ・オーバーフロー問題の影響を受けているという。細工したjavascriptを含むウェブ・ページにユーザを誘導すると、攻撃者はこのバッファ・オーバーフローを利用してFirefoxをクラッシュさせたり、ユーザの特権を獲得した上で被害者のコンピュータで悪質なコードを実行できるようになる。例によって、ユーザが管理者特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
  
  Mozillaの評価：深刻
- メモリ破損問題3件
  (2010-74)
  
  Mozillaがリリースしたアップデートは、最低でもFirefoxをクラッシュさせることができる未特定のメモリ「セーフティ」関連の脆弱性3件を修正している。Mozillaのアラートは、この脆弱性がFirefoxのブラウザ・エンジンに起因すると述べているが、その他の詳細については触れていない。Mozillaは攻撃者達が十分な努力をすればメモリ破損欠陥をいくつか悪用し、被害者のコンピュータで任意コードを実行できるようになるだろうと推測している。そうするには、攻撃者はまず細工した有害なウェブ・ページにユーザを誘導、そしてユーザがその罠にかかったらユーザの特権を獲得した上でそのコンピュータで悪質なコードを実行できるようになる。また、ユーザがローカル管理者であったり、ルート特権を持っていると、攻撃者はそのコンピュータを完全に操作できるようにもなる。
  
  Mozillaの評価：深刻
Mozillaのアラートは、この他にも様々な脆弱性について説明しているが、その大半は攻撃者がユーザを有害なウェブ・ページに誘導しコードを実行できるようにするものだ。Firefox 3.6.13が修正している脆弱性の完全リストを見たければ、MozillaのKnown Vulnerabilitiesを参照するといいだろう。また、脆弱性の中にはFirefox 3.5.xに影響しているものもあるので、3.5.xバージョンを使用している場合は3.6.13バージョンに移行することをすすめる。しかし、どうしても3.5.xを使わなければならない場合のために、Mozillaはレガシー・バージョン用のアップデートもリリースしている。

解決策：
Mozillaはこうしたセキュリティ脆弱性を修正した Firefox 3.6.13 とFirefox 3.5.16をリリースしている。ネットワークでFirefoxを使用している場合は、できる限り早急に3.6.13バージョンをダウンロードし導入することをすすめる。しかし、何らかの理由でFirefox 3.5.xしか使えないという場合は、必ず3.5.16バージョンにアップグレードすること。

注意：
Firefoxの最新バージョンである3.6.xは、Firefoxのアップデートが入手可能になると自動的にユーザに知らせるようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。余談だが、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのもウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScript エクステンションをインストールしておくといいだろう。

すべてのユーザ：
この攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにするにはHTTPトラフィックがファイアウォールを通過できるように許可しておかなければならないため、パッチを利用することが最善策だろう。

ステータス：
Mozilla Foundationは、今回報告された脆弱性を修正したFirefox 3.6.13をリリースしている。

参考資料：
- Firefox 3.6.13 リリースノート
- Firefox 3.6.13で修正されている脆弱性
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
WindowsやMacユーザのQuicktimeに脅威をもたらしている画像とビデオ 2010年12月8日
WindowsやMacユーザのQuicktimeに脅威をもたらしている画像とビデオ

2010年12月8日

概要：
- 影響を受けている製品：
  QuickTime 7.6.8 とそれ以前のバージョン（Windows /Mac版）
- 脆弱性の悪用方法：
  攻撃者は、細工済みの有害な動画や画像をユーザが閲覧するように仕向ける
- 影響：
  攻撃者はユーザのコンピュータでコードを実行、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
  できる限り早急にQuickTime 7.6.9をダウンロードしインストールするか、アップルの自動ソフトウェアアップデート機能に任せること
詳細：
米国時間の7日、アップルは同社の評判の良いメディア処理機能、QuickTimeに見られる15件の脆弱性を修正するセキュリティ・アップデートをリリースした。WindowsとMac版の両方ともその影響を受けている。報告された欠陥は、いずれも技術面では大幅に異なるが、その主な影響とそれらが対象とする範囲は同じである。攻撃者があるユーザに有害なメディア・ファイルやビデオ・ファイルを閲覧させようと誘導し、それに成功した場合、攻撃者はこうした脆弱性をいくつも悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。また、大半のWindowsユーザにはローカル管理者の特権があるため、攻撃者はこの欠陥を利用してWindowsコンピュータを完全に操作できるようにもなる。その一方で、Macはユーザの特権を「スーパーユーザー（superuser）」アカウントと切り離しているため、攻撃者はMacでこうした欠陥を使ってもある程度の特権しか手に入れることができない（とはいっても、大きなダメージを与えるに値する分の特権は入手できる）。このため、ネットワークでQuicktimeを使用している場合は早急にアップルのアップデートをダウンロードし、インストールすることを強くすすめる。
解決策：
アップルはQuickTime 7.6.9でこうしたセキュリティ問題を修正しているので、ネットワークでQuickTimeの利用を許可している管理者は早急にアップデート版をダウンロードし、テストしてから導入すること。アップルは工場出荷時の設定においてiTunesとQuickTimeを一つにまとめているが、iTunesはそれ独自のセキュリティ問題があるため、ダウンロードをする際はQuickTimeだけをインストールするオプションの選択をすすめる（勿論iTunesが必要な場合は別）。また、別の方法としてアップルの自動ソフトウェア更新の機能に任せることも可能。

日本語版をダウンロード

ウォッチガードユーザ対象：
WatchGuard製品を使いメディア・ファイルをネットワークから遮断し、リスクを軽減させることもできる。アップルのアドバイザリ曰く、攻撃者が悪用に利用している種類のファイル形式は次の通り：
- AVI
- MOV
- JP2
- FPX
- GIF
- PICT, PCT, PIC
- QTVR
WatchGuard製品の中にはHTTPやSMTP、FTPプロキシを使って拡張子別に特定のファイルをネットワークから遮断できるものもある。とはいっても、メディアを豊富に使っているウェブサイトを閲覧するため、こうした種類のメディアをネットワークで許可している管理者は多い。つまり、こうした種類のメディアファイル、特に画像ファイルを閲覧できないようにしてしまうと、ウェブをブラウズする際にかなりの支障となってしまうのでアップルが提供しているQuicktimeのアップデートを導入することをすすめる。

そうはいっても、やはりQuickTimeのメディア・ファイルをネットワークから遮断したいというのであれば、次のリンクからその手順を説明しているビデオを参照にするといいだろう。但し、その場合は害のないメディアファイルも遮断してしまう点に注意すること。
10.x を使用しているFirebox X Edge 　　· FTP プロキシでファイルをブロックするには? 　　· HTTP プロキシでファイルをブロックするには? 　　· POP3 プロキシでファイルをブロックするには?
　　· SMTP プロキシでファイルをブロックするには？
Fireware 10.x またはFireware XTM を使用しているFirebox X Core /X Peak
ステータス：
アップルは問題を修正するアップデートをリリースしている。 参考資料：
- AppleのQuickTime アドバイザリ（2010年12月）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»

134のセキュリティホールを修正するOSXアップデート 2010年11月12日

134のセキュリティホールを修正するOS Xアップデート
2010年11月12日

概要：

影響を受けている製品：
OS X 10.5.x (Leopard)　/　OS X 10.6.x (Snow Leopard)の現バージョンすべて
脆弱性の悪用方法：
ユーザが様々なドキュメントや画像をダウンロードし閲覧するように仕向けるなど、攻撃方法は多々ある
影響：
結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行できるようになる
対策：
OS Xの管理者は、できる限り早急にOS X 10.6.5か Security Update 2010-007をダウンロードし、テストしてからインストールするか、アップルの自動ソフトウェアアップデート機能に任せて必要なアップデートをインストールすること

詳細：
米国時間の11月12日、アップルはセキュリティアップデートをリリースし、OS Xの現バージョンすべてにおける脆弱性を修正した。このアップデートはQuickTimeやImageIO、Apacheなど、OS XやOS X Serverに搭載されている34のコンポーネントで発見された134件のセキュリティ問題を修正している（数字はCVE-IDsによる）。

アップデートで修正された脆弱性の例：

ImageIOのバッファオーバーフローの脆弱性（複数）
ImageIOは、OSXが様々な画像ファイルの種類を処理できるようにするコンポーネントのひとつだが、残念なことに、ImageIOは特定の画像ファイル・タイプの処理法に関与するセキュリティ脆弱性の影響を受けている（バッファオーバーフローなど）。欠陥はどれも技術面では異なるが、影響範囲は大方同じである。細工した画像ファイルを有害なウェブサイトにホストさせるなどしてユーザに閲覧させると、攻撃者は欠陥を悪用してアプリケーションをクラッシュさせたり、被害者のコンピュータで攻撃用コードを実行できるようになる。ただし、デフォルトでユーザの特権を獲得した上でのみ攻撃者がコードを実行するようになっている。この問題の影響を受けているファイル・タイプには PNG, TIFF, PSDなどがある。
ATS の様々な脆弱性
アップルのType Service (ATS)はOSXのフォント処理に使うものだが、埋め込みフォントの特定の種類を処理する方法に関与するメモリ関連の脆弱性の影響を受けている。細工したフォントを入れた有害なドキュメントをユーザがダウンロードし閲覧するように仕向けると、攻撃者は欠陥を悪用してユーザのコンピュータでコードを実行できるようになる。ただし、デフォルトにより攻撃者はユーザの特権を持った状態でのみコードを実行することができる。
QuickTimeの脆弱性（9）
QuickTimeは、ビデオやメディアを再生するために使う評判の良いアプリケーションで、OS X（およびiTunes）に搭載されいているのだが、特定の画像や動画ファイルの処理法に関与するセキュリティ問題９件の影響を受けている（数字は CVE-IDによる）。脆弱性の技術面はそれぞれ異なるが、その影響範囲は同じである。攻撃者は有害な画像や動画をユーザがQuickTimeで閲覧するように誘導すると、いずれかの欠陥を悪用しユーザの特権を獲得した上で、そのコンピュータでコードを実行できるようになる。

アップルのアラートは、この他にいくつものコード実行の脆弱性やサービス拒否（DoS)欠陥、クロスサイト・スクリプティング（XSS）の脆弱性、情報開示の欠陥、その他セキュリティ問題について説明している。

　　　今回のセキュリティアップデートで修正されたコンポーネント：

Server	Kernel
Apache mod_perl	MySQL
Apache	neon
AppKit	Networking
ATS	OpenLDAP
CFNetwork	OpenSSL
CoreGraphics	Password Server
CoreText	PHP
CUPS	Printing
Directory Service	python
diskdev_cmds	QuickLook
Disk Images	QuickTime
Flash Player plugin	Safari RSS
gzip	Time Machine
Image Capture	Wiki Server
ImageIO	X11
Image RAW	xar

詳細についてはアップルのOS X 10.5.xと10.6.xのアラートを詳細することをすすめる。

解決策：
アップルはこうしたセキュリティ問題をOS X Security Update 2010-007と OS X 10.6.5で修正しているので、OS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードし、テストしてからインストールすることをすすめる。

注意：
　どのOS Xパッチをダウンロードすべきか定かでない場合は、OS Xのソフトウェアアップデート機能に任せて必要なアップデートを自動的にダウンロードすることをすすめる。

全ユーザ対象：
こうした欠陥は様々な悪用法で使うことができる。中にはローカルのもの、つまりペリミター・ファイアウォールを避けられるものもあるので（ただし部署間にファイアウォールを設置している場合は別）、アップルが提供しているアップデートをインストールすることが最善策だろう。

ステータス：
アップルはこうした欠陥を修正するアップデートをリリースしている。

参考資料：

2010年11月： OS X 10.5x and 10.6.x セキュリティアップデート

調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）

Officeのセキュリティアドバイザリ、7つの脆弱性を修正 2010年11月10日
Office のセキュリティアドバイザリ、7つの脆弱性を修正

2010年11月10日

概要：
- 影響を受けている製品：
- 最新版のMicrosoft Officeと搭載されているコンポーネント
- 脆弱性の悪用方法：
- 一般的なのは、攻撃者が悪質なOfficeドキュメントにユーザを誘導する方法
- 影響：
- 最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
- 対策：
- できる限り早急にMicrosoft Officeのアップデートをインストールするか、マイクロソフトの自動アップデート機能に任せること
詳細：
マイクロソフトは、Windows版とMac版を対象としたMicrosoft Officeの最新版に搭載されているコンポーネントにある脆弱性7件についてセキュリティアドバイザリを2件リリースした。
脆弱性による影響はOfficeのバージョンによって異なり、その技術面も影響するOfficeコンポーネントも異なるが、影響範囲は同じである。有害なOfficeドキュメントをダウンロードして開くようにユーザを誘導すると、攻撃者は脆弱性を悪用して、被害者であるユーザのコンピュータでコードを実行する。その際、被害者となるユーザの特権や許可権も譲り受けるケースがよくあり、ローカル管理者の特権をユーザが持っていた場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。
マイクロソフトのセキュリティアドバイザリによると、攻撃者は様々なタイプのOfficeドキュメントを使って欠陥を悪用できるという。マイクロソフトは、あるアドバイザリではPowerPointドキュメントが脆弱であると述べているが、別のアドバイザリでは「Officeファイル」と説明しているので、受信する予定のなかったOfficeドキュメントには十分注意しよう。
各脆弱性の詳細について知りたい場合は、マイクロソフトのアドバイザリにある「脆弱性の詳細」を参考にすることをすすめる：
- MS10-087　コード実行の脆弱性（5）　危険性：緊急
- MS10-088　 PowerPointのコード実行の脆弱性（2）　危険性：重要
解決策：
マイクロソフトは問題を修正するOfficeパッチを用意しているので、状況に適したものを至急ダウンロードしテストしてからネットワーク全体に取入れるか、マイクロソフトの自動アップデート機能に任せることをすすめる。
日本語版をダウンロードする場合は「Change Language」ドロップダウン・メニューから「Japanese」を選択：

MS10-087　
注意：
Mac版のOffice 2004と2008もこうした欠陥において脆弱だが、マイクロソフトはMac版のアップデートをまだ用意していない。
MS10-088　

PowerPointアップデートのダウンロード先
注意：
　Mac版のOffice 2004もこうした欠陥において脆弱だが、マイクロソフトはMac版のアップデートをまだ用意していない。

ウォッチガード・ユーザ対象：
WatchGuard Firebox製品の中にはMicrosoft Officeドキュメントがネットワークに入り込まないように設定できるものもあるが、ビジネス上そうしたドキュメントが必要な場合もあるだろう。パッチをインストールすることが最善策だろう。
Officeドキュメントをネットワークから遮断したい場合は、次のビデオを参照してFireboxのプロキシ・コンテンツ・ブロッキング機能を使い、ファイルの拡張子別にブロックできる。避けたいタイプは.DOC / .XLS / .PPT、その他（"X"が最後につくOfficeの新しい拡張子タイプも含む）がある。ただし、拡張子別にファイルをブロックすると有害なものだけでなく、正当なファイルも受信できなくなるので注意が必要だ。
- Firebox X Edge running 10.x
- Firebox X Core and X Peak running Fireware 10.x
ステータス:
マイクロソフトは脆弱性を修正するOfficeアップデートをリリースしている。

参考資料：
マイクロソフトのセキュリテリアドバイザリ（一覧）

調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
MozillaがFirefox 3.6.12でゼロデイ・ホールを修正 2010年10月28日
MozillaがFirefox 3.6.12でゼロデイ・ホールを修正

2010年10月28日

概要：
- 影響を受けている製品：
- Firefox 3.6.x / 3.5.x （Windows/Linux/Macintosh）
- 脆弱性の悪用方法：
- 攻撃者がユーザを有害なウェブページに誘導
- 影響：
- 攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
- 対策：
- Firefox 3.6.12 （または 3.5.15）にアップグレードするか、Firefoxの自動アップデート機能に任せること
詳細：
攻撃者達がFirefoxの新たなゼロデイ悪用をノーベル平和賞のウェブサイトに仕掛けたニュースについては、27日付けのWatchGuard Wireで警告した（ユーザがXPでFirefox 3.5または3.6を使い感染したサイトに行った場合、Belmooというトロイの木馬がユーザに気づかれずにコンピュータにダウンロードされてしまう）。Wireを書いた時点で、Mozillaはそのゼロデイについて知ってはいたが、問題はまだ修正されていなかった。
幸い、Mozillaの対応は素早く、感心するほどの速さでFirefox 3.6.12をリリースし、この緊急レベルのゼロデイ脆弱性を修正した。Mozillaの「Known Vulnerabilities page,」によると、このゼロデイ脆弱性はFirefoxのDOMコンポーネント内にあるヒープ・バッファオーバーフローに関するものだという。攻撃者は細工したウェブページにユーザを誘導したり、ユーザが行く正当なウェブページに悪質なコードを潜ませることで脆弱性を利用し、ユーザの特権を獲得した状態で悪質なコードを実行できるようになる。また、そのユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者はその被害者のコンピュータを完全にコントロールできるようになる。これはFirefoxユーザにとって重大なアップデートであるといえるだろう。そして、この深刻な脆弱性を最初に発見したのは悪用を意図する側であったため、すでに一般環の境下で乱用されているなど（例：ノーベル平和賞のウェブサイトなど）、この欠陥によるリスクは深刻だ。このため、Firefoxを利用している場合は、最新のアップデートを至急インストールすることをすすめる。

解決策：
MozillaはFirefox 3.6.12と3.5.15で、このゼロデイ欠陥を修正している。ネットワークでFirefoxを使っている場合は、至急3.6.12バージョンをダウンロードし導入するか、Firefoxの自動アップデート機能に任せることをすすめる。また、何らかの理由でFirefox 3.5.xしか使えないという場合は、3.5.15バージョンにアップグレードすること。

注意：
Firefoxの最新バージョンである3.6.xは、Firefoxのアップデートが入手可能になると自動的にユーザに知らせるようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。
余談だが、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのもウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScriptエクステンションをインストールしておくといいだろう。

全ユーザ対象：
この攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにするにはHTTPトラフィックがファイアウォールを通過できるように許可しておかなければならないため、パッチを利用することが最善策となるだろう。

ステータス：
Mozilla Foundationはこうした脆弱性を修正するFirefox 3.6.12をリリースしている。

参考資料：
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
公開されたShockwaveゼロデイ脆弱性と悪用方法 2010年10月24日

公開されたShockwaveゼロデイ脆弱性と悪用方法

2010年10月24日

Adobe Shockwaveのゼロデイ脆弱性について詳細を公開したグレイハットの研究者に応える形で、23日、Adobeはセキュリティアドバイザリをリリースした。詳細を公開したAbysssecの研究者は、評判の良いマルチメディア・レンダリング・アプリケーションに見られる重大なメモリ破損問題の詳細を事細かに説明し、Windows XP SP3 に対して利用できるコンセプト証明（PoC)の悪用コードも掲載した。つまり、細工したFlashコンテンツを含むウェブサイトにユーザを誘導できれば、攻撃者は欠陥を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。さらに、大方のWindowsユーザはローカル管理者の特権を持っているため、攻撃者は欠陥を利用してそのコンピュータを完全に操作できるようになる。 Abysssecの研究者は、Adobeに連絡せずに欠陥詳細を公開したため、Adobeによるパッチはまだリリースされておらず、Adobeのアドバイザリでは、この深刻な脆弱性について確認されてはいるものの、回避策などについては説明されていない。Adobeとウィルス対策ベンダは、この欠陥に対応できるシグネチャに取り組んでいるので、当面の間はFirefoxでNoScriptエクステンションを使用し、この問題やその他のウェブベース欠陥からネットワークを保護することを強くすすめる。NoScriptですべてのウェブ攻撃を妨げることはできないが、スクリプト・ブロック機能はそうした問題によるリスクを緩和させることはできる。幸い、この欠陥が一般の環境下で悪用されたという報告は今の所ないが、研究者が公開したPoCは攻撃用にしやすいので、おそらく悪質なバージョンは近いうちに出回るようになるだろう。こうした理由から、Shockwaveを使っている場合はブラウズ時に注意が必要だ。Adobeによるフィックスの詳細が分り次第、WireもしくはLiveSecurity Serviceで連絡する予定だ。　　-　コーリー・ナクライナー（ Corey Nachreiner, CISSP）

続きを読む»
Firefox 3.6.11 セキュリティ問題13件を修正　2010年10月21日
Firefox 3.6.11　セキュリティ問題13件を修正

危険性：中

2010年10月21日　

概要：
- 影響を受けている製品：
  Windows/Linux/Macintosh 対象のFirefox 3.6.x と3.5.xバージョン
- 脆弱性の悪用方法：
  一般的に、有害なウェブページにユーザを誘導する方法がよく見られる
- 影響：
  結果は様々だが最悪の場合、攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策：
  Firefox 3.6.11（もしくは3.5.14）にアップグレードするか、Firefoxの自動アップデート機能に任せること
詳細：
米国時間の10月19日遅く、Mozillaは同社の評判の良いマルチプラットフォームのウェブ・ブラウザに見られる約13件のセキュリティ問題を修正するアップデートをリリースした（数字はCVEによる）。Mozillaは、今回報告した脆弱性の半分を重大な問題であると評価している。つまり、攻撃者は問題を悪用してコードを実行し、ユーザのコンピュータにソフトウェアをインストールできるようになるが、その場合に必要とするユーザからのインタラクションは普通にウェブをブラウズしている程度である。下記は、Firefox 3.6.11のもっとも危険な脆弱性3つの概要だ。
- ダングリング・ポインタの脆弱性（複数）（2010-67）
  Firefoxのファンクションの1つ（LookupGetterOrSetter）は、ダングリング・ポインタ（Dangling Pointer）というソフトウェア欠陥の影響を受けている。過去、攻撃者達はそれを簡単に悪用することができなかったため、プログラマ達はダングリング・ポインタは比較的に見て害のない欠陥であると見なしていたのだが、最近になって研究者達は、この種の欠陥を悪用できることを証明した。　攻撃者達は、ウェブページにユーザを誘導することで脆弱性を利用し、Firefoxをクラッシュさせたり、ユーザの特権を獲得した上でユーザのコンピュータでコードを実行できるようになる。また、そのユーザがローカル管理者であった場合や、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
  
  Mozilla評価：重要
- Document.writeのバッファ・オーバーフロー脆弱性（2010-65）
  Mozillaによると、Firefoxの最新アップデートはテキスト・レンダリング（document.write）の役割を担うコードのバッファ・オーバーフロー問題を修正しているという。不当に細工したウェブページにユーザを誘導することで、攻撃者はこのバッファ・オーバーフローを利用してFirefoxをクラッシュさせたり、ユーザの特権を獲得した上でそのコンピュータでコードを実行したりする。ユーザに管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
  
  Mozilla評価：重要
- 典型的なメモリ破損の脆弱性（2010-64）
  Mozillaのアップデートは、最低でもFirefoxをクラッシュさせることができる未特定のメモリ「セーフティ」またはメモリ破損の脆弱性3つを修正している。Mozillaのアラートは、こうした脆弱性がFirefoxのブラウザエンジンにあるという点以外の詳細は説明していない。Mozillaは攻撃者の十分な努力があれば、こうしたメモリ破損欠陥を悪用し、攻撃者は被害者のコンピュータで任意コードを実行できるだろうと推測している。しかしそうするには、攻撃者はまず不当に作成したウェブページにユーザを誘導しなければならない。ユーザがその罠にかかれば、攻撃者はユーザの特権を獲得した上で、そのコンピュータでコードを実行できるようになる。また、そのユーザがローカル管理者であった場合や、ルート特権を持っていた場合、攻撃者はその被害者のコンピュータを完全に操作することも可能になる。
  
  Mozilla評価：重要
Mozillaのアラートは、この他にもコード実行欠陥やクロスサイト・スクリプティング（XSS）、証明書や暗号化に関する問題など様々な脆弱性について説明している。Firefox 3.6.11 が修正している脆弱性リストについてはMozillaのページを参照することをすすめる。今回報告された脆弱性の中にはFirefox 3.5.xに影響を及ぼしているものもあるので、3.5.xバージョンを使用している場合は3.6.11バージョンに移行することをすすめる。しかし、3.5.xバージョンが必要なユーザのために、レガシー・バージョン用のアップデートも用意されている。

解決策：
Mozillaは、こうしたセキュリティ脆弱性を修正するFirefox 3.6.11および3.5.14をリリースしているので、ネットワークでFirefoxを使用している場合は、できる限り早急に3.6.11バージョンをダウンロードし導入するか、Firefoxの自動アップデート機能に任せて必要なアップデートをインストールすることをすすめる。しかし、何らかの理由でFirefox 3.5.xを使う必要がある場合は3.5.14バージョンにアップグレードすること。

注意：　
Firefoxの最新バージョンである3.6.xは、Firefoxのアップデートが入手可能になると自動的にユーザに知らせるようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。

余談だが、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのもウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScriptエクステンションをインストールしておくといいだろう。

全ユーザ対象：
この攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにするにはHTTPトラフィックがファイアウォールを通過できるように許可しておかなければならないため、パッチを利用することが主な対策となる。

ステータス：
こうした問題は、Mozilla FoundationがリリースしたFirefox 3.6.11で修正できる。

参考資料：
- Firefox 3.6.11 リリースノート
- Firefox 3.6.11で修正された脆弱性一覧
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
Leopard ＆Snow Leopard のOS X Javaアップデート 2010年10月21日
Leopard ＆Snow Leopard のOS X Javaアップデート

危険性：中

2010年10月21日　

概要：
- 影響を受けている製品：
  OS X 10.5.x (Leopard) /10.6.x (Snow Leopard)
- 脆弱性の悪用方法：
  不当に作成されたJavaアプレットを含む有害なウェブサイトにユーザを誘導
- 影響：
  最悪の場合、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行できる
- 対策：
  できる限り早急にOS X 10.5 Update 8またはOS X 10.6 Update 3のJavaをインストールするか、アップルのアップデート機能に任せること
詳細：
米国時間の10月20日、アップルはOS X 10.5.x とOS X 10.6.xのJavaセキュリティ・アップデートについて説明したアドバイザリを2件リリースした[ 1 / 2 ]。　このアドバイザリは、OS Xの Javaコンポーネントに存在する複数の脆弱性について警告している。10.5.xについては6件のJava脆弱性を、そして10.6.xでは4件のJava脆弱性について説明している（数字はCVE-IDによる）。アップデートが修正している欠陥の数には限りがあるが、それらのリスクはいずれも深刻である。

アップルは、脆弱性がもたらす影響の大まかな点しか説明しておらず、詳細情報は提供していない。しかし概してその影響は同じである。攻撃者は、不当に作成されたJavaアプレットを含む有害なウェブサイトにユーザを誘導し、Java欠陥を悪用してユーザのOS Xコンピュータでコードを実行したり、特権昇格を行う。攻撃者はその時点でログインしているユーザの特権のみを獲得するが、大方の場合はそうしたユーザにOS Xのルート特権や管理者アクセスはない。とはいっても、できる限り早急にOS XのJavaアップデートをインストールすることをすすめる。

余談だが、マイクロソフトは2010年ではJava欠陥を悪用するマルウェアのケースが頻繁に見られたと、最近になって指摘した。一般環境下におけるMacベースのJava脅威について報告されたケースはまだないが、Javaを最新のバージョンにしておくことをすすめる。

解決策：
アップルはJava for OS X 10.5 Update 8 [dmg file]とJava for OS X 10.6 Update 3 [dmg file]をリリースし、欠陥を修正しているので、OS X 10.5.xまたは10.6.xを管理している場合は、できる限り早急にアップデートをダウンロードし導入するか、ソフトウェア・アップデート機能に任せて、適切なアップデートを自動的にインストールすることをすすめる。

ウォッチガード・ユーザ対象：
こうした攻撃には、ユーザが有害なJavaバイトコードを含むウェブページに行くことに依存するものもある。大方のFireboxに搭載されているHTTPプロキシ・ポリシーは、デフォルトで自動的にJavaバイトコードをブロックするようになっているので、こうした脆弱性によるリスクを幾分緩和させている。

ステータス：
アップルはがリリースしたJavaアップデートは、こうした問題を修正している。

参考資料：
このアラートはCorey Nachreiner, CISSPにより調査され書かれたものです。
続きを読む»
15のセキュリティホールを修正するWindowsアップデート 2010年10月12日
15のセキュリティホールを修正するWindowsアップデート（12）
Media Player/ .NET Framework/ カーネルモード・ドライバなど

危険度：高

2010年10月12日

概要：
- 影響を受けている製品：
  全バージョンのWindowsとそれに搭載されているコンポーネント（.NET Frameworkも含む）
- 脆弱性の悪用方法：
  細工したネットワークパケットを送信したり、悪質なメディアを含むウェブサイトにユーザを誘導するなど攻撃方法は多々ある。
- 影響：
  結果は様々だが、最悪の場合は攻撃者がユーザのWindowsを完全にコントロールできるようになる。
- 対策：
  状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能に任せること。
詳細：
米国時間の10月12日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響を及ぼしている15件の脆弱性について説明したセキュリティアドバイザリ12件をリリースした。各脆弱性が影響を与えているバージョンのWindowsは異なり、その度合いも様々だが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる恐れがある。次にその概要を危険性の高いものから順に簡単に説明しておく。

MS10-075:
Windows Media Player ネットワーク共有サービスの脆弱性により、リモートでコードが実行される (2281679)

Windows Media Player (WMP)は、Windowsに搭載されている評判の良いマルチメディアを再生するアプリケーションだ。Windowsコンピュータの多くは初期設定に基きMedia Player Network Sharing Serviceをスタートさせ、同じネットワークにいる他のコンピュータとメディアを共有できるようにする。但し、Windows Vistaと7では初期設定でスタートしないようになっている。

マイクロソフトによると、Windows Vistaと7に搭載されているMedia Player Network Sharing Serviceは、リアルタイム・ストリーミング・プロトコル(RTSP)パケットを処理する方法に関与するセキュリティ脆弱性の影響を受けているという。攻撃者は細工したRTSPパケットをNetwork Sharing Serviceでコンピュータに送信し脆弱性を悪用してNetwork Servicesのアカウントに関連させ、そのコンピュータでコードを実行できる。Network Servicesアカウントの特権には制限があるものの、攻撃者は他の脆弱性を利用して（このアラートでも詳細を説明）コンピュータを完全にコントロールできるようになる。普通、Windowsはローカル・ネットワーク内のコンピュータのみがMedia Player Nework Sharing Serviceにアクセスできるようにしているので、この問題は内部脅威に制限される傾向がある。更に、このプログラムはVistaやWindows 7では初期設定でスタートしないため、この攻撃の危険性を低下させている。
マイクロソフトの評価：緊急

MS10-076:
Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (982132)

WindowsにはOpenTypeフォントを含むドキュメントやメール、ウェブページを処理するOpenType Font Engineが搭載されている。OpenType Font Engineは、OpenTypeフォントを含むコンテンツにある特定のテーブル処理法に関与する整数のオーバーフローの脆弱性の影響を受けている。攻撃者はユーザをウェブページに誘導したり、不当に作成したOpenTypeフォントを含むコンテンツをユーザに開かせることで欠陥を悪用し、ユーザのコンピュータを完全にコントロールできるようになる。
マイクロソフトの評価：緊急

MS10-077:
.NET Framework の脆弱性により、リモートでコードが実行される (2160841)

マイクロソフトの.NET Frameworkは、開発者達が内容豊富なウェブアプリケーションを作成するために使うWindowsのオプション・コンポーネントで、ウェブコンテンツを表示する役割も担っている。Windowsは初期設定において搭載していないが、多くのユーザがこれをインストールしている。しかし、.NET Framework 4.0 の64ビット版はコンパイラがコードを不正確に最適化する方法に関与するコード実行の脆弱性の影響を受けている。攻撃者は細工したウェブアプリケーションを含むウェブサイトにユーザを誘導したり、悪質な.NETアプリケーションを実行するように仕向けることで欠陥を悪用し、ユーザの特権を持った状態でユーザのコンピュータでコードを実行する。また、こうしたケースでよく見られるように、ユーザにローカル管理者の特権があった場合は攻撃者がコンピュータを完全にコントロールできるようになる。
マイクロソフトの評価：緊急

MS10-073
Windows カーネルモードドライバーの脆弱性により、特権が昇格される (981957)

カーネルはコンピュータのオペレーティング・システムにおける中心的な構成要素だ。Windowsに搭載されているカーネル・モード・デバイス・ドライバ（win32k.sys）は、いくつものカーネル・レベル・デバイスを処理することができるのだが、そのカーネル・モード・ドライバは複数の特権昇格の脆弱性の影響を受けている。欠陥は技術的には異なるが、その影響範囲は同じである。ローカル攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる可能性がある。但し、攻撃者はまず正当なクレデンシャルを使ってユーザのWindowsコンピュータへのローカル・アクセスを獲得しなければならないため、この欠陥のリスクは大幅に低下している。とはいっても、攻撃者達はメディアで特に大きく扱われたStuxnet ワームに関係させるなどして、この問題を一般環境下で悪用している。
マイクロソフトの評価：重要

MS10-078:
OpenType フォント (OTF) 形式ドライバーの脆弱性により、特権が昇格される (2279986)

OpenType Fontフォーマット・ドライバは、OpenTypeフォントを処理するためにWindowsが使うもうひとつのコンポーネントだ。OpenType Fontフォーマット・ドライバは、細工されたOpenTypeフォントを処理できない点に関与している特権昇格の脆弱性2件の影響を受けている。先に説明したOpenType Engineの欠陥とその概念は似ているが、攻撃者がこの悪用方法を成功させるには、まず脆弱なWindowsコンピュータにローカルからログインする必要があり、それを達成してから細工したプログラムを実行することになる。Windowsコンピュータにアクセスし、悪質なプログラムを使ってこうした欠陥を利用すると、攻撃者はユーザのコンピュータを完全にコントロールできるようになる。とはいっても、脆弱性が影響を与えているのはXPとServer 2003 のみである。
マイクロソフトの評価：重要

MS10-081:
Windows コモンコントロールライブラリの脆弱性により、リモートでコードが実行される (2296011)

Windowsには、インタラクティブ・ウィンドウの作成に役立つコモン・コントロール・ライブラリ(Comctl32.dll)というファンクションのライブラリが搭載されている。しかし、このコモン・コントロール・ライブラリは、第三者のアプリケーションによるスケーラブル・ベクター・グラフィックス（SVG）の処理法に関与するヒープ・バッファ・オーバーフロー問題の影響を受けている。攻撃者は細工済みコードを埋め込んだウェブサイトにユーザを誘導することで欠陥を悪用し、ユーザの特権を得た状態で被害者のコンピュータでコードを実行できるようになる。こうしたケースでよく見られるように、被害者にローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。
マイクロソフトの評価：重要

MS10-082
Windows Media Player の脆弱性により、リモートでコードが実行される (2378111)

先程も説明したが、Windows Media Player(WMP)はWindowsに搭載されている評判の良いマルチメディアを再生するアプリケーションだ。Windows Media Playerはウェブベース・メディアの処理法に関与するコード実行問題の影響を受けている。攻撃者は細工したメディアを埋め込んだウェブサイトにユーザを誘導し、そのユーザのコンピュータを完全にコントロールできるようになる可能性がある。とはいっても、攻撃を成功させるには、まずユーザがそのウェブサイトにあるポップアップ・ダイアログを少なくても一度はクリックしなければならないため、この危険性は大幅に緩和される（注意：最初に解説したMedia Playerの欠陥の方は、ユーザによるインタラクションはまったく必要ない）。
マイクロソフトの評価：重要

MS10-083:
Windows シェルおよびワードパッドの COM の検証の脆弱性により、リモートでコードが実行される (2405882)

WordPadは実に基本的なワードプロセッサ・プログラム兼テキスト・エディタで、Windowsに搭載されている。そして、Windows ShellはWindowsのGUI主要コンポーネントだ。こうしたWindowsの両コンポーネントは、COMオブジェクトの処理法に関与する欠陥の影響を受けている。簡単に説明すると、攻撃者は細工したウェブページにユーザを誘導し、ユーザが悪質なドキュメントをWordPadで開くように仕向けたり、悪質なショートカットに関わるようにしたりすることで欠陥を悪用し、ユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はユーザのコンピュータを完全にコントロールできるようになる。
マイクロソフトの評価：重要

MS10-084:
Windows ローカルプロシージャーコールの脆弱性により、特権が昇格される (2360937)

リモート・プロシージャ・コール（RPC）は、ネットワーク上の1台のコンピュータが別のコンピュータでタスクを実行し、そのタスクの結果を受け取れるようにするプロトコルで、Windowsユーザが使用しているものだ。Windows RPCにはローカル・プロシージャ・コール（LPC）コンポーネントもあり、Windowsはローカル・プロセスとスレッド間のメッセージのやり取りに使っている。Windows LPCコンポーネントは、細工されたLPCリクエストを処理できない点に関与するバッファ・オーバーフロー問題の影響を受けており、ローカル攻撃者は細工したプログラムを実行することで欠陥を利用し、Network Servicesアカウントに関連させてコードを実行する。Network Servicesアカウントには制限があるが、攻撃者はこのアラートでも説明した他の脆弱性を利用してコンピュータを完全にコントロールできるようになる。但し、LPCコールはローカルにだけ送信されるようになっているので、攻撃者はまず有効なクレデンシャルを使いユーザのWindowsコンピュータへのローカル・アクセスが必要になる。また、この欠陥の影響を受けているのはXPとServer 2003のみであるといった点もあり、危険性は大幅に緩和される。
マイクロソフトの評価：重要

MS10-085:
SChannel の脆弱性により、サービス拒否が起こる (2207566)

Secure Channel (SChannel)は、Windowsのセキュリティ・パッケージでセキュア・ソケット・レイヤ（SSL）と、トランスポート・レイヤ・セキュリティ（TLS）の認証プロトコルを実施する。今回リリースされたセキュリティアドバイザリによると、Schannelは細工されたSSL/TLSハンドシェイク・リクエストの処理法に関与するサービス拒否（DoS）問題の影響を受けているという。攻撃者はSSLを有効にしたウェブ・サーバに細工したリクエストを送信することで、欠陥を利用しユーザのサーバが反応しなくなる問題を引き起こすことができる。そうなると、サービスを再び始めるにはサーバを再起動させなければならない。しかし、この欠陥は明らかにSSL接続受信、つまり一般的にIIS ウェブサーバとセキュア・ページを許可しているサーバのみに影響している。そうしたサーバを所持していたり、SSL接続がファイアウォールを通過するようにしていないのであれば、この攻撃による影響はない。
マイクロソフトの評価：重要

MS10-074:
Microsoft Foundation Classes の脆弱性により、リモートでコードが実行される (2387149)

Windowsには、Windowsの基本的なOSやGUI機能を実施するプログラム作成時に開発者達が使うFoundation Class Libraryというファンクションのライブラリが搭載されているのだが、それはウィンドウズ・タイトルの処理法に関与する脆弱性の影響を受けている。コンピュータにFoundation Class Libraryを使って作成された第三者のアプリケーションがあり、そのアプリケーションがウィンドウズ・タイトルを変更するためにユーザのインプットを何らかの方法で許可し、更に外部の攻撃者がそのインプットを操作し、ウィンドウズ・タイトルを変更できる場合において、攻撃者はこの欠陥を悪用してユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行することができるようになる。お分かりかとは思うが、これには「もしそれができたら......」という条件がかなりある。マイクロソフトはこの欠陥に脆弱な同社のソフトウェアはないと述べているので、影響を受けているのは、特定の方法でコードされた第三者のアプリケーションをインストールしている場合に限る。こうした理由から、この欠陥のリスクは低いものといえるだろう。
マイクロソフトの評価：中

MS10-086:
Windows 共有クラスターディスクの脆弱性により、改ざんが起こる (2294255)

マイクロソフト・クラスタ・サービス（MSCS）は、サーバやディスクをひとまとめにするWindowsコンポーネントだ。しかし、MSCSは新しいディスクをディスク・クラスタに追加する際、適切に許可権を設定できないため、内部攻撃者はクラスタ・ディスクのファイル・システムにリモートからアクセスできるようになる。特権にかかわらず、管理シェアはそのシェアを完全にコントロールできる。普通はローカル・ネットワークのユーザのみがディスクシェアにアクセスできるようになっている。ちなみに、この欠陥の影響を受けているのはWindows Server 2008 R2だけである。
マイクロソフトの評価：中

解決策：
マイクロソフトはこうした脆弱性をすべて修正できるWindowsパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、Windows Update機能に任せ、自動的に必要なパッチをインストールする方法もある。 MS10-075:
MS10-076:
　*注意：Server Coreインストールへの影響はない。 MS10-077:
- Microsoft .NET Framework 4.0 Update （64ビット版Windowsすべて）
MS10-073:
MS10-078:
　注意：その他のWindowsバージョンへの影響はない MS10-081:
　*注意：Server Coreインストールへの影響はない。 MS10-082: Windows Media Player アップデート（全バージョン）：
*注意：Server Coreインストールへの影響はない。 MS10-083: WordPadアップデート：
Windows Shellアップデート：
*注意：Server Coreインストールへの影響はない。 MS10-084:
注意：その他のWindowsバージョンへの影響はない

MS10-085:
MS10-074:
- Windows XP (w/SP3)
- Windows XP x64 (w/SP2)
- Windows Server 2003 (w/SP2)
- Windows Server 2003 x64 (w/SP2)
- Windows Server 2003 Itanium (w/SP2)
- Windows Vista (w/SP1 or SP2)
- Windows Vista x64 (w/SP1 or SP2)
- Windows Server 2008 (w/SP2) *
- Windows Server 2008 x64 (w/SP2) *
- Windows Server 2008 Itanium (w/SP2)
- Windows 7
- Windows 7 x64
- Windows Server 2008 R2 x64 *
- Windows Server 2008 R2 Itanium
  
  *注意：Server Coreインストールへの影響はない。
MS10-086:
- Windows Server 2008 R2 x64
- Windows Server 2008 R2 Itanium
ウォッチガードユーザ対象：
攻撃者は様々な悪用方法を使って欠陥を悪用できるが、適切に設定されたファイアウォールであれば、このような問題（注：ローカルリソースへのアクセスに依存する問題）のリスクを緩和させることができる。とはいっても、Fireboxでローカル攻撃からネットワークを守ることはできないほか、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトのアップデートをインストールすることが最善策であるといえるだろう。

ステータス：
マイクロソフトはこうした問題をすべて修正できるパッチを用意している。

参考資料：
- マイクロソフトのセキュリティアドバイザリ（一覧）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
10件の新しいセキュリティ欠陥を修正するIE累積パッチ 2010年10月12日
10件の新しいセキュリティ欠陥を修正するIE累積パッチ

危険性：高　

2010年10月12日

概要：
- 影響を受けている製品：
  現バージョンのWindowsで使われている最近のInternet Explorer全バージョン
- 脆弱性の悪用方法：
  悪質なウェブページにユーザを仕向けるのが一般的な悪用方法である。
- 影響：
  影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行することができ、そのコンピュータを攻撃者に完全にコントロールされてしまう恐れもある。
- 対策：
  状況に適したIEパッチをすぐに取り入れるか、Windowsの自動アップデート機能に任せること。
詳細：
マイクロソフトは、今月の「パッチデー」でリリースしたセキュリティアドバイザリで、現バージョンのWindows（Windows 7とWindows Server 2008も含む）で使われているInternet Explorer(IE)8.0とそれ以前のバージョンに影響を与えている10件の新しい脆弱性について説明した。マイクロソフトは、この問題を「深刻」と評価している。これら10件の脆弱性は技術的には異なるが、そのうち深刻な問題4件の影響範囲は同じであり、IEが特定のHTMLエレメントやオブジェクトを処理する方法に関与する様々なメモリ破損欠陥に関与している。攻撃者は悪質なウェブコードを含んだウェブページにユーザを誘導することに成功すると4つの脆弱性を好きなように悪用することができ、ユーザのコンピュータでコードを実行してそのユーザの特権を譲り受けることができる。そうなると、攻撃者は欠陥を悪用して被害者のコンピュータを完全に操作できるようになってしまう。その他の脆弱性はクロスサイトやクロスドメイン・スクリプティング（XSS）欠陥、情報開示問題などである。最近の攻撃者は正当なウェブページをハイジャックし、悪質なコードで罠を仕掛けるケースがよくある点に注意しよう。攻撃者はホストされているウェブ広告やSQLインジェクション、XSS攻撃などを利用する手段を使っているので、もしサイトが攻撃者にハイジャックされれば誰でもすぐに分るような信頼できるウェブサイトでも、こうしたリスクを伴う可能性がある。

技術詳細については、マイクロソフトのセキュリティアドバイザリを参照することをすすめる。しかし、その詳細を知らなくてもメモリ破損問題は深刻なリスクであるため、IEの累積パッチを至急ダウンロードしインストールすることをすすめる。

解決策：
このパッチは深刻な問題を修正している。状況に適したIEのパッチを至急ダウンロードし、テストしてから導入するかWindows の自動アップデート機能に任せることをすすめる。ちなみに、マイクロソフトはWindows 2000とIE 5.xのサポートを打ち切っているのでIEやWindowsのレガシー版を現在でも使用している場合は、最新のセキュリティ・アップデートを入手するためにアップグレードすることを強くすすめる。
日本語を選択する場合は「Change Language:」のドロップダウン・メニューから「Japanese」を選択：
ウォッチガードユーザ対象：
このような攻撃は普通のHTTPトラフィックに見せかけて移動するが、ユーザがWWWにアクセスできるようにするにはHTTPを許可しておかなければならないため、パッチをインストールすることが主な対策となる。

ステータス：
マイクロソフトによるパッチが用意されている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ（一覧）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
SharePoint Server‐XSS脆弱性 2010年10月12日
SharePoint Server ‐ XSS脆弱性

ウェブセキュリティ機能

危険度：中

2010年10月12日

概要：
- 影響を受けている製品：
  SharePoint製品シリーズとOffice Web Apps
- 脆弱性の悪用方法：
  細工したHTTPリクエストを送信したり、悪質なリンクをユーザがクリックするように誘導する。
- 影響：
  攻撃者は別のユーザの特権を使ってウェブサイトでスクリプトを実行することが可能。
- 対策：
  マイクロソフトがリリースした様々なサーバ・アップデートをできる限り早急にインストールするか、Windows Updateに任せること。
詳細：
マイクロソフトのSharePointは、ウェブベース・コラボレーションやファイル共有、ウェブ・パブリッシングなどを提供する製品シリーズで（Groove Serverも含む）、Office Web AppsはマイクロソフトOfficeプロパティ・スイートウェブベース版（無料）だ。

マイクロソフトのパッチデーにリリースされたセキュリティアドバイザリは、SharePoint製品シリーズと、Office Web Appsに影響を及ぼしている2つのクロスサイト・スクリプティング（XSS）脆弱性について説明している。皮肉なことに、問題のXSS脆弱性はHTMLの悪質なスクリプトから好ましくない点を除去することにより、ウェブセキュリティを改善させるはずのSafeHTMLというコンポーネントに存在するという。2つのXSS脆弱性はどちらも技術的には異なるが、その影響範囲は同じである。攻撃者はSafeHTMLを有効にしたサーバに特別に作成したHTTPリクエストを送信したり、リクエスト生成のリンクを被害者がクリックするように誘導することでXSS欠陥を悪用し、別のユーザとしてサーバでスクリプトを実行することができる。また、攻撃者はXSS欠陥を利用してユーザのクッキー・ファイルを読んだり盗んだりし、ウェブ・セッションをハイジャックしたりする。更に、場合によっては信頼度を高めた状態でユーザのコンピュータでコードを実行することもできる。

SharePoint製品シリーズを使用している場合は、状況に適したアップデートをできる限り早急にダウンロードし、インストールすることをすすめる。

解決策：
マイクロソフトは問題を修正するアップデートを用意しているので、SharePoint製品の管理者は、できる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入するかWindows Updateに任せることをすすめる。

日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択：
- SharePoint Services 3.0 w/SP2 (KB2345304)
- SharePoint Services 3.0 w/SP2 64-bit (KB2345304)
- SharePoint Foundation 2010 (KB2345322)
- SharePoint Server 2007 w/SP2 (KB2345212)
- SharePoint Server 2007 w/SP2 64-bit (KB2345212)
- Groove Server 2010 (KB2346298)
- Office Web Apps (KB2346411)
ウォッチガードユーザ対象：
インターネットベースのユーザがSharePointサーバにアクセスできるように許可するケースは稀なので、HTTPやHTTPSポリシーを作成して外部ユーザがSharePointサーバにアクセスできるようにしているのでなければ、FireboxやXTMアプライアンスを使ってインターネットベースの攻撃からネットワークを守ることができる。とはいっても、この問題では内部攻撃のリスクがあるので上記のパッチをインストールすることがベストな対策だろう。

ステータス：
マイクロソフトはこうした問題を修正するアップデートを用意している。

参考資料：
- マイクロソフトのセキュリティアドバイザリ（一覧）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
ワードとエクセルに影響しているセキュリティ問題 2010年10月12日
ワードとエクセルに影響しているセキュリティ問題

危険性：高

2010年10月12日

概要：
- 影響を受けている製品：
  WindowsとMacのMicrosoft Office（現バージョン）
- 脆弱性の悪用方法：
  悪質に細工したOfficeドキュメントをユーザが開くように攻撃者が誘導する方法が一般的である。
- 影響：
  攻撃者はコードを実行することでユーザのコンピュータを完全にコントロールできるようになる可能性がある。
- 対策：
  状況に適したOfficeパッチを至急インストールするか、Windows Update機能に任せること。
詳細：
米国時間の10月12日、マイクロソフトはMicrosoft Office（Windows/Mac版）具体的にいえばWordとExcelに搭載されているコンポーネントやプログラムで発見された24件の脆弱性について、2件のセキュリティアドバイザリをリリースした。脆弱性の中には各プログラムに搭載されているViewers、Office Compatibility Packs、File Format Convertersに影響しているものもある。各脆弱性が影響するバージョンのOfficeはいずれも異なり、その影響範囲もそれぞれである。 24件の欠陥はOfficeの様々なコンポーネントやアプリケーションに影響を及ぼしているが、その結果は常に同じである。攻撃者は悪質に作成したOfficeドキュメントをユーザにダウンロードさせ、それを開かせるように誘導することで脆弱性を悪用し、そのユーザのコンピュータでコードを実行できるようになる。大方の場合、攻撃者はそのユーザの権限特権や許可権を譲り受けることができるので、ユーザにローカル管理者の特権があった場合は、そのユーザのコンピュータを攻撃者が完全にコントロールできるようになる。マイクロソフトのセキュリティアドバイザリによると、攻撃者はWord (.doc)やExcel (.xls)といったOfficeドキュメントを使ってこうした欠陥を悪用できるというので、予期していなかったワードやエクセルを受け取った際には十分な注意が必要だ。各欠陥の詳細については、マイクロソフトのアドバイザリの詳細を参考にすることをすすめる。
- MS10-079:
  Microsoft Wordの脆弱性により、リモートでコードが実行
- MS10-080:
  Microsoft Excelの脆弱性により、リモートでコードが実行される
解決策：
マイクロソフトはこうした脆弱性を修正するOfficeパッチをリリースしているので、状況に適したものを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。

日本語を選択する場合は「Change Language:」のドロップダウン・メニューから「Japanese」を選択：

Word のアップデート（ダウンロード）：
Excelのアップデート（ダウンロード） :
ウォッチガードユーザ対象：
WatchGuard Fireboxシリーズの中にはWordやExcelドキュメントをブロックするように設定できるものもあるが、ビジネス上そうした種類のファイルが必要な場合もあるだろう。そのためパッチをインストールすることが主な対策となるが、パッチをインストールするまでは一時的にOfficeドキュメントがネットワークに入ってこないようにブロックした方がいいかもしれない。 WordやExcel、Worksのドキュメントなどをブロックしたい場合は、次のビデオを参照にしてFireboxプロキシのコンテンツブロック機能で拡張子別に（.doc/.xls）ファイルをネットワークから遮断することができる。
- 10.x を使用しているFirebox X Edge
- Fireware 10.x を使用しているFirebox X Core/X Peak
ステータス：
マイクロソフトによるOfficeアップデートが用意されている。

参考資料：
- マイクロソフトのセキュリティアドバイザリ（一覧）
調査・記事：コーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）
続きを読む»
早目にリリースされたFlash問題を修正するReaderアップデート 2010年10月6日
早目にリリースされたFlash問題を修正するReaderアップデート

その他22のセキュリティ脆弱性も修正

危険度：高

2010年10月6日　

概要： 脆弱性の影響を受けている製品：
Windows / Mac / UNIX 対象のAdobe Reader とAcrobat 9.3.4および旧バージョン

攻撃者による脆弱性の悪用方法：
典型的な方法としては、悪質なPDFドキュメントをユーザが閲覧するように攻撃者が誘導する方法がある。

攻撃方法：
攻撃者はユーザのコンピュータでコード実行をすることができ、場合によってはそのコンピュータを完全にコントロールできるようになる。

対策：
AdobeのReaderやAcrobat 9.4アップデートをできる限り早急にインストールすること（またはAdobeのUpdaterに任せること）。

詳細：
およそ2週間ほど前に、攻撃者達が一般環境下で悪用していたゼロデイ脆弱性を修正したAdobe Flashアップデートについてライブセキュリティ・アラートをウェブサイトに掲載したが、そのアラートで、Adobe Readerもそれに脆弱ではあるがReaderのパッチはまだ用意されておらず、Adobeは10月4日の週にそれをリリースする予定だと連絡した。その約束通り、Adobeはその欠陥の他にも様々な問題を修正するReaderのアップデートをリリースし、このアップデートでは合計23件のセキュリティ問題を修正している（数字はCVE-IDによる）。

23件の欠陥はそれぞれ技術的には異なるが、その多くにはメモリ破損問題があり影響と範囲は同じである。悪質なPDFドキュメントをユーザがダウンロードし、それを開くように仕向けることに成功すると、攻撃者はユーザの権限を獲得した状態で脆弱性を悪用し、そのコンピュータでコードを実行しようとする。また、ユーザにローカル管理者の特権が備わっている場合は、攻撃者がそのユーザのコンピュータを完全にコントロールすることも可能になる。今回のアップデートは危険性の高い欠陥をいくつも修正しており、中には攻撃者が一般の環境下で悪用したものも対象になっているので、できる限り早急にReaderアップデートをダウンロードしインストールすることを強くすすめる。また、通常Adobeのアップデートは年4回のリリースと予定されているが（マイクロソフトのパッチデーと同じ毎月第二火曜日）、今回のアップデートはその危険性が高いため、定例外で早目にリリースされている。そのため、10月12日のパッチデーはキャンセルされ、次回は来年の2月8日となる。

対策方法：
AdobeはReader とAcrobat 9.4のアップデートをリリースし、全プラットフォームにおいて脆弱性を修正しているので、状況に適したアップデートを至急ダウンロードしてそれを導入するか、Adobeのソフトウェア・アップデート・プログラムに任せることをすすめる。
- Adobe Reader 9.4
- Adobe Acrobat
- Adobeの日本語サイト
ウォッチガードユーザへ：
ウォッチガードのFirebox製品シリーズの中には、ネットワークにやってくるPDFファイルを遮断できるものもあるが、PDFドキュメントは仕事上の目的により、大方の管理者が許可しているタイプのファイルだ。仕事上PDFは特に必要でないというのであれば、パッチをインストールするまでの間、FireboxのHTTPやSMTPプロキシを使ってPDFをネットワークから遮断することも可能である。

PDFドキュメントをネットワークから遮断する場合は、下記のビデオ手順を参照にしてFireboxプロキシのコンテンツ・ブロック機能を使いPDFファイルを拡張子別に阻止できる。
- 10.x を使用しているFirebox X Edge
  FTP プロキシでファイルをブロックするには？
  HTTP プロキシでファイルをブロックするには？
  POP3 プロキシでファイルをブロックするには？
  SMTP プロキシでファイルをブロックするには？
- Fireware 10.x を使用しているFirebox X Core /X Peak
  FTP プロキシでファイルをブロックするには?
  HTTP プロキシでファイルをブロックするには?
  POP3 プロキシでファイルをブロックするには?
  SMTP プロキシでファイルをブロックするには?
ステータス：
Adobeはこうした脆弱性の問題を修正するパッチをリリースしている。

参考資料：
AdobeのReaderセキュリティアドバイザリ（10月）：英文
Adobeの日本語サイト
この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»
深刻なASP.NET Padding Oracle脆弱性を修正する定例外のセキュリティアドバイザリ 2010年9月28日
深刻なASP.NET Padding Oracle脆弱性を修正する定例外のセキュリティアドバイザリ

危険度：高　

2010年9月28日

概要：
- 脆弱性の影響を受けている製品：
  マイクロソフトの .NET Framework 全バージョン
- 攻撃者による脆弱性の悪用方法：
  暗号文を含む多数のウェブリクエストを送信（エラー応答を解読）
- 影響：
  最悪の場合、攻撃者は充分な情報をユーザのウェブサーバから獲得し、暗号化されたデータを読み取ったり、それに手を加えたりすることができる。
詳細：
2002年のクリプトグラフィ会議で、あるセキュリティ研究家がpadding oracle attackという"サイドチャネル攻撃"を紹介した。それは、攻撃者が暗号キーを知らない状態でCipher Block Chaining or CBC-mode暗号を解読できるようにするものである。技術詳細を語らずに説明すると、ブロック暗号はCBCのように、全メッセージが同じ数のブロックと共に送られてこなければならない（8バイト倍数）のだが、暗号化したテキスト形式のメッセージの長さはそれぞれであり、特別にサイズされた境界線にぴったりとフィットせず、それを越える場合がある。結果として、暗号アルゴリズムは、使っていない余分な部分をパディングで埋めなければならなくなる。暗号値が正確にパディングされているかどうかを調べるためには、暗号機能がpadding oracleを使う。2002年の会議でこれを紹介したセキュリティ研究家は、不適切にパディングされたメッセージをいくつもサーバに送信することでpadding oracleから戻されたエラー・メッセージの意味を取り、情報を収集していく上で、いずれは暗号キーを持たずにサーバの暗号化されたコンテンツを解読できることを発見した。また、その研究家は、この種の脆弱性を利用するために使えるPadding Oracle Exploit Tool (POET)というツールもリリースしている。最近では、アルゼンチンで開かれたEkopartyセキュリティ会議で2人のセキュリティ研究家がMicrosoft ASP.NETが、このpadding oracle attackの影響を受けていると報告した。この2人はASP.NETウェブ・アプリケーションに影響するユニバーサルpadding oracleの脆弱性を発見したという。2人よると、攻撃者はこの欠陥を悪用してクッキーやビューステート、フォーム認証チケットやメンバーシップ・パスワード、ユーザデータ、そしてASP.NET frameworkのAPIで暗号化したものであれば何でも解読できるという。そしてその結果、マイクロソフトは、この問題を修正するセキュリティ・アップデートを定例外でリリースするに至った。マイクロソフトの定例外セキュリティアドバイザリによると、ASP.NETコンポーネントに搭載されている.NET Frameworkは、先に説明したような padding oracle欠陥による情報開示の脆弱性の影響を受けているという。攻撃者は暗号文を含むウェブリクエストを脆弱なASP.NETウェブサーバに繰り返し送信することで、そのウェブサーバが送り返すエラー・メッセージを読み取っていき、そのうちに充分な情報を獲得し暗号化したデータの情報を読み取ったり、それに手を加えることができるようになる。これにより、攻撃者はユーザのウェブサーバから、かなりの量の機密情報にアクセスすることができるようになる。また、この情報開示を利用して攻撃者がサーバへの完全アクセス権を獲得できる方法をデモで示した例もある（注：ビデオ音声あり）。研究家達は、この脆弱性を利用するためのツールをリリースしたり、その方法を示す例を公開したりしている。更に、マイクロソフトは攻撃者がこの欠陥を一般の環境下で利用している証拠も目にしているという。このため、.NET Frameworkを使用しているウェブサーバを持っている場合は、至急アップデートすることを強くすすめる。 この問題の技術詳細については、このアラートの「参考資料」にあるリンクから情報を入手できる。
対策： マイクロソフトは、この脆弱性を修正する.NET Frameworkのアップデートをリリースしている。.NET Frameworkを使うウェブサーバを管理している場合は、状況に適したアップデートを至急ダウンロードしテストしてから導入することをすすめる。

日本語版をインストールするには「Change Language」のドロップダウンメニューから「Japanese」を選択すること。

Windows XP Service Pack 3

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241)

Microsoft .NET Framework 3.5 (KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows XP Professional x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241)

Microsoft .NET Framework 3.5 (KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416451)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241)

Microsoft .NET Framework 3.5 (KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241)

Microsoft .NET Framework 3.5 (KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2003 with SP2 for Itanium-based Systems

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2418241)

Microsoft .NET Framework 3.5 (KB2416468)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Vista Service Pack 1

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Vista Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470)

Microsoft .NET Framework 3.5 (KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Vista x64 Edition Service Pack 1

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470)

Microsoft .NET Framework 3.5 (KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2008

Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5** (KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2** (KB2416474)

Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473)

Microsoft .NET Framework 4.0** (KB2416472)

Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2** (KB2416470)

Microsoft .NET Framework 3.5** (KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473)

Microsoft .NET Framework 4.0** (KB2416472)

Windows Server 2008 for x64-based Systems

Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5** (KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2** (KB2416474)

Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473)

Microsoft .NET Framework 4.0** (KB2416472)

Windows Server 2008 for x64-based Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1** (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2** (KB2416470)

Microsoft .NET Framework 3.5** (KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1** (KB2416473)

Microsoft .NET Framework 4.0** (KB2416472)

Windows Server 2008 for Itanium-based Systems

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 1 and Microsoft .NET Framework 3.5 (KB2416469)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416474)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2008 for Itanium-based Systems Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1 (KB2416447)

Microsoft .NET Framework 2.0 Service Pack 2 (KB2416470)

Microsoft .NET Framework 3.5 (KB2418240)

Microsoft .NET Framework 3.5 Service Pack 1 (KB2416473)

Microsoft .NET Framework 4.0 (KB2416472)

Windows 7 for 32-bit Systems

Microsoft .NET Framework 3.5.1 (KB2416471)

Microsoft .NET Framework 4.0 (KB2416472)

Windows 7 for x64-based Systems

Microsoft .NET Framework 3.5.1 (KB2416471)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2008 R2 for x64-based Systems

Microsoft .NET Framework 3.5.1 (KB2416471)

Microsoft .NET Framework 4.0 (KB2416472)

Windows Server 2008 R2 for Itanium-based Systems

Microsoft .NET Framework 3.5.1 (KB2416471)

Microsoft .NET Framework 4.0 (KB2416472)

**サーバコア・インストールへの影響はない。
ウォッチガード・ユーザへ： この攻撃は、ごく普通に見えるHTTPリクエストを利用するが、ユーザがウェブにアクセスできるようにするにはHTTPを許可しておかなければならないため、マイクロソフトのパッチを取り入れることが主な対策となる。
ステータス： マイクロソフトはこの脆弱性を修正するアップデートをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ：MS10-70（日本語）

マイクロソフトのセキュリティアドバイザリ

マイクロソフトのブログ記事1

マイクロソフトのブログ記事2

ASP.NETのOracle 攻撃について

Oracle 攻撃について

Ekoparty Paper の概要

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

早目にリリースされたAdobeのFlashアップデート、ゼロデイ脆弱性を修正 2010年9月21日

早目にリリースされたAdobeのFlashアップデート、ゼロデイ脆弱性を修正

Readerのアップデートは10月4日の週にリリース予定

危険度：高

2010年9月21日

概要：

脆弱性の影響を受けている製品：
Windows/Mac/Linux/SolarisのAdobe Flash Player 10.1.82.76 とそれ以前のバージョン、AndroidのFlash Player10.1.92.10 にも影響あり。

攻撃者による脆弱性の悪用方法：
有害なウェブサイトにユーザを誘導する。

影響：
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある。

対策：
Flash Player 10.1.85.3 (Andoroidには10.1.95.1) を至急インストールするか、Adobeのアップデート機能に任せること。

詳細：
AdobeのFlash PlayerはFlashというインタラクティブな動画を表示することができる。Secuniaの報告によると、Windowsユーザの99％がAdobe Flash Playerをインストールしているというので、おそらく君のユーザもFlash Playerを使っていることだろう。しかし米国時間の9月20日、Adobeは攻撃者達が一般の環境下で悪用しているFlash Playerの深刻なゼロデイ脆弱性を修正するアップデートについてセキュリティアドバイザリをリリースした。ライブセキュリティでは、このゼロデイ脆弱性について先週Wireで警告した。この脆弱性は、Windows/Mac/Linux/SolarisのFlash Player 10.1.82.76とそれ以前のバージョン、更にAndroidのFlash Player 10.1.92.10にも影響している。当初、Adobeはこの脆弱性のパッチを9月27日にリリースする予定でいたが、問題の危険性を考慮した上からか、早めにアップデートを公開している。 Adobeのセキュリティアドバイザリは、この深刻な脆弱性(CVE-2010-2884)の技術詳細については説明していないが、攻撃者はこの脆弱性を悪用してコンピュータをクラッシュさせる原因を作り、被害者のコンピュータでコードを実行、場合によってはそのコンピュータを完全に操作できるようになる可能性があると述べている。大方のFlash脆弱性と同様に攻撃者がこの欠陥を利用するには、まず有害なFlashコンテンツを埋め込んだウェブページにユーザを誘導しなければならない。現在、攻撃者達は一般の環境下でこのFlash脆弱性を悪用しているので、至急パッチを取り入れることが大切だ。また、Adobeは欠陥がReaderにも影響していると忠告しているが、そのパッチは10月4日の週にリリースする予定であるという。Adobeによると攻撃者はまだ一般の環境下でReaderバージョンの脆弱性を利用し始めていないという。Readerのアップデートが入手可能になり次第連絡する。

対策：
この脆弱性を修正するためにAdobeはWindows/Mac/Linux/SolarisのFlash Player 10.1.85.3と、AndoroidのFlash Player 10.1.95.1（Android Marketplaceに繋がる）をリリースしているので、状況に適したアップデートを至急ダウンロードして取り入れるか、Adobeのソフトウェア・アップデータ・プログラムに任せること。 Google Chromeユーザへの注意：
ChromeにはFlash Playerがブラウザに搭載されているので、Flashをアップグレードするだけではこの脆弱性を修正するのに充分ではない。ユーザがグーグル・クロームを使用している場合はChrome 6.0.472.62をダウンロードし、インストールする必要がある。 ウォッチガード・ユーザ： 攻撃者は特に問題がないように見せたHTTPトラフィックを使って欠陥を悪用するが、大方の管理者はHTTPトラフィックを許可している。ウォッチガードのHTTPプロキシを使ってFlashコンテンツをブロックすることもできるが、そうすることで問題のないFlashサイトが正常に機能しなくなるのでAdobeのアップデートをインストールすることが最善策だろう。 ステータス： Adobeは脆弱性を修正するパッチを公開している。

参考資料：

APSB10-22: Adobe Flash Player のセキュリティアドバイザリ

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

シスコの年に2回のパッチデー 2010年9月23日　

シスコの年に2回のパッチデー：　IOS にDoS 問題

危険度：高　

2010年9月23日　

概要：

脆弱性の影響を受けている製品：
シスコのIOSを使用している様々なデバイス

攻撃者による脆弱性の悪用方法：
攻撃方法は多々あるが、攻撃者が細工したネットワーク・パケットを送信する方法がよく見られる。

影響：
攻撃者は被害者のIOSデバイスをリロードさせ、これを何度も悪用してサービス拒否（DoS）の状態に追い込める。

対策：
シスコのIOSデバイスを管理している場合は、できる限り早急に状況に適したシスコのアップデートをダウンロードし、テストしてから取り入れること。

詳細：
シスコが毎年3月と9月の第四水曜日、つまり年に2回の割合でパッチをリリースするようにしてから1年以上が経つ。米国時間の9月22日は、そのシスコのパッチデーだったため、6件のセキュリティアドバイザリがリリースされた。そのうち5件は、シスコのインターネットワーク・オペレーティング・システム（IOS）ソフトウェアを実行しているデバイスに影響するセキュリティ問題について説明している。IOSは、ほとんどのシスコのルータやスイッチで使われているオペレーティング・システムだ。その他のアドバイザリはユニファイド・コミュニケーションズ・マネジャーの欠陥について説明している。シスコのIOSアドバイザリは、それぞれ技術的には異なるが、攻撃者がサービス拒否（DoS）攻撃で悪用できるという点ではどれも同じである。IOSアラートの完全リストについてはシスコのバンドル・アドバイザリ（2010年9月）を参照することをすすめる。

IOSアドバイザリ3つの概要は下記の通り： Cisco Document ID 112028:
NAT関連の DoS 脆弱性（3）シスコのネットワークアドレス変換（NAT）コンポーネントは、3つのDoS脆弱性の影響を受けている。さらに詳しく言うと、その3つの問題はIOS NATがSIP/H.323/H.225.0を変換する方法に関与している。問題は技術的には異なるが、その範囲と影響はほぼ同じである。細工したパケットを送信することで、未認証の攻撃者はこうした欠陥を悪用し、ユーザのIOSデバイスをリロードさせることができる。更に、Cisco IOSルータをインターネット・ゲートウェイとして使用している場合、攻撃者はこの脆弱性を繰り返し悪用し、被害者のネットワークをオフラインにさせることができる。

ベースCVSS スコア： 7.8 (重度10)

Cisco Document ID 112022:
IOS SIP DoS の脆弱性セッション確立プロトコル（SIP）は、多々あるボイス・オーバーIP（VoIP）が通信標準としてよく使っているものだが、IOSのSIPハンドリング・インプリメンテーションは未特定のDoS脆弱性3つの影響を受けている。細工したSIPメッセージをユーザのIOSデバイスに送信することで、攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードすることができる。シスコのIOSルータを使ってインターネットに接続している場合、攻撃者は脆弱性を繰り返し悪用してユーザのネットワークをオフラインにすることができる。この脆弱性は、SIPボイス・サービスを有効にしているIOSデバイスにのみ影響している。上記の欠陥によく似ているように聞こえるが、この欠陥はIOSのSIPコンポーネントにあり、上記の欠陥はIOSのNATコンポーネントに関係している。

アベレージCVSS スコア: 7.8

Cisco Document ID 112021:
IOS H.323 DoS の脆弱性 H.323は、音声・動画通信をパケットネットワーク上で移動させるために使う様々なプロトコルを規定するためのスタンダードだ。上記のSIP問題のように、IOSのH.323コンポーネントは未特定のDoS脆弱性の影響を受けている。細工したH.323パケットをユーザのIOSデバイスに送信することで、攻撃者はリモートからユーザのIOSデバイスでDoSを引き起こすことができる。

アベレージCVSS スコア: 7.8

残りのIOSアドバイザリもこれらと同等に危険性の高いDoS欠陥を修正している。シスコがリリースした9月の脆弱性の詳細については、このアラートの「参考資料」にある各リンクを参照するか、シスコのバンドル・セキュリティアドバイザリ（2010年9月）を参照にすることをすすめる。また、シスコのユニファイド・コミュニケーションズ・マネジャーを使用している場合は、DoS欠陥について説明しているシスコのアドバイザリもチェックするといいだろう。

対策：
シスコは脆弱性を修正するパッチをリリースしている。IOSソフトウェアを使用しているシスコ製品がある場合は、至急シスコのバンドル・セキュリティ・アドバイザリ（2010年9月分）にある「Software Versions and Fixes」と「Obtaining Fixed Software」を参照し、どのフィックスが自分のデバイスに必要なのか、そしてその入手先を調べること。下記のリンクからも必要な情報を参照できる。

ウォッチガード・ユーザ：
こうした脆弱性はユーザのルータに影響する可能性がある。通常、ルータはウォッチガード・ファイアウォールの前に設置するため、上記が主な対策となる。

ステータス：
シスコのフィックスが入手可能。

参考資料：

Cisco のバンドル・セキュリティ・アドバイザリ2010年9月

Cisco IOS NAT DoS の脆弱性

Cisco IOS IGMP3 DoS の脆弱性

Cisco IOS SIP DoS の脆弱性

Cisco IOS H.323 DoS の脆弱性

Cisco IOS SSL VPN DoS の脆弱性

Cisco Unified Communications Manager SIP DoS の脆弱性

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

Outlookの深刻なセキュリティ問題を修正するマイクロソフトのOfficeアップデート　2010年9月14日　

Outlookの深刻なセキュリティ問題を修正するマイクロソフトのOfficeアップデート

危険度：高

2010年9月14日　

概要：

脆弱性の影響を受けている製品：
Microsoft Office 2002/2003/2007に搭載されているバージョンのOutlook

攻撃者による脆弱性の悪用方法：
悪質に作成したメールを開かせたりプレビューさせたりするようにユーザを誘導する

影響：
攻撃者はコードを実行しユーザのWindowsコンピュータを完全に操作できるようになる可能性がある

対策：
状況に適したOfficeパッチを至急インストールするかWindowsの自動アップデート機能に任せること

詳細：
マイクロソフトは今月のパッチデーにおいてMicrosoft Office 2002/2003/2007に搭載されているバージョンのOutlookに見られる深刻なバッファオーバーフロー問題について説明したOfficeセキュリティアドバイザリをリリースした。Outlookは細工されたメールを処理できないため、ヒープ・バッファオーバーフローの脆弱性の影響を特に受けている。Outlookユーザが悪質なメールを開いたりプレビューで見たりした場合、攻撃者はユーザの特権を獲得した上で、そのコンピュータでコードを実行できるようになる。また、Windowsユーザの大方がそうであるように、ユーザにローカル管理者の特権が備わっていた場合、攻撃者はこの欠陥を利用してユーザのコンピュータを完全に操ることができるようになる。しかし幸いなことに、この欠陥はOnline ModeでExchangeサーバに接続しているOutlookクライアントにのみ影響しており、Cached Exchange ModeでExchangeサーバに接続しているOutlookクライアントには影響がないためOutlook 2003や2007の深刻な脆弱性問題を大幅に緩和させている。Outlook 2003や2007は工場出荷時の設定つまりデフォルトで、影響を受けていないCached Exchange ModeでExchangeサーバに接続するようになっているがOutlook 2002はCached Exchange Modeをサポートしていないため、この欠陥による大きなリスクを受けている。この深刻な脆弱性問題を避けるには、できる限り早急にOutlookをアップグレードすることをすすめる。Outlook 2002を使用している場合は至急アップデートすること。

対策：
マイクロソフトはこの深刻なOutlook問題を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。また、Windowsの自動アップデート機能に任せて必要なパッチをダウンロードしインストールする手段もある。 Outlook のアップデート：

Office XP (2002)

Office 2003

2007 Microsoft Office System

ウォッチガードユーザ：
攻撃者はごく普通に見せかけたメールを使ってこの欠陥を悪用する。主な対策は上記のパッチインストールすることだ。理論的には、脆弱性を標的とするメールを阻止するためにウォッチガードのインカミングSMTPプロキシを使うこともできるが、マイクロソフトや第三者の研究者は、攻撃者がこの欠陥を誘発させるためにどのようにメールを細工しているのか説明する情報を開示していないため、ウォッチガードのプロキシで対策を講じることができるのか定かではない。その詳細が分り次第連絡する。

ステータス：
マイクロソフトはこの問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリMS10-064

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

認証回避、DoS、コード実行を許可してしまうインターネット・インフォメーション・サービス（IIS）問題3件　2010年9月14日

認証回避、DoS、コード実行を許可してしまうインターネット・インフォメーション・サービス（IIS）問題3件

危険度：中

2010年9月14日

概要：
脆弱性の影響を受けている製品：
IIS 5.1/6.0/7.0 /7.5

攻撃者による脆弱性の悪用方法：
細工したHTTPリクエストやURLを送信する

影響：
最悪の場合、攻撃者はユーザのIISサーバを完全に操作できるようになる

対策：
マイクロソフトのIIS アップデートを至急インストールするか、Windowsの自動アップデート機能に任せること

詳細：
マイクロソフトのインターネット・インフォメーション・サービス（IIS）は、インターネットでもっともよく利用されているウェブサーバのひとつだ。Windowsのサーバ・バージョンには全てIISが搭載されているが、サービスの中には工場出荷時設定つまりデフォルトでスタートしないものもある。パッチデーにリリースしたセキュリティアドバイザリで、マイクロソフトはIISに影響している3つのセキュリティ問題について説明した。中でも悪質なのはFastCGIが有効になっているリクエストをIISが処理する方法に関与するバッファオーバーフローの脆弱性で、攻撃者は細工したHTTPリクエストをユーザのIISサーバに送信して脆弱性を悪用し、ユーザのIISサーバを完全に操れるようになる可能性がある。しかしFastCGIはIISサーバでデフォルト有効になっていないため、その危険性は聞こえほど悪くない。言い換えれば、この欠陥に対して脆弱なのは自分でこれを有効にしている場合に限る。その他2つの欠陥は、攻撃者がユーザのIISサーバをクラッシュさせるために利用するサービス拒否の問題と、認証を必要とするウェブリソースにアクセスするために攻撃者が使う認証回避の脆弱性だ。マイクロソフトはこれらを「重要」レベルと評価しているが、IISの管理者は至急IISアップデートをダウンロードし、テストしてからインストールすることをすすめる。

対策：
マイクロソフトはこの脆弱性を修正するIISアップデートをリリースしているので、IIS管理者はできる限り早急に状況に適したアップデートをダウロードしテストしてから導入するか、Windowsの自動アップデート機能に任せることをすすめる。

日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択すること。

ダウンロード先：

IIS 5.1 (XP)

IIS 6.0

Windows XP

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

IIS 7.0

Windows Vista

Windows Vista x64

Window Server 2008

Window Server 2008 x64

Window Server 2008 Itanium

IIS 7.5

Windows 7

Windows 7 x64

Window Server 2008 R2 x64

Window Server 2008 R2 Itanium

IIS FastCGI Update:

Windows 7

Windows 7 x64

Window Server 2008 R2 x64

Window Server 2008 R2 Itanium

IIS 5.1 Authentication Update (XP)

ウォッチガード・ユーザ：
ウォッチガードのHTTPサーバ・プロキシ・アクションは、ユーザがウェブ・サーバで許可するHTTPリクエストに関する事柄を管理できるようにし、特定のタイプの攻撃が成功しないようにプロキシを設定できる場合もある。しかしながらマイクロソフトも、欠陥を最初に発見した人物も、この欠陥の詳細情報を公開していないため、この場合においてウォッチガードのプロキシが役に立つかどうか定かではない。プロキシを対策に使えることを示す技術詳細が分かった場合にはアップデートで知らせるが、今の時点ではマイクロソフトのパッチをインストールすることが主な対策となる。

ステータス：
マイクロソフトはこの脆弱性を修正するアップデートをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリMS10-65

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

Windowsアップデートおよび脆弱性7件　2010年9月14日

Windowsアップデートおよび脆弱性7件
プリントスプーラ/MPEG-4 コーデック/RPCなどに影響

危険度：高

2010年9月14日

概要：

脆弱性の影響を受けている製品：
現バージョンのWindowsすべてとそれに搭載されているコンポーネント（Officeに影響している欠陥も1つあり）

攻撃者による脆弱性の悪用方法：
細工したネットワーク・パケットを送信したり、悪質なメディアや文書をユーザが開くように誘導するなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合には攻撃者がユーザのWindowsコンピュータを完全に操れるようになる

対策：
状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能に任せること

詳細：
米国時間の14日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響を及ぼしている7件の脆弱性について説明したセキュリティアドバイザリをリリースした。各脆弱性はWindowsのバージョン別に影響するレベルも異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる可能性がある。危険度の高い順にその概要を説明する。

MS10-061:
プリントスプーラのコード実行問題

プリントスプーラは印刷を管理するWindowsサービスだが、マイクロソフトによると、このプリントスプーラは、リモートユーザが印刷リクエストをするための適切な許可権を持っているか的確に確認できないという。攻撃者は細工したプリントリクエストを送信することで、このプリントスプーラの脆弱性を悪用し悪質なファイルをユーザのコンピュータに保存しようとする。Windowsは特定のロケーションに保存されたファイルを自動実行するため、悪質な実行ファイルをその場所に保存することで攻撃者はこの欠陥を悪用し、ユーザのWindowsを操作できるようになる。しかし、この問題に対して脆弱なのはプリンター共有しているコンピュータのみであるほか、大方の管理者はファイアウォールでプリント共有に必要なトラフィックを許可しないので（UDPおよびTCPポート135/137/138/445、TCPポート593）この欠陥は主に内部脅威である。

マイクロソフトの評価：深刻

MS10-062:
MPEG-4 コーデックのコード実行問題

MPEG Layer-4はコンピュータなどのデジタル・デバイスで再生するメディアを圧縮するために使うオーディオやビデオのエンコード形式だ。Windowsにはミュージックファイルやビデオファイル内にあるMPEG-4をデコードしたり再生したりするために使用する特別のコーデックが搭載されているのだが、このWindowsのMPEG-4コーデックは細工されたメディアファイルを処理できない点に関与している未特定のコード実行問題の影響を受けている。攻撃者は細工したメディア・ファイルをウェブサイトに埋め込んだりしてユーザがそれをダウンロードし再生するように誘導する。それに成功した攻撃者は脆弱性を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。また、ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全に操れるようになる。

マイクロソフトの評価：深刻

MS10-063:
ユニコード・スクリプト・プロセッサのメモリ破損問題

マイクロソフトによると、ユニコード・スクリプト・プロセッサ(USP10.DLL)はAPIコレクションで、複雑なスクリプトを形式化するテキスト・レイアウト・クライアントだが、OpenTypeフォントを含む細工済み文書を処理する方法に関与するメモリ破損問題の影響を受けているという。攻撃者は、ユーザがその悪質な文書をダウンロードし、ユニコード・スクリプト・プロセッサAPIを使うアプリケーション内でそれを開くように誘導すると欠陥を悪用し、ユーザの特権を獲得した上でそのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全に操れるようになる。また、マイクロソフト以外の第三者のアプリケーションもユニコード・スクリプト・プロセッサを使用できるので、その点にも注意が必要だ。

注意：ユニコード・スクリプト・プロセッサもOfficeに搭載されているのでOfficeにもパッチをインストールする必要がある。

マイクロソフトの評価：深刻

MS10-066:
RPC メモリ破損問題

リモート・プロシージャ・コール（RPC）は、ネットワークにある1台のコンピュータが別のコンピュータでタスクを実行し、そのタスクの結果を受け取れるようにするためにWindowsが使うプロトコルだ。しかしWindows RPCクライアントは、細工されたRPCリクエストを処理できない点に関与する未特定のメモリ破損問題の影響を受けている。攻撃者はRPCリクエストに細工した応答を返すことで脆弱性を悪用し、ユーザのWindowsを完全に操作できるようになる。とはいっても、攻撃者はまず悪質なコンピュータにRPCリクエストを送るようにユーザを誘導しなければならないほか、大方の管理者はファイアウォールでRPCトラフィックを許可していないので、この欠陥は主に内部脅威である。更に、この欠陥の影響を受けているのはXPとServer 2003 のみである。

マイクロソフトの評価：重要

MS10-067:
ワードパッド・テキスト変換のメモリ破損問題

ワードパッドはWindowsに搭載されている基本的なワードプロセッサ・プログラムおよびテキスト編集機能を持つものだが、OfficeやWordがなくても、様々なワード文書を開けるようにするテキスト変換コンポーネントもある。しかし残念ながらワードパッドのテキスト変換機能は、細工されたWord 97文書を処理できない点に関与する未特定のメモリ破損問題の影響を受けている。攻撃者は悪質な文書をユーザがダウンロードするように誘導し、それをワードパッドで開かせるように仕向けて欠陥を悪用し、ユーザの特権を獲得した上でそのコンピュータでコードを実行できるようになる。また、ユーザに管理者の特権があった場合、攻撃者はユーザのPCを完全に操れるようになる。この欠陥の影響を受けているのはXPおよびServer 2003 のみである。

マイクロソフトの評価：重要

MS10-068:
LSASS バッファオーバーフロー問題

ローカルセキュリティ・オーソリティ・サブシステム・サービス（LSASS)は、Windowsのセキュリティ・ポリシーと認証タスクを処理するWindowsコンポーネントだ。しかし、そのLSASSは、細工された不正形式のLDAPメッセージを処理する際に起因するヒープ・バッファオーバーフローの脆弱性の影響を受けている。認証済みの攻撃者は細工済みの悪質なLDAPメッセージを送信し、欠陥を悪用して特権昇格を行うとユーザのコンピュータを完全に操作できるようになる。勿論、攻撃者がこの脆弱性を悪用するにはユーザのアクティブ・ディレクトリ・サーバへの有効なクレデンシャルが必要となるので、この問題は主に内部脅威であるといえる。

マイクロソフトの評価：重要

MS10-069:
CSRSS ローカル特権昇格問題

クライアント/サーバ・ランタイム・サブシステム（CSRSS）は、コンソール・ウィンドウとスレッドの作成・削除に関与するWindowsの不可欠なコンポーネントだが、中国、日本、韓国のシステムロケールで設定されたWindowsシステムでは、特定のユーザトランザクションを処理する場合にメモリを適切に割り当てることができない。認証済みの攻撃者は、特別に細工したプログラムを実行することで欠陥を利用し、権限昇格を行ってWindowsを完全に操れるようになる。しかし攻撃者がこの欠陥を悪用するには、まず有効なクレデンシャルを使って（ゲストアクセスでも可）Windowsコンピュータにローカル・アクセスしなければならないほか、この欠陥が影響しているのは中国、日本、韓国のシステムロケールをインストールしているWindowsシステムのみである。更に、この影響を受けているのはXPとServer 2003のみである。

マイクロソフトの評価：重要

対策： マイクロソフトはこうした脆弱性をすべて修正するWindowsのパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてからネットワーク全体に導入することをすすめる。また、Windowsの自動アップデート機能に任せ、必要なパッチをインストールする方法もある。

日本語版をインストールするには「Change Language」のドロップダウン・メニューで「Japanese」を選択すること。 MS10-061:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-062:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2) *

Windows Server 2008 x64 (w/SP2) *

* 注意：Windows Server 2008の管理者でServer Coreインストールオプションを使用した場合は、この欠陥の影響はない。 MS10-063:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Office XP

Office 2003

Office 2007

MS10-066:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

注意：他のバージョンのWindowsには影響なし

MS10-067:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

注意：他のバージョンのWindowsには影響なし MS10-068:

Windows XP

Windows XP x64

Windows Server 2003

Active Directory

Active Directory Application Mode (ADAM)

Windows Server 2003 x64

Active Directory

Active Directory Application Mode (ADAM

Windows Server 2003 Itanium

Windows Vista (w/SP2)

Windows Vista x64 (w/SP2)

Windows Server 2008

Windows Server 2008 x64

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

MS10-069:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

注意：他のバージョンのWindowsには影響なし

ウォッチガード・ユーザ：
攻撃者は様々な方法を使ってこうした欠陥を悪用することができる。適切に設定されているファイアウォールは、いくつかの問題によるリスクを幾分緩和できる。実際Fireboxは主にSMB関連の脆弱性など、ネットワーク・アクセスを必要とする大方のマイクロソフトの欠陥を阻止することができるほか、攻撃に使われるファイルの種類（.DOC .MP4など）を阻止するようにFireboxを設定することもできる。とはいっても、Fireboxでローカル攻撃からネットワークを守ったり、通常のHTTPトラフィックを利用した攻撃を阻止したりすることはできないので、マイクロソフトのアップデートをインストールすることがもっとも安全な対策だといえる。

ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ一覧

これはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査されかかれた記事です。
続きを読む»

拡大している模様のEメールワームが話題に　2010年9月10日

拡大している模様のEメールワームが話題に
偽造・悪質なPDFやWMVリンクを含む「Here you have」メール

危険度：中

2 010年9月10日

ウィルス/ワームの概要：

避けるべき件名：
・「Here you have,」
・「Just for you,」
・「This is the Free Dowload (sic) Sex Movies, you can find it Here」

悪質なメールの添付ファイルタイプ：
メールにはPDFやWMVファイルにつながると見せかけたリンクが貼られているが、実際にはそのリンクは悪質な.SCRファイルにリンクされている。

蔓延の仕方：
ユーザのメール連絡先からネットワークシェアに広まり、様々なマルウェアでユーザのコンピュータを感染させ、情報を盗む可能性がある。

対策：
使用中のウィルス対策ソフトを最新のものにし、ゲートウェイで.SCRファイルをブロックすること（詳細については下記を参照）。

ウィルスについて：
米国時間の9月9日にウィルス対策（AV）ベンダの数社は主に「VBMania」と呼ばれる新しい大量メール送信型のメールワームについて報告を受け始めた。メールの件名は「Here you have.」などいくつもある。そして9月10日、メディアはこれを大きく取り上げ、[ 1 / 2 / 3 ]このワームは世界中でアウトブレイクしておりメールの受信箱に殺到していると報告した。

攻撃者は（ボットネットのごとく）スパミング技術を使って悪質なメールを強引に撒き散らしたことに疑いの余地はないが、我々の受信箱にはいまだそうしたメールは届いていない。有名な企業がこの影響を受けたという報告も出ているが、過去のNimbaのように蔓延したワームほど広まっているようには見えない。実際に大方のウィルス対策企業は、このワームの危険性のレベルを「中」と評価している。このワームのことをユーザに知らせるべきではあるが、大騒ぎするほどの理由は見られない。残念なことにAVベンダはワームの名称に一貫性を保っていないため、ワームの状況を監視しにくい。大方、メディアはこれを「Here you have」ワームと呼んでいるが、AVベンダらは次の名称を使っている：

Email-Worm.Win32.VBMania.a (カペルスキー)

W32/VBMania@MM (マカフィー)

W32.Imsolk.B@mm (シマンテック)

Gen:Trojan.Heur.rm0@fnBStPoi (エフセキュア)

W32/Autorun-BHO (ソフォス)

WORM_MEYLME.B (トレンドマイクロ)
簡潔にするため、ここではこのワームを「VBMania」と呼ぶことにする。

目立った特徴：
メディアはこの新しいワームを大きく取り上げたが、通常のメールワームに比べて蔓延を速める新技術を使っているようには見えない。それどころか、過去に使われた悪質なメールの技術を使っているようで、2000年や2001年に蔓延した「ILoveYou」や「Anna Kournikova」ワームに似ているという報告もある。VBManiaの目立った特徴は次の通りだ。 VBManiaに使われているメールの件名の例：
・ Here you have

・ Just for you

・ This is The Free Dowload Sex Movies,you can find it Here.

悪質なSCRファイルの例：
ワームの本文には文書やムービーを説明する文章があり、PDFやWMVファイルにつながると見られるリンクが貼られているが、ユーザがそのリンクをクリックしてしまうと、ワームは悪質な.SCRスクリーンセーバー・ファイルをユーザがダウンロードするように仕向けるようになっている。悪質なSCRファイルの例は次の通り:
・ PDF_Document21_025542010_pdf.scr

ユーザが悪質な.SCRファイルを実行すると：
・ WindowsディレクトリにCSRSS.EXEとしてワームをコピーする（Windowsのシステム・ディレクトリにある本物のCSRSS.EXEとは異なる点に注意）。そして、次回の再起動後にワームが活動できるよう、それをレジストリ・エントリに追加する。

・ユーザのメール連絡先にある宛先やユーザのIMの友人達にワームを送信する。

・マップ済みドライブや取り外せるUSBメディアにワームを送信する（AUTORUNトリックも使用）。

・人気のセキュリティ・アプライアンスをいくつも無効にすることで、ユーザのコンピュータのセキュリティ・レベルを低下させようとする。

・様々なマルウェアをダウンロードし、インストールする（おそらくボットネット・トロイの木馬を含む）

・機密情報を盗む（ウェブ・ブラウザからパスワードも盗める）

VBManiaは、これまでにない仕掛けは特に使っていない。受信箱でこれを見分け、避けることに特に問題はないはずだが、攻撃者はこのワームを非常に強引にスパミングしているようなので、ユーザの一人がうっかり悪質なファイルを実行してしまうと、ネットワークに大きなダメージを与える可能性がある。このため、この新しいメール・ワームについてユーザに連絡し、ユーザがそれを避けるように促すこと。しかし、メディアが大きく取り上げたからといって、この新たな脅威を必要以上に懸念する必要はない。

対策：
・いつものように、予期していない添付ファイルは決して開かないようにすることをユーザに忠告すること。また、予期していないウェブリンクはその送信者が誰であろうとクリックしない点についても注意しよう。最近のウィルスは「差出人」を偽造してユーザの友人や同僚、または信頼できる第三者からであると偽ることもできるので、それについても注意が必要だ。
・主なウィルス対策ベンダは、このワームを検出できるシグネチャをすでに用意しているので、利用しているベンダの最新アップデートの状況を確認すること。

・新しいSecurityWise モジュールをダウンロードし、サイバー犯罪の時代において注意したいメールの安全性について説明すること。このリソースはライブセキュリティのユーザには無料で提供している。

・ XTMアプライアンスを所有している場合は次のステップを参照することをすすめる。SMTPやPOP3プロキシの利用が役に立つ。

XTM ユーザ:
WatchGuard XTMアプライアンスを管理している場合は、様々な方法でネットワークを保護できる：
・ spamBlocker（UTMセキュリティバンドルの一部）を使用している場合は、このワームが送信するメールをブロックすることができるだろう。

・ Gateway Antivirus（UTMセキュリティバンドルの一部）を使用している場合は、シグネチャを使ってこのウィルスをブロックできる。

・ RED （UTMセキュリティバンドルの一部）を使用している場合は、悪質な.SCRファイルに使っているVBMania URLをブロックできる。

・ HTTPプロキシ・ポリシーを使ってユーザが.SCRファイルをダウンロードしないようにすることもできる。

XCS ユーザ:
WatchGuard XCSアプライアンスを管理している場合は、様々な方法でネットワークを保護できる：
・ XCSのスパム対策機能で、このワームが送信してくるメールを簡単にブロックすることができる。

・ XCSでカペルスキーのウィルス対策ソリューションを使用している場合はVBManiaを「Email-Worm.Win32.VBMania.a」としてこのワームを検出し、ブロックできる。

REDを使用しているXCSは.SCRファイルに使っているVBMania URLをブロックできる。

参考資料:
・マカフィーのブログ記事

・ソフォスのブログ記事

・ CNET の記事

・ ZDNet の記事

・ ITPro の記事

・ Email-Worm.Win32.VBMania.a (Kaspersky)

・ W32/VBMania@MM (McAfee)

・ W32.Imsolk.B@mm (Symantec)

・ W32/Autorun-BHO (Sophos)

・ WORM_MEYLME.B (TrendMicro)

このアラートはコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査され書かれた記事です。
続きを読む»

Windowsのセキュリティアドバイザリ11件、23のセキュリティ脆弱性を修正 2010年8月10日

Windowsのセキュリティアドバイザリ11件、23のセキュリティ脆弱性を修正

対象：SMB サーバ/ XML コアサービス/ カーネルなど

危険度: 高

2010年8月10日

概要:

対象:
現バージョンのWindowsとそれに搭載されているコンポーネント（Microsoft Silverlightに影響する欠陥も1つあり）

攻撃方法:
細工したネットワーク・パケットを送信したり、有害なメディアをユーザが開くように誘導したりするなど、攻撃方法は多々ある

影響:
結果は様々だが最悪の場合は、攻撃者がユーザのWindowsコンピュータを完全にコントロールできるようになる　

対策:
マイクロソフトのパッチを至急導入するか、Widowsの自動アップデート機能に任せること

詳細:

米国時間の8月10日、マイクロソフトは11件のセキュリティアドバイザリをリリースし、Windowsとそれに搭載されているコンポーネントに影響を与えている23件のセキュリティ脆弱性について説明した。問題の脆弱性の影響力はWindowsのバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる可能性がある。次の概要では危険性の高いものから順にリストに挙げた。

MS10-054: SMB サーバの脆弱性（3）

マイクロソフトのServer Message Block (SMB) は、ファイルやプリントシェアにWindowsが使うプロトコルだ。マイクロソフトによると、Windows SMBサーバは3つのセキュリティ脆弱性の影響を受けており、そのうち1つは攻撃者が悪質なコードを実行できるようにしてしまうという。これら欠陥は技術面では異なるが、攻撃者は同じ方法で悪用することができる。攻撃者は、特別に細工したネットワーク・メッセージをユーザに送信し、中でも悪質な欠陥を悪用して脆弱なWindowsコンピュータを完全にコントロールできるようになる。また、その他2つのSMBサーバ欠陥はサービス拒否（DoS）状態に追い込むことができる。通常、攻撃者はローカル・ネットワーク内でマルウェアを自動的に蔓延させるために、この種のSMBサーバ脆弱性を利用する。このアップデートを早急に導入することをすすめる。

マイクロソフトの評価：深刻

MS10-049: SChannel コード実行の脆弱性

Secure Channel (SChannel)は、Secure Sckets Layer（SSL）やTransport Layer Security（TLS）認証プロトコルを実施するWindowsのセキュリティ・パッケージだ。しかし、8月10日付けのセキュリティ・アドバイザリによるとSChannelは2つのセキュリティ脆弱性の影響を受けているという。攻撃者は細工したウェブサイトにユーザを誘導し、2つのうちでも悪質な欠陥を悪用してシステム特権を完全に獲得した上でコードを実行、ユーザのコンピュータを完全にコントロールできるようになる可能性がある。このアップデートはセキュアな接続状態において攻撃者達が中間者攻撃 (MitM)に利用するTLS/SSL renegotiationの脆弱性も修正している。

マイクロソフトの評価：深刻

MS10-051: XML Core サービスのコード実行の脆弱性

Microsoft XML (MSXML) Core サービスはXMLコンテンツを処理するWindowsのコンポーネントだが、細工された悪質なHTTPリスポンス処理に関与するメモリ破損の脆弱性の影響を受けている。攻撃者はユーザを有害なウェブサイトに誘導し、欠陥を悪用してユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全にコントロールできるようになる。

マイクロソフトの評価：深刻

MS10-052: MP3 コーデックのバッファ・オーバーフロー脆弱性

MPEG Layer-3はMP3として知られているオーディオ・エンコーディング形式で、コンピュータなどのデジタル機器でオーディオを再生する場合の圧縮方法だ。WindowsにはミュージックファイルやビデオファイルのMP3オーディオを復号し再生する特別なコーデックが搭載されている。しかしWindowsのMP3コーデックは、細工されたオーディオファイルを適切に処理できないため、バッファ・オーバーフロー問題の影響を受けている。攻撃者は、細工済みのオーディオファイルをユーザがダウンロードし、それを再生するように誘導すると、脆弱性を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者は、そのユーザのPCを完全にコントロールできるようになる。ちなみに、この欠陥はWindows XPとServer 2003 にのみ影響している。

マイクロソフトの評価：深刻

MS10-055: Cinepak コーデックのコード実行問題

Cinepakは、メディアのエンコーディングおよびデコーディングを可能にするコーデックで、コンピュータなどのデジタル機器でビデオを再生するためのビデオ圧縮に使う。コーデックを使ってエンコードされたビデオファイルを処理するため、CinepakコーデックはWindowsに搭載されている。しかし、WindowsのCinepakコーデックは細工されたビデオファイルを適切に処理できないため、未特定の脆弱性の影響を受けている。悪質なビデオファイルをダウンロードし、それを再生するようにユーザを誘導すると、攻撃者はこの脆弱性を悪用してユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。ユーザに管理者の特権があった場合、攻撃者はそのユーザのPCを完全にコントロールできるようになる。ちなみに、この欠陥の影響を受けているのはWindowsのクライアント・バージョンのみである（XP/Vista/7）。

マイクロソフトの評価：深刻

MS10-060: Microsoft .NET Framework とSilverlightでコード実行の脆弱性

マイクロソフトのSilverlightと.NET Frameworkは、内容豊富なウェブ・アプリケーションを作成するために開発者達の役に立つ2つのオプションのWindowsコンポーネントだ。このコンポーネントは初めからWindowsには搭載されているものではないが、多くのユーザがインストールしている。しかし、どちらのコンポーネントもコード実行の脆弱性の影響を受けており、技術面では異なるが、攻撃者は同じ方法で悪用することができ、その結果も大体のところ同じである。細工したウェブ・アプリケーションを忍ばせたウェブサイトにユーザを誘導すると、攻撃者は欠陥を悪用してユーザの特権を獲得し、そのコンピュータでコードを実行できるようになる。通常通りユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。

マイクロソフトの評価：深刻

MS10-047 & MS10-048: 複数のWindows カーネルの権限昇格とDosの脆弱性（複数）

カーネルはコンピュータのオペレーティング・システムのコア・コンポーネントだ。Windowsにはカーネルレベル・デバイスを処理するカーネルモードのデバイス・ドライバ(win32k.sys)も搭載されている。Windowsカーネルとこのカーネルモード・ドライバは、複数のサービス拒否（DoS）と権限昇格の影響を受けている。どの欠陥も技術面では異なるが、その大方の範囲と影響は同じである。細工したプログラムを実行することで、攻撃者は欠陥を利用しユーザのコンピュータをロックしたり、そのWindowsを完全に操作できるようになる。しかし、攻撃者はまず有効なクレデンシャルを使ってユーザのWindowsでローカル・アクセスをしなければならないため、そのリスクは大幅に緩和される。

マイクロソフトの評価：重要

MS10-050: Windows Movie Maker メモリ破損の脆弱性

Windows Movie Makerは、Windowsで無料入手できるビデオ・キャプチャーや編集用のアプリケーションだ。ムービーメーカーはWindows XPや2000など旧バージョンのWindowsに搭載されていたが、最新のWindowsバージョン(Windows Vista や7)のインストールディスクには入っていない。その代わりにWindows Live Essentialsパッケージの一部として、無料でダウンロードできるオプションが提供されている。つまり、Windows XPを使用しているならばWindowsムービーメーカーを持っていることだろう。逆にWidows Vistaや7を使っている場合は、意図的にLive Essentialsパッケージでダウンロードしインストールした場合にのみ所持していることだろう。ムービーメーカーは、細工されたプロジェクト・ファイルを適切に解析できないため、メモリ破損の脆弱性の影響を受けている。攻撃者が細工したプロジェクト・ファイルをユーザがダウンロードし、ムービーメーカーやProducerでそのファイルを開いた場合、攻撃者はその欠陥を悪用し、そのユーザの特権を獲得した上でそのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全にコントロールできるようになる。ちなみに、この欠陥はWindows 7バージョンのムービーメーカーには影響しない。

マイクロソフトの評価：重要

MS10-058: Windows TCP/IP の脆弱性（複数）

多くのWindowsバージョンに搭載されているTCP/IPスタックは、権限昇格（EoP）やサービス拒否（DoS）の影響を受けている。細工したIPv6パケットを送信することで、攻撃者はDoS欠陥を利用し被害者のWindowsシステムが反応しないようにすることができる。しかしEoP脆弱性を悪用するのは、いくらか困難ではある。この欠陥を悪用するには、まず有効なWindowsクレデンシャルで影響を受けているシステムにログインし、細工したプログラムをローカル・コンピュータで実行しなければならない。しかし攻撃者がそれに成功すると、ログインに使ったユーザの特権にかかわらず、そのコンピュータを完全にコントロールできるようになる。

マイクロソフトの評価：重要

MS10-059: サービスのトレース機能の権限昇格の脆弱性

Windowsにはサービスのトレース機能というコンポーネントが搭載されている。このコンポーネントは、技術的には異なるが、その範囲と影響は同じ2つの脆弱性の影響を受けている。攻撃者が有効なWindowsクレデンシャルで影響を受けているWindowsシステムでログインした場合、攻撃者はログインした際のユーザの特権にかかわらず、細工したプログラムを実行し、それを完全にコントロールできるようになる。

マイクロソフトの評価：重要

対策： マイクロソフトは、こうした脆弱性をすべて修正できるパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。また、Windowsの自動アップデート機能に任せて必要なパッチをダウンロードしインストールする方法もある。

日本語版をダウンロードするには「Change Language」で「Japanese」を選択：
MS10-054:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2) *

Windows Server 2008 x64 (w/SP2) *

Windows Server 2008 Itanium (w/SP2) *

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

*　注意：Server Coreインストール・オプションを使ってインストールしたWindows Server 2008 の管理者への影響はない。

MS10-049:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2) *

Windows Server 2008 x64 (w/SP2) *

Windows Server 2008 Itanium (w/SP2) *

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

*　注意：Server Coreインストール・オプションを使ってインストールしたWindows Server 2008 の管理者への影響はない。

MS10-051: Microsoft XML Core Services 3.0:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-052:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

注意：他のWindowsバージョンへの影響はない。

MS10-055:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows 7

Windows 7 x64

注意：他のWindowsバージョンへの影響はない

MS10-060:

Windows XP

Microsoft .NET Framework 2.0 (w/SP1 or SP2)

Microsoft .NET Framework 3.5

Windows XP x64

Microsoft .NET Framework 2.0 (w/SP1 or SP2)

Microsoft .NET Framework 3.5

Windows Server 2003

Microsoft .NET Framework 2.0 (w/SP1 or SP2)

Microsoft .NET Framework 3.5

Windows Server 2003 x64

Microsoft .NET Framework 2.0 (w/SP1 or SP2)

Microsoft .NET Framework 3.5

Windows Server 2003 Itanium

Microsoft .NET Framework 2.0 (w/SP1 or SP2)

Microsoft .NET Framework 3.5

Windows Vista (w/SP1)

Microsoft .NET Framework 2.0 (w/SP1) or 3.5

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Vista (w/SP1)

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Vista x64 (w/SP1)

Microsoft .NET Framework 2.0 (w/SP1) or 3.5

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Vista x64 (w/SP2)

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008

Microsoft .NET Framework 2.0 (w/SP1) or 3.5

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008 (w/SP2)

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008 x64

Microsoft .NET Framework 2.0 (w/SP1) or 3.5

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008 x64 (w/SP2)

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008 Itanium

Microsoft .NET Framework 2.0 (w/SP1) or 3.5

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows Server 2008 Itanium(w/SP2)

Microsoft .NET Framework 2.0 (w/SP2) or 3.5 (w/SP1)

Windows 7

Microsoft .NET Framework 3.5.1

Windows 7 x64

Microsoft .NET Framework 3.5.1

Windows Server 2008 R2 x64

Microsoft .NET Framework 3.5.1

Windows Server 2008 R2 Itanium

Microsoft .NET Framework 3.5.1

Silverlight 2

Mac

Windows clients

Windows Servers

Silverlight 3

Mac

Windows clients

Windows Servers

MS10-047:

Windows XP (w/SP3)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

注意：他のWindowsバージョンへの影響はない。

MS10-048:

Windows XP (w/SP3)

Windows XP x64 (w/SP2)

Windows Server 2003 (w/SP2)

Windows Server 2003 x64 (w/SP2)

Windows Server 2003 Itanium (w/SP2)

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-050: ムービーメーカー:

Windows XP

Movie Maker 2.1

Windows XP x64

Movie Maker 2.1

Windows Vista

Movie Maker 6.0

Movie Maker 2.6

Windows Vista x64 Edition

Movie Maker 6.0

Movie Maker 2.6

MS10-058:

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

注意：他のWindowsバージョンへの影響はない。

MS10-059:

Windows Vista (w/SP1 or SP2)

Windows Vista x64 (w/SP1 or SP2)

Windows Server 2008 (w/SP2)

Windows Server 2008 x64 (w/SP2)

Windows Server 2008 Itanium (w/SP2)

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

注意：他のWindowsバージョンへの影響はない。

ウォッチガードユーザへ:
攻撃者は様々な方法を使い、こうした欠陥を悪用する。適切に設定されたファイアウォールは、こうした問題のいくつかのリスクを緩和させることが可能。実際にFireboxはデフォルトで（特にSMB関連の脆弱性など）ネットワーク・アクセスを必要とするマイクロソフトの欠陥を大方阻止するようになっている。また、こうした攻撃に必要なファイル種類を（.AVI/.MP3ファイルなど)ネットワークから遮断するようにFireboxを設定することもできる。とはいっても、Fireboxがローカル攻撃からネットワークを保護することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできない。このため、マイクロソフトのアップデートをインストールすることが、もっとも安全な対策といえるだろう。

ステータス:
マイクロソフトはこの問題を修正するパッチをリリースしている。

参考資料:

マイクロソフトのセキュリティ情報（一覧）　

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

AdobeのパッチデーにFlashとColdFusionのセキュリティアップデート 2010年8月11日

AdobeのパッチデーにFlashとColdFusionのセキュリティアップデート

Readerの緊急アップデートは今月末予定

2010年8月11日

概要:

対象:
Windows、Mac、UNIXで使用しているAdobe Flash Player/Flash Media Server/ColdFusion

攻撃方法:
有害なウェブサイトにユーザを誘導したり、ウェブサーバに悪質なリクエストを送信するなど、攻撃方法はいくつかある

影響:
影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータやサーバでコードを実行し、それを完全に操作できるようになる可能性がある

対策:
Adobeのアップデートをできる限り早急にインストールするか、AdobeのUpdaterに任せること

詳細:
米国時間の8月10日、Adobeは全プラットフォームで使われているFlash PlayerやFlash Media Server、ColdFusionなど、様々なAdobe製品に影響を与えている11件のセキュリティ脆弱性に関するアドバイザリ3件をリリースした（数字はCVEによる）。その多くが深刻な問題として取り上げられている。アドバイザリの概要は次の通り。

APSB10-16: Adobe Flash Playerセキュリティアップデート

影響を受けている製品:
‐Adobe Flash Player 10.1.53.64
‐Adobe AIR 2.0.2.12610 （およびそれ以前のバージョンも含む）

全プラットフォーム（Win/Mac/Linux/Solaris）

AdobeのFlash PlayerはFlashというインタラクティブな動画コンテンツをウェブで表示することができる。最近のSecunia統計によると、99％のWindowsコンピュータにはAdobe Flash Playerがインストールされているというので、おそらく君のユーザ達のコンピュータにも入っていることだろう。Adobeのアップデートは、Flash Playerで発見されたセキュリティ脆弱性6件を修正しているが、その技術詳細は明らかではないが、その大体の範囲と影響については説明されている。ユーザを有害なウェブサイトに誘導することに成功すると、最悪の場合、攻撃者はその脆弱性のいずれかを悪用してユーザのコンピュータを操作できるようになる。攻撃者が獲得する特権はログインしているユーザのものだけだろうと我々は推測しているが、大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者がWindowsコンピュータを完全に操作できるようになる確率は高い。

評価：深刻

APSB10-19: Adobe Flash Media Server セキュリティアップデート

影響を受けている製品:
‐Adobe Flash Media Server (FMS) 3.5.3/3.0.5/それ以前のバージョン

プラットフォーム： Windows/Linux

AdobeのFlash Media Serverは、ウェブでFlashメディアをストリームするのに役立つようにデザインされた製品だ。しかしAdobeによると、それは未特定のセキュリティ脆弱性4件の影響を受けており、そのうち3件はサービス拒否状態に追い込むことができるという。もう1件は、リモート攻撃者がユーザのFlash Media Serverでコードを実行できるように許可してしまうというものである。残念なことに、Adobeは攻撃者がそうした脆弱性をどのように悪用するのか、その詳細については説明していない。攻撃者は、おそらく何らかの細工したリクエストをFlash Media Serverに送信するのだろうと、我々は推測している。また、攻撃者がそのコードをどのレベルの特権で実行するのかについてもAdobeは説明していないが、その評価は「深刻」になっている。詳細情報なしには、攻撃者がそれを利用してFlash Media Serverを完全に操作できるようになると推測するしかない。

評価：深刻

APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス

影響を受けている製品:
‐Adobe ColdFusion 9.0.1

全プラットフォーム（Win/Mac/UNIX）

AdobeのColdFusionは、ウェブ・アプリケーションを開発し展開できるようにするアプリケーション・サーバだが、未特定のディレクトリ・トラバーサル脆弱性の影響を受けている。つまり、攻撃者はアクセス権を持たないサーバのディレクトリにアクセスできるようになり、機密情報にも手を付ける可能性がある。Adobeのアドバイザリは欠陥の範囲についてごく僅かな情報しか提供していないため、攻撃者がこれを簡単に利用できるのか、それとも困難であるのか見当がつかない。このホットフィックスは重要と評価されている。

評価：重要

これら3つのセキュリティアドバイザリの他に、Adobeは今月末にリリース予定のAdobe Readerのアップデートに関する情報もリリースしている。数多い中でも、このアップデートにはCharlie MillerがBlackhat 2010のセキュリティ・コンフィレンスで開示したPDF関連の脆弱性の修正も入っている。Adobeはそのアップデートを8月16日頃にリリースするだろうと我々は見ている。入手可能になり次第連絡する。

対策： Adobeは全製品においてこの問題を修正するアップデートをリリースしている。状況に適したアップデートを早急にダウンロードし導入するか、AdobeのSoftware Updaterプログラムに任せることをすすめる。

APSB10-16: Adobe Flash Player セキュリティ・アップデート

Flash Player 10.1.82.76 (もしくはnetwork distribution version)

AIR 2.0.3

Flash Professional CS5/Flash CS4 Professional/Flex 4 10.1.82.76

Flash CS3 Professional/Flex 3 9.0.280

APSB10-19: Adobe Flash Media Server セキュリティ・アップデート

Flash Media Server 3.5.4 /Flash Media Server 3.0.6

APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス

technoteで説明されているColdFusionアップデートをインストール

ウォッチガードユーザへ:
攻撃者は様々な悪用方法を使い、こうした欠陥を悪用することができる。その多くは大方の管理者が許可しなければならない通常のHTTPトラフィックを利用しているため、Adobeのアップデートをインストールすることがもっとも安全な対策といえるだろう。

ステータス:
Adobeはこの脆弱性を修正するパッチをリリースしている。

参考資料:

APSB10-16: Adobe Flash Player セキュリティ・アップデート

APSB10-19: Adobe Flash Media Server セキュリティ・アップデート

APSB10-18: Adobe ColdFusion セキュリティ・ホットフィックス

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

ワードとエクセルのドキュメント解析に関与する脆弱性 2010年8月10日

ワードとエクセルのドキュメント解析に関与する脆弱性

危険度: 高

日付：2010年8月10日

概要：

対象:
Windows/MacのMicrosoft Officeバージョンすべて（特にワードとエクセル）

攻撃方法:
有害なOfficeドキュメントをユーザが開くように誘導する

影響:
コードを実行した攻撃者は、被害者のコンピュータを完全に操作できるようになる可能性がある

対策:
状況に適したOfficeのパッチを至急インストールすること

詳細:
米国時間の8月10日、マイクロソフトは2件のセキュリティアドバイザリをリリースし、WindowsおよびMacを対象としたMicrosoft Officeに搭載されているコンポーネントやプログラムで発見された5件のセキュリティ問題について説明した。報告された脆弱性の中には、Word ViewerやOffice Compatibility Packs、Open XML File Format Converter（Mac）などに影響しているものもある。各脆弱性による被害はOfficeのバージョンにより異なる。この影響を受けているOfficeのアプリケーションやコンポーネントは利用される脆弱性によって異なるが、結果は同じである。つまり、ユーザが有害なOfficeドキュメントをダウンロードし、それを閲覧するように仕向けることで、攻撃者は脆弱性のいずれかを悪用し被害者のコンピュータでコードを実行できるようになる。その場合、攻撃者はそのユーザの特権や許可権も獲得しているため、ユーザにローカル管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全に操作することが可能になる。

マイクロソフトのセキュリティアドバイザリによると、攻撃者はワード（.doc）やエクセル(.xls)を使ってこうした欠陥を悪用できるというので、受信する予定のなかったその種のドキュメントには充分に注意することが必要だ。

各欠陥の詳細については、マイクロソフトのセキュリティアドバイザリにある「詳細」を参照することをすすめる。

MS10-056：Microsoft Office Word の脆弱性により、リモートでコードが実行される

MS10-057：Microsoft Office Excel の脆弱性により、リモートでコードが実行される

対策：
マイクロソフトは脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてから、それをネットワーク全体に取り入れることをすすめる。

日本語版をダウンロードするには、「Change Language」から「Japanese」を選択すること。ワードのアップデート：

Office XP w/SP3

Office 2003 w/SP3

2007 Microsoft Office System w/SP1

Office 2004 for Mac

Office 2008 for Mac

Open XML File Format Converter for Mac

Microsoft Office Word Viewer

Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2

Microsoft Works 9

エクセルのアップデート：

Office XP w/SP3

Office 2003 w/SP3

Office 2004 for Mac

Office 2008 for Mac

Open XML File Format Converter for Mac

ウォッチガードユーザへ：
ウォッチガードのFirebox製品シリーズの中には、ワードやエクセル・ドキュメントをネットワークから遮断できるように設定できるものもあるが、ビジネス上そうしたドキュメントを許可しなければならない場合もあるだろう。このため、先述のパッチを取り入れることが主な対策となるが、マイクロソフトのパッチをインストールするまでは一時的にそうした種類のファイルを阻止することも可能。ワードやエクセル、Worksドキュメントなどをネットワークから遮断したい場合は、次のリンクからビデオ解説の手順を参照にし、Fireboxプロキシのコンテンツブロック機能を使用して拡張子別にファイルを阻止することができる。

10.x を使用しているFirebox X Edge

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Fireware 10.x を使用しているFirebox X CoreとX Peak

FTP プロキシでファイルをブロックするには?

HTTP プロキシでファイルをブロックするには?

POP3 プロキシでファイルをブロックするには?

SMTP プロキシでファイルをブロックするには?

ステータス：
マイクロソフトは、今回報告されたセキュリティ問題を修正するOfficeアップデートをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ：MS10-056

マイクロソフトのセキュリティアドバイザリ：MS10-057

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

IEの累積パッチ、複数のメモリ破損欠陥を修正 2010年8月10日

IEの累積パッチ、複数のメモリ破損欠陥を修正

危険度：高

2010年8月10日

概要:

対象:
現バージョンのWindowsで使用しているIEバージョンすべて

悪用方法:
有害なウェブページにユーザを誘導する

影響:
その影響は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策:
状況に適したIEパッチを至急導入するか、Windowsの自動アップデート機能を使用すること

詳細:
米国時間の8月10日にパッチデーの一部としてリリースしたセキュリティアドバイザリで、マイクロソフトはWindowsの現バージョン（Windows 7やWindows Server 2008を含む）で実行しているインターネットエクスプローラ（IE）のバージョン8.0およびそれ以前のバージョンで発見された6件のセキュリティ脆弱性について説明した。マイクロソフトは、これらを深刻な問題としている。

これら6件の脆弱性は技術的には異なるものの、そのうち5件の範囲と影響は同じであり、様々なHTMLエレメントやオブジェクトをIEが処理する方法に関与する、メモリ破損の欠陥に起因している。攻撃者は、有害なウェブコードを埋め込んだウェブページにユーザを誘導することに成功すると、いずれかの脆弱性を悪用し、ユーザの特権を獲得した上で、そのコンピュータでコードを実行できるようになる。通常、Windowsユーザにはローカル管理者の特権があるが、その場合は攻撃者が欠陥を悪用すると、被害者のコンピュータを完全に操作できるようになる。

その他の脆弱性はクロスサイトまたはクロスサイト・ドメイン・スクリプティング（XSS）の欠陥から成る。攻撃者は数ある中でも、この種の脆弱性を利用して、他のドメインやサイトからアクセスできないはずのクッキーなどの情報を見たり、他のドメインやサイトの特権を備えた上でスクリプトを実行する可能性がある。

最近の攻撃者は正当なウェブページをハイジャックし、悪質なコードで罠を仕掛けるケースがよくある点に注意しよう。その場合、彼らはウェブ広告やSQLインジェクション、XSS攻撃などをよく使っている。認識しやすく正当なウェブサイトでも、ハイジャックされていればユーザにとってリスクとなる。

こうした欠陥の技術詳細を知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「詳細」を参照することをすすめる。しかし、それを別にしてもIEのメモリ破損の欠陥はそれだけでも大きなリスクだ。至急、IEの累積パッチをダウンロードしインストールすることをすすめる。

対策:
このパッチは深刻な問題を修正しているので、状況に適したIEパッチを至急ダウンロードし、テストしてから導入するか、Windowsの自動アップデート機能に任せること。ちなみに、マイクロソフトはWindows 2000およびIE 5.xのサポートを打ち切っているので、まだIEやWindowsのレガシーバージョンを使用している場合は、最新のセキュリティアップデートを入手するためにアップデートすることを強くすすめる。

日本語版をダウンロードするには、「Change Language」から「Japanese」を選択：

Internet Explorer 6.0

For Windows XP (w/SP3)

For Windows XP x64 (w/SP2)

For Windows Server 2003 (w/SP2)

For Windows Server 2003 x64 (w/SP2)

For Windows Server 2003 Itanium (w/SP2)

Internet Explorer 7.0

For Windows XP (w/SP3)

For Windows XP x64 (w/SP2)

For Windows Server 2003 (w/SP2)

For Windows Server 2003 x64 (w/SP2)

For Windows Server 2003 Itanium (w/SP2)

For Windows Vista (w/SP1 or SP2)

For Windows Vista x64 (w/SP1 or SP2)

For Windows Server 2008 (w/SP2) *

For Windows Server 2008 x64 (w/SP2) *

For Windows Server 2008 Itanium (w/SP2)

Internet Explorer 8.0

For Windows XP (w/SP3)

For Windows XP x64 (w/SP2)

For Windows Server 2003 (w/SP2)

For Windows Server 2003 x64 (w/SP2)

For Windows Vista (w/SP1 or SP2)

For Windows Vista x64 (w/SP1 or SP2)

For Windows Server 2008 (w/SP2) *

For Windows Server 2008 x64 (w/SP2) *

For Windows 7

For Windows 7 x64

For Windows Server 2008

For Windows Server 2008 x64

* 注意：これら欠陥はServer Coreインストールオプションを使ってインストールしたWindows Server 2008には影響していない。

ウォッチガードユーザへ：
こうした攻撃は、ネットワーク・ユーザがウェブにアクセスするには許可しなければならない普通のHTTPトラフィックに見せかけて移動するため、先述のパッチを取り入れることが主な対策となる。

ステータス：
マイクロソフトはこの脆弱性を修正するパッチをリリースしている。

参考資料:

マイクロソフトのセキュリティアドバイザリ：MS10-053

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

緊急アップデートでショートカットアイコン問題を修正 2010年8月2日

緊急アップデートでショートカットアイコン問題を修正

危険度：高

日付：2010年8月2日

概要：

対象：Windowsの全バージョン

悪用方法： 細工したショートカットをユーザにダウンロードさせたり、それを含んだディレクトリをユーザがブラウズするように仕向けるなど、様々な方法がある

影響：最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる

対策：マイクロソフトが緊急リリースしたアップデートを至急取り入れるか、Windowsの自動アップデートを使うことをすすめる

詳細：
米国時間の8月3日、マイクロソフトは緊急でセキュリティアドバイザリをリリースし、Windowsの深刻な脆弱性を修正した。この問題はメディアの注意を引き、攻撃者達はワームやマルウェアを使い実際に脆弱性を悪用している。マイクロソフトはこの危険性を深刻な問題として捉えている。この脆弱性はWindows シェルがショートカット・アイコンを処理する方法に関与している（.lnkファイル）。基本的に、攻撃者は細工したショートカット・ファイル（.lnkファイル）をユーザのコンピュータに乗せることに成功すると、ユーザがWindows Explorerから悪質なショートカットを含むディレクトリに行くように誘導する。次に、攻撃者はこの欠陥を悪用し、ユーザの特権を獲得した状態でそのコンピュータで悪質なコードを実行する。大方のWindowsの脆弱性と同様に、ユーザにローカル管理者の特権があった場合、攻撃者はこの欠陥を利用してそのコンピュータを完全に操作できるようになる。

この脆弱性は、表面上では特に大きな脅威を掲げているようには見えない。最初のうちはリモートではなく、ローカル脆弱性のようだ。例えば、攻撃者はまず悪質なショートカット・ファイルをユーザのローカル・コンピュータに入れなければならない。次に、ユーザがそのファイルを含むフォルダーに行くように仕向ける必要がある。細工した.lnkファイルをユーザのコンピュータに載せるにはユーザがショートカットをダウンロードするように誘導し、ユーザのファイル・システムにリモートからアクセスできるようにする別の欠陥（それがあると仮定して）を利用しなければならない。もしくは、既存のWindowsファイル・シェアを利用して、悪質なファイルをコピーするように仕向ける方法もある（しかし、それはユーザのローカル・ネットワークとファイル・シェアに攻撃者がアクセスできる場合に限る）。こうした要因はこの欠陥のリスクの危険性を軽減させるはずだが、場合によっては攻撃者がドライブバイ・ダウンロード攻撃を通じて、この欠陥を悪用できることをマイクロソフトは知っている。攻撃者が細工したショートカットを埋め込み、悪質なウェブページを作成すると、インターネットエクスプローラを使ってユーザがそのページに行くだけで、この欠陥を誘発してしまうことになる。また、攻撃者は有害な.lnkをOffice文書に埋め込むこともできる上に、実際に出回っているマルウェアは、この欠陥には牙があることを証明している。

研究家達によると、ワームは「Stuxnet」という名称で一般に出回っており、このショートカットの脆弱性を利用してローカル・ネットワーク内で被害者を出し、そこから蔓延させているという。Stuxnetがユーザのコンピュータをどうにかして感染させると（例えば、あちこち動き回るノートパソコンのユーザがローカル・ネットワークにやってきた場合など）、コンピュータが取る行動は2つある。まず、Windowsネットワークシェアを探し、有害な.lnkファイルをそのシェアにコピーしようと試みる。そして、感染したマシンに繋がっているUSBストレージ・デバイスにも、その悪質な.lnkファイルを追加しようとする。これにより、感染したシェア・ディレクトリやUSBドライブにアクセスするユーザは全員Stuxnetに感染してしまう。USBの方法においては、もしユーザがWindows AutorunやAutoplayを備えている場合、感染したUSBストレージ・デバイスにプラグインするだけで感染してしまう。しかし、Stuxnetが最初の被害者を感染させる場合、ショートカットの脆弱性は利用していないことに注意しよう。Stuxnetは別の欠陥を悪用したり、ソーシャルエンジニアリングのトリックを使って最初の被害者を出している。但し、ネットワーク上のコンピュータ1台を感染させることに成功すると、それをローカル・ネットワークで素早く蔓延させるためにはショートカット欠陥が役に立つ。気の毒なことに、ドイツのエンジニア企業Siemens AGは、それを身をもって体験したばかりだ。

マイクロソフトによると、他のマルウェア作成者達はすでにこれに追いついており、.lnkファイルのトリックを他のワームにも使いSalityでも見られるように、似たような手法でワームを蔓延させているという。表面的には、この脆弱性の脅威はそれほど大きな危険性を備えているように見えないが、攻撃者は実社会で効果的に利用できる方法を見つけている。大規模な組織も、すでにこの欠陥を利用したマルウェアの被害者になっており、脆弱性は非常に深刻なリスクを掲げている。こうした理由から、マイクロソフトが用意しているアップデートを至急ダウンロードしテストしてから導入することをすすめる。

対策：
マイクロソフトは緊急でWindowsのパッチをリリースし、この脆弱性を修正しているので至急ダウンロードしてテストしてからネットワークに取り入れるか、自動アップデートを使うことをすすめる。注意：日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」ボタンをクリックすること。 MS10-046

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

ウォッチガードユーザへ：
WatchGuard製品を使って.lnkファイルをネットワークから遮断すれば、このリスクをいくらか緩和させることができる。WatchGuard製品でHTTPやSMTP、FTPプロキシを使えばファイル拡張子別にファイルを阻止することができるが、攻撃者はネットワークに.lnkファイルを忍び込ませる方法をいくつも知っているため、パッチを取り入れることが主な対策となる。

それでもWindosショートカットをネットワークから遮断したいというのであれば、次のビデオを参考にして.lnkファイルを阻止できる。但し、この方法を使うと問題のないショートカットも遮断してしまうことに注意しよう。つまり、ユーザがインターネットからショートカットをダウンロードする正当な理由はないといえる。

10.x を使用しているFirebox X Edge

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Fireware 10.x やFireware XTM を使用しているFirebox X Core /X Peak

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTPプロキシでファイルをブロックするには？

ステータス：
この深刻な脆弱性はマイクロソフトがリリースしたアップデートで修正できる。

参考資料：

マイクロソフトのセキュリティアドバイザリ：　MS10-046

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner）により調査され書かれたものです。
続きを読む»

Firefox 3.6.7で修正できるドライブバイ・ダウンロードの脆弱性 2010年7月21日

Firefox 3.6.7 で修正できるドライブバイ・ダウンロードの脆弱性（複数）

2010年7月21日

概要：

対象： Firefox 3.6.x /3.5.x （Windows/Linux/Macintosh）

攻撃方法： 有害なウェブページにユーザを誘導する方法が典型的

影響：結果は様々だが最悪の場合は、攻撃者がユーザのコンピュータでコードを実行し、それを完全に操作できるようになる

対策： Firefox 3.6.7 (もしくはバージョン3.5.11)にアップグレードするか、Firefoxの自動アップデート機能にまかせること

詳細：
米国時間の7月21日、Mozillaは、あらゆるプラットフォームで利用されているFirefox 3.6.4 （およびそれ以前のバージョン）に見られる16件の脆弱性について説明したアドバイザリをリリースした（数字はCVEによる）。Mozillaはそうした脆弱性の半分以上を深刻な問題と捉えている。攻撃者はコードを実行するために問題を利用し、ユーザ側のインストラクションはウェブを閲覧する程度であり、攻撃者はユーザに知られずにソフトウェアをインストールすることができる。中でももっとも深刻なFirefox 3.6.4の脆弱性3つの概要は次の通り。

PNG イメージのバッファ・オーバーフロー問題（2010-41）
FirefoxがPNGイメージを処理する際に役立つグラフィックコードは、バッファ・オーバーフロー問題の影響を受けている。攻撃者が悪質なイメージを含むウェブページにユーザを誘導すると、攻撃者は問題を利用してFirefoxをクラッシュさせたり、そのユーザの特権を備えた状態で有害なコードを実行することができる。ユーザがローカル管理者だったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

Mozillaの評価：深刻

典型的なメモリ破損の問題（2010-34）
最低でもFirefoxをクラッシュさせることができる未特定のメモリ「セーフティ」もしくは破損問題2件をMozillaのアップデートは修正している。Mozillaのアラートは、Firefoxのブラウザ・エンジンに関与しているという点以外に、脆弱性の詳細については説明していない。Mozillaは、攻撃者の努力次第でこうしたメモリ破損の欠陥を攻撃者が悪用し、被害者のコンピュータで任意コードを実行できるだろうと推測している。そうするには、攻撃者はまずユーザが有害なウェブページに行くように誘導しなければならない。そして、ユーザがその罠に掛かると、攻撃者はユーザの特権を持った状態で、そのユーザのコンピュータで悪質なコードを実行できるようになる。また、そのユーザがローカル管理者であったりルート特権を持っていた場合、攻撃者はその被害者のコンピュータを完全に操作できるようになる。

Mozillaの評価：深刻

DOMアトリビュート・クローニングのコード実行問題（2010-35）
DOM（Document Object Model）はプラットフォームやニュートラル言語において、構造化文書をオブジェクトとして表すためのW3C仕様書だが、FirefoxのDOMアトリビュート・クローニング・ルーティーンはコード実行の脆弱性の影響を受けている。攻撃者はユーザを有害なウェブページに誘導し、この欠陥を利用してFirefoxをクラッシュさせたりユーザの特権を持った状態で悪質なコードをユーザのコンピュータで実行できるようになる。往来通り、攻撃者が管理者の特権を持っている場合は攻撃者がユーザのコンピュータを完全に操作できるようになる。

Mozillaのアラートは、その他にもコード実行欠陥やクロスサイト・スクリプティング（XSS）、クロスオリジンの脆弱性、スプーフィングの脆弱性など、様々な脆弱性について説明している。Firefox 3.6.7が修正している脆弱性リストについてはMozillaのページを参照することをすすめる。

こうした脆弱性の中にはFirefox 3.5.xにも影響を及ぼしているものもある。3.5.xバージョンを使用している場合は、3.6.7に移行することをすすめるが、どうしても3.5.xが必要であるというユーザのために、Mozillaはレガシー・バージョンのアップデートもリリースしている。

対策：
MozillaはFirefox 3.6.7と3.5.11で、このようなセキュリティ脆弱性を修正している。ネットワークでFirefoxを使用している場合は、できる限り早急に3.6.7バージョンをダウンロードし導入することをすすめる。何らかの理由でFirefox 3.5.xしか使えないという場合は、3.5.11バージョンにアップグレードすること。

注意：
最新シリーズのFirefox 3.6.xは、Firefoxのアップデートが入手可能になると、それを自動的に連絡するようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。

余談だが、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのも、ウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScriptエクステンションをインストールしておくといいだろう。

全ユーザへ：
この攻撃は通常のHTTPトラフィックを装っている。しかし、ネットワーク・ユーザがウェブにアクセスするにはHTTPトラフィックがファイアウォールを通過できるようにしておかなければならないので、先述のパッチを取り入れることが主な対策となる。

ステータス：
Mozilla Foundationは、こうした脆弱性をFirefox 3.6.7で修正している。

参考資料：

Firefox 3.6.7 リリースノート

Firefox 3.6.7が修正する脆弱性

Mozilla（日本）

このアラートはCorey Nachreiner, CISSPにより調査され書かれたものです。
続きを読む»

マイクロソフトがWindowsヘルプセンターの深刻な脆弱性を修正　2010年7月13日

マイクロソフトがWindowsヘルプセンターの深刻な脆弱性を修正
Helpctr.exeとCdd.dllの欠陥を修正するWindowsアドバイザリ2件

危険性：高

2010年7月13日　

概要：

対象： Windows 7 とServer 2008 R2 のWindows XPバージョンすべて/Server 2003/64-bit

悪用方法：細工したウェブサイトにユーザを誘導するなど、攻撃方法は多々ある

影響： 様々な結果があるが、最悪の場合は攻撃者がユーザのWindowsコンピュータを完全に操作できるようになる

対策： 状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能を使うこと

詳細：
米国時間の7月13日、マイクロソフトは現在使われている多くのWindowsバージョンに影響している2つの脆弱性について2件のセキュリティアドバイザリをリリースした。各脆弱性によるWindowsへの影響はバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用しユーザのWindows PCを完全に操作できるようになる。次に危険性の高いものから順番に、その脆弱性の概要について説明する。

MS10-042
Windows ヘルプとサポートセンターのゼロデイ脆弱性

Googleの情報セキュリティ・エンジニアであるTavis Ormandyが、複雑かつ深刻なWindowsのヘルプとサポートセンター（Helpctr.exe）に見られるセキュリティ脆弱性の情報をFull-Disclosureメーリングリストに対して明らかにしたのは、およそ一ヶ月前のことだ。基本的に、この問題はWindowsのデフォルト・ヘルプドキュメントの1つに見られるHelpctr.exeとクロスサイトスクリプティング（XSS）欠陥を組み合わせたセキュリティバイパス問題に関与している。これについてはライブセキュリティのWireで読むことができるので、詳細についてはそちらを参照することをすすめる。しかし端的に説明すると、攻撃者は細工したウェブページやリンクにユーザを誘導し、欠陥を利用してユーザのコンピュータでコードを実行、場合によってはそのコンピュータを完全に操作できるようになるおそれもあるという。Ormandyは情報を明らかにした時点でPoC（Proof-of-Concept：概念実証）悪用方法も提供しており、その数日後には攻撃者達が、この欠陥を実際の環境下で悪用し始めたと報告されている。そうした理由から、ライブセキュリティでは、このアップデートをできる限り早急にダウンロードしテストしてから導入することをすすめている。ちなみに、この脆弱性の対象はWindows XPとServer 2003のみである。

マイクロソフトの評価：深刻

MS10-043
Canonical Display Driver の脆弱性がWindows x64 に影響

5月の時点で、マイクロソフトは64-bit版のWindows 7とServer 2008 R2に搭載されているCanonical Display Driver（Cdd.dll）に関与するイメージ処理の脆弱性（パッチなし）についてセキュリティ・アドバイザリをリリースした。この問題について、ライブセキュリティはWireを通じてユーザに連絡した。基本的に、攻撃者は細工したイメージを含む有害なウェブサイトにユーザを誘導したり、欠陥のあるイメージAPIを使うアプリケーション内のイメージを開くように仕向けたりするなどして欠陥を悪用し、被害者のコンピュータをクラッシュさせてBSOD（ブルースクリーン）で再起動させたり、ユーザの特権を獲得した状態でコードを実行したりするという。大方のWindowsユーザにはローカル管理者の特権が備わっているため、攻撃者がこの欠陥を悪用して被害者のPCを完全に操作できるようになる確率は高い。しかし今月公開されたセキュリティアドバイザリを使えば、パッチが用意されていなかった過去の問題を修正できる。

マイクロソフトの評価：深刻

対策： マイクロソフトはこうした脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。また、Windowsアップデート機能を使ってそれらをインストールする方法もある。

注意：日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」ボタンをクリックすること。

MS10-042

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

その他のバージョンのOfficeへの影響はない

MS10-043

Windows 7 x64

Windows Server 2008 R2 x64

その他のバージョンのOfficeへの影響はない

ウォッチガードユーザへ：
攻撃者達は有害なイメージをユーザに閲覧させるように誘導するほか、様々な悪用方法を利用して欠陥を悪用しようとするため、マイクロソフトのアップデートをインストールすることが主な対策となる。

ステータス：
マイクロソフトは問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ：MS10-042

マイクロソフトのセキュリティアドバイザリ：MS10-043

この記事はCorey Nachreiner, CISSPによって調査され書かれたものです。
続きを読む»

Active Xコントロールと Outlook を修正するOfficeアップデート 2010年7月13日

Active XコントロールとOutlookを修正するOfficeアップデート

危険度：　高

2010年7月13日

概要：

対象：Microsoft Office 2002/2003/2007 (Windows のみ) 、それに搭載されているコンポーネント

悪用方法：ユーザを有害なウェブサイトに誘導したり、悪質な添付ファイルを開くように仕掛けるなど様々な攻撃方法がある

影響：　結果は様々だが、最悪の場合は攻撃者がユーザのWindowsコンピュータを完全に操作できるようになる

対策：　状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能を使うこと

詳細： 米国時間の7月14日、マイクロソフトは3つのセキュリティ脆弱性について説明したセキュリティアドバイザリを2件を公開した。対象はWindows版のMicrosoft Office 2002/2003/2007や、それらに搭載されているコンポーネントだ。各脆弱性がもたらすOfficeコンポーネントへの程度の差はあるが、リモート攻撃者はもっとも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険性の高いものから順にその概要を説明する。

MS10-044
Office ActiveX Control コード実行の脆弱性

ActiveXコントロールは、本来Windowsベースのコンピュータにおける簡単なタスクを実行するため舞台裏で働く小さなプログラムで、アプリケーション間でシェアされることが多い。つまりマイクソフトだけのJavaアプレットのようなものである。Officeも含め、マイクロソフトのアプリケーションの多くは色々なタスクを実行させるため、様々なActiveXコントロールを搭載させている。例えば、Officeではそのカレンダーやメール・メッセージをウェブページとして閲覧できるようにするものなど、Outlook環境のエレメントを許可するActiveXコントロールをインストールさせている（OutlookとIEで見られる特徴）。しかし、Office 2003と2007 Microsoft Office Systemに搭載されているActiveXコントロールの中には、メモリ処理に関与する2つの脆弱性の影響を受けているものがあり、どちらも技術的には異なるが悪用された際の結果は同じである。有害なウェブページにユーザを誘導することに成功した攻撃者は、どちらかの脆弱性を悪用してユーザ・レベルの特権を得た上で、そのユーザのコンピュータでコードを実行できるようになる。また、そのユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全に操作することも可能になる。

マイクロソフトの評価：緊急

MS10-045
Outlookの添付ファイルでコード実行

Outlookは特定の方法でメールに添付されたファイルをうまく処理することができず、コード実行の脆弱性の影響を受けている。マイクロソフトのセキュリティアドバイザリは、この問題を引き起こしている種類の添付ファイルについて明確に説明していない。どちらかというと、この欠陥は添付ファイルの種類より、ファイルの添付方法が問題になっているものだという（PR_ATTACH_METHODプロパティのATTACH_BY_REFERENCEという値）。どちらにせよ、攻撃者は細工したメールに添付したファイルを開くようにユーザを誘導し、欠陥を悪用してユーザの特権を利用し、そのユーザのコンピュータでコードを実行することができる。大方のWindowsユーザにはローカル管理者の特権が付いているので、攻撃者がユーザのコンピュータを完全に操作できるようになる確率は高い。

マイクロソフトの評価：重要
対策： マイクロソフトはこうしたOffice関連の脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、Windowsの自動アップデート機能を使って必要なパッチをダウンロードし、インストールする方法もある。

注意：日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」ボタンをクリックすること。 MS10-044

Office 2003

2007 Microsoft Office System

その他のバージョンのOfficeへの影響はない
MS10-045:

Office XP

Office 2003

2007 Microsoft Office System

ウォッチガードユーザへ：
攻撃者は特に変わりのなく見せかけたウェブサイトにユーザを誘導したり、未特定の添付ファイルを開かせるように仕向けるなど、様々な方法で欠陥を悪用するため、マイクロソフトのアップデートをインストールすることがベストな対策といえる。また、概して勝手に送られてきた添付ファイルは開かないようにユーザに指示することをすすめる。
ステータス： マイクロソフトはこうした問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリMS10-044

マイクロソフトのセキュリティアドバイザリMS10-045

この記事はCorey Nachreiner, CISSPによって調査され書かれたものです。
続きを読む»

Firefox 3.6.4にアップグレードして10件の脆弱性を避けよう 2010年7月2日

Firefox 3.6.4にアップグレードして10件の脆弱性を避けよう

2010年6月24日

概要：

対象： Windows/Linux/Macintoshで使用しているFirefox 3.6.3

悪用方法： 攻撃者がユーザを有害なウェブページに誘導

影響： 結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータでコードを実行しそのコンピュータを完全に操作できるようになる

対策： Firefox 3.6.4にアップグレードするか、Firefoxの自動アップデート機能に任せること

対策：６月23日にリリースしたアドバイザリで、Mozillaは全プラットフォームにおいて使用されているFirefox 3.6.3で発見された10件の脆弱性について説明した。3.6.3以前のバージョンもその影響を受けている（数字はCVEの情報より）。

Mozillaはそのうち半分を重大な問題と評価している。つまり、攻撃者は脆弱性を利用してコードを実行、ユーザ側においては普通にネットをブラウズする以上のインタラクションなしに攻撃者がソフトウェアをインストールすることができる。

Firefox 3.6.3の脆弱性でもっとも深刻な問題３件の概要は次の通り：

XSLT 関連の整数のオーバーフロー問題 (2010-30)
XSLTはXMLベース言語で、XMLドキュメントを別のXMLドキュメントに変える場合に使われる。Firefox がXSLT を分類するために使うルーチンは、整数のオーバーフロー問題の影響を受けており、メモリのバッファオーバーフローの要因になっている。攻撃者に誘導され、ユーザが細工済みのウェブページに行ってしまうと、そのユーザの特権は攻撃者の手に渡り、攻撃者はそのコンピュータでコードを実行したり、バッファ・オーバーフローを利用してFirefoxをクラッシュさせたりすることができるようになる。また、ユーザにローカル管理者の特権やルート特権があった場合、攻撃者はその被害者のコンピュータを完全に操作できる。

Mozilla の評価：深刻

メモリ破損の問題（4） (2010-26)
Mozillaのアップデートは、未特定のメモリ破損の脆弱性4件を修正している。この問題は最低限でもFirefoxをクラッシュさせることができる。Mozillaのアラートは脆弱性の詳細については触れていないが、FirefoxのブラウザとJavaScriptに関与するという点につては触れており、攻撃者の力量次第でメモリ破損問題が悪用され、被害者のコンピュータで任意コードが実行されるだろうと推測している。しかし、そうするには、まず攻撃者は細工したウェブページにユーザを誘導しなければならない。そしてユーザがその罠にかかると、攻撃者はそのユーザの特権を得た上で悪質なコードを実行する。ユーザがローカル管理者だったり、ルート特権を持っていた場合は、攻撃者はその被害者のコンピュータを完全に操作できるようになる。

Mozilla の評価：深刻

DOM 関連のバッファオーバーフロー問題 (2010-29)
DOMはW3C規格である（詳細はこちらを参照）。FirefoxのDOMコードには、バッファオーバーフロー問題の影響を受けているものがいくつかある。攻撃者が細工したウェブページにユーザを誘導すると、欠陥を利用してFirefoxをクラッシュさせたり、ユーザの特権を獲得した上で、そのコンピュータで悪質なコードを実行することができる。通常通り、その被害者に管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全に操作することが可能になる。

Mozillaのアラートは、その他4件の脆弱性についても説明している。コード実行の欠陥、XSS脆弱性の可能性を持つ問題、そして攻撃者がユーザのキーストロークを記録したりインジェクトしたりすることを可能にする問題などだ。Firefox 3.6.4で修正された脆弱性のリストについてはMozillaの「Known Vulnerabilities page」を参照することをすすめる。

こうした脆弱性の影響だけでもアップグレードするには十分な理由だが、それとは別にFirefox 3.6.4にはFirefoxの安定性を改善する「プラグイン・アイソレーション」という巧みな新機能も付いてくるという点もある。Firefoxでは第三者のエクステンションやプラグインといった機能を追加できるようになっているが、プラグイン・アイソレーション以前は、そうしたエクステンションやプラグインはFirefoxプロセス内で実行されていた。つまり、第三者のプラグインがクラッシュするとFirefoxも一緒にクラッシュしていたわけだ。しかしFirefox 3.6.4では、プラグインが外部プロセスとして実行されるようになったため、プラグインがクラッシュした場合でもFirefoxが中断されることはないので、Mozillaの管理外のクラッシュを軽減させることが可能になる。

ソリューション：
Mozillaは10件のセキュリティ脆弱性を修正したFirefox 3.6.4をリリースしている。ネットワークでFirefoxを使用している場合は、できる限り早急にこのアップデートを取り入れることをすすめる。

注意：
最新シリーズのFirefox 3.6.xは、Firefoxのアップデートが入手可能になると、それを自動的に連絡するようになっている。この機能はMozillaのリリースをいち早く知ることができるため、オンにしておくことを強くすすめる。Firefoxがアップデートを自動チェックするように設定してあるか確認するには、Tools（ツール） => Options （オプション）=> Advanced（アドバンス）タブ=> Update（アップデート）タブでできる。その際、「Automatically check for updates（アップデートを自動チェック）」でFirefoxのボックスがチェックされていることを確認すること。このメニューでは、あらゆるアップデートをFirefoxが常にダウンロードするように設定したり、アップデートが入手可能になっていることを知らせるだけに設定することもできる。

余談だが、攻撃者はJavaScriptなしにはこうした脆弱性の多くを利用することができないので、JavaScriptをデフォルトで無効にしておくのも、ウェブベースの脆弱性からネットワークを守る手段になる。Firefoxを使用している場合は、JavaScriptやその他のアクティブ・スクリプトをデフォルトで無効にすることができるNoScriptエクステンションをインストールしておくといいだろう。

全ユーザ：
この攻撃は通常のHTTPトラフィックを装っている。しかし、ネットワーク・ユーザがウェブにアクセスするには、HTTPトラフィックがファイアウォールを通過できるようにしておかなければならないので、先述のパッチを取り入れることが主な対策となる。

ステータス：
Mozilla FoundationはFirefox 3.6.4でこうした脆弱性を修正している。

参考資料：

Firefox 3.6.4リリースノート

Firefox 3.6.4で修正された脆弱性

このアラートはCorey Nachreiner, CISSPにより調査され書かれたものです。
続きを読む»

定例外のAdobe Readerアップデート、ゼロデイ脆弱性を修正 2010年7月2日

定例外のAdobe Readerアップデート、ゼロデイ脆弱性を修正

危険度：高

2010年6月30日

概要：

対象：
Windows/Mac/UNIX で使用しているAdobe Reader /Acrobat 9.3.2 とそれ以前のバージョン

悪用方法：
攻撃者は悪質なPDFドキュメントをユーザが閲覧するように誘導する

影響：
攻撃者は被害者のコンピュータでコードを実行し、それを操作できるようになる恐れがある

対策：
Adobeの Reader やAcrobat 9.3.3 のアップデートをできる限り早急にインストールすること（またはAdobeのUpdater機能を使用）

概要：
数週間前、ライブセキュリティは一般の環境下で攻撃者達が悪用しているゼロデイ脆弱性を修正したAdobe Flashアップデートについて警告したアラートをリリースした。

Adobe Readerはゼロデイ欠陥の影響も受けやすいもののAdobeはまだそれに対応するパッチを用意しておらず、Reader のアップデートは6月29日に公開予定だと、そのアラートでは連絡した。Adobeはその約束どおりReaderとAcrobatのアップデートをリリースし、人気のPDFリーダーの脆弱性を17件、そしてReaderのFlashコンポーネント（authplay.dll）に見られるゼロデイ欠陥も修正している（数字はCVE-IDによる情報）。

17件の脆弱性は技術的には異なるが、大方がバッファ・オーバーフローとメモリ破損の脆弱性から成り、その行動範囲と影響はほぼ同じである。悪質なPDFドキュメント（.pdf）をユーザがダウンロードし開くように攻撃者が誘導すると、攻撃者はその脆弱性を使ってユーザの特権を得た上でコードを実行できるようになる。ユーザにローカル管理者の特権があった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

攻撃者達はこのFlash関連のReader脆弱性をすでに悪用しており、実際に感染被害を出しているので、できる限り早急にReaderのアップデートをダウンロードしインストールすることをすすめる。

また、Adobeの定例パッチデーはマイクロソフトのパッチデーと同じである（毎月第二火曜日）。しかし、今回Adobeはこの重大な問題に対応するReaderアップデートを先にリリースしているため、7月13日のパッチデーでReaderのアップデートはリリースされない。
ソリューション： AdobeはReaderとAcrobat 9.3.3アップデートをリリースし、こうした脆弱性を全プラットフォームにおいて修正している。状況に適したものを至急ダウンロードしインストールするか、AdobeのSoftware Updateプログラムを使って、その作業を自動的に行うことをすすめる。

Adobe Reader 9.3.3

Windows

Mac

UNIX

Adobe Acrobat

Standard and Pro for Windows

Pro Extended for Windows

3D for Windows

Pro for Mac

ウォッチガードユーザ：
WatchGuardのFireboxシリーズにはPDFファイルがネットワークに入らないように設定できるものも多々あるが、大方の管理者はビジネス上、こうした種類のファイルを許可しておく傾向がある。しかしPDFファイルがどうしても必要というのでなければ、パッチをインストールするまでは、FireboxのHTTPとSMTPプロキシを使ってPDFドキュメントをネットワークから遮断する方法もある。

どちらにせよ、PDFコンテンツをネットワークから遮断したいならば、Fireboxプロキシのコンテンツ・ブロッキング機能でファイル拡張子別にファイルを阻止できる（この場合は.PDF）。

手順詳細については次のリンクを参照。
10.xを実行しているFirebox X Edge

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

Fireware 10.xを実行しているFirebox X Core やX Peak

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

ステータス：
Adobeはこうした脆弱性を修正するパッチをリリースしている。

参考資料：
Adobe's Reader セキュリティアドバイザリ（6月）

この記事はCorey Nachreiner, CISSPによって調査され書かれたものです。
続きを読む»

OS X 10.6.4とセキュリティアップデート2010-004が28件の脆弱性を修正 2010年6月21日

OS X 10.6.4とセキュリティアップデート2010-004が28件の脆弱性を修正

危険度：高

2010年6月16日

概要：

対象：
OS X 10.5.x (Leopard)とOS X 10.6.x (Snow Leopard)

悪用方法：
有害なサイトに誘導したり、悪質なメディアファイルを閲覧させるように仕向けるなど、その攻撃方法は多々ある

影響：
最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、そのコンピュータを完全に操作できるようになる

対策：
OS Xの管理者は、セキュリティアップデート 2010-004もしくはアップデート10.6.4をできる限り早急にダウンロードし、テストしてからインストールするか、アップルのソフトウェア・アップデートで自動的に必要なアップデートをダウンロードすること

詳細：
米国時間の6月16日、アップルはセキュリティアップデートをリリースし、OS Xの全バージョンに見られる脆弱性を修正した。このアップデートはOS Xに搭載されているiChat、ImageIO、Help Viewerなど17のコンポーネント内で見つかった、28件のセキュリティ問題を修正している（数字は CVE-IDによるもの）。こうした脆弱性の中には、攻撃者がユーザのOS Xを完全操作できるようにしてしまうものもあるため、ライブセキュリティではこれを重大な問題と見ており、アップデートをできる限り早急に取り入れることをすすめている。

修正された脆弱性には以下も含まれている：

ImageIOメモリ破損の脆弱性（複数）

オペレーティングシステムが様々な種類のグラフィカルメディアを処理するために使うOS XコンポーネントのImageIOは、特定のタイプのイメージ（TIFF）やムービー（MPEGエンコード）を処理する方法に関与する、メモリ関連の脆弱性の影響を受けている。欠陥はそれぞれ技術的には異なるが、その大方の対象と影響はよく似ている。細工したイメージやムービーを被害者に見せることに成功すると（例えば有害なサイトにそれらをホストするなど）、攻撃者はいずれかの欠陥を悪用し、閲覧に使っていたアプリケーションをクラッシュさせたり、被害者のコンピュータで攻撃用コードを実行したりする。そしてデフォルトにより、攻撃者はそのユーザの特権を備えた状態でのみ、コードを実行する。但し、攻撃者はアップルのアラートにある別の欠陥を利用してユーザのMacを完全に操作する場合もある。

ネットワーク認証コード実行の問題

OS Xのコンポーネント、Network Authorizationはネットワークにいるユーザを認証するために使うものである。アップルによると、このNetwork Authorizationコンポーネントはafp:/ cifs:/ smb: URI schemesなどで始まる細工されたURLを適切に処理できないという。細工済みのリンクを載せたウェブサイトにユーザを誘導すると、攻撃者は脆弱性を悪用てしユーザの特権を受け継ぎ、そのユーザのコンピュータでコードを実行できる。また、Network Authorizationは特権昇格の脆弱性の影響も受けており、ローカルの特権を持たないユーザが被害者のMacを完全に操作できるようにしてしまう可能性もある。

ケルベロス認証問題（複数）

OS Xのkerberosコンポーネントは、3つのセキュリティ脆弱性の影響を受けている。中でも悪質な脆弱性は、AES暗号やRC4暗号法を使って、特別に作成されたメッセージをkerberosが処理する方法に起因する欠陥に関与している。まず、未認証状態にいる攻撃者が細工した暗号化済みのメッセージをユーザのkerberos KDCサーバに送信する。そして脆弱性を悪用し、被害者のコンピュータでコードを実行、そのMacを完全に操作することが可能になる。もちろん脆弱となるには、OS Xコンピュータでkerberos KDSサーバを設定している場合に限る。その他2つのkerberos欠陥は、セカンドコード実行の脆弱性とサービス拒否（DoS）問題である。

アップルのアラートは、サービス拒否 (DoS)、情報開示問題、そしてクロスサイトスクリプティング（XSS）など、その他の脆弱性についても説明している。

今回のセキュリティアップデートで修正されたコンポーネントは次の通り：

CUPS DesktopServices

Flash Player plug-in Folder Manager

Help Viewer iChat

ImageIO Kerberos

libcurl Network Authorization

Open Directory Printer Setup

Printing Ruby

SMB File Server SquirrelMail

Wiki Server

詳細についてはアップルの OS X 10.5.x と10.6.x アラートを参照することをすすめる。

対策： アップルはOS X セキュリティアップデート 2010-004とOS X 10.6.4をリリースし、こうしたセキュリティ問題を修正している。OS X管理者は状況に適したアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。

日本語版をインストールする場合は、画面左から「日本語」を選択：

Mac OS X v10.6.4 Update

Mac OS X v10.6.4 Update (Combo)

Mac OS X Server v10.6.4 Update

Mac OS X Server v10.6.4 Update (Combo)

Mac OS X v10.6.4 Update Mac mini (Mid 2010)

Mac OS X Server v10.6.4 Update Mac mini (Mid 2010)

Security Update 2010-004 (Leopard)

Security Update 2010-004 (Leopard Server)

注意：
使用しているOS Xにどのパッチをあてがうべきか確かでない場合は、OS Xのソフトウェアアップデート機能を使って自動的に必要なアップデートをインストールする方法をすすめる。

全ユーザ：
こうした欠陥は、様々な悪用方法を可能にし、中にはぺリメーターファイアウォールが攻撃に関わることがないローカルのものもある（部署間にファイアウォールを設置している場合は別）。このため、アップデートをインストールすることがもっとも安全な対策となる。

ステータス：
アップルはこうした問題を修正するアップデートをリリースしている。

参考資料：

2010年6月のOS X 10.5x /10.6.x セキュリティアップデート

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Adobe Flashゼロデイを修正、Reader未解決 2010年6月21日

Adobe Flashゼロデイを修正、Reader未解決

危険度：高

2010年6月11日

概要：
対象：
全プラットフォームで使用しているAdobe Flash Player 10.0.45.2および、それ以前のバージョン
Adobe AIR 1.5.3.9130にも影響あり

悪用方法：
不正なFlashコンテンツを含むウェブサイトにユーザを誘導
（もしくはFlashの入ったPDFを開くように仕向ける）

影響：
最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、そのコンピュータを完全に操作できるようになる

対策：
Adobe Flash PlayerやAirの最新バージョンをダウンロードし、インストールすること

詳細：
Adobe Flash Playerは、ウェブコンテンツとして使われる Flashというインタラクティブな動画を表示することができ、大方それはShockwave(.SWF) ファイルにフォーマットされている。AdobeのFlash Playerは、Internet Explorer(IE）など様々なウェブ・ブラウザでデフォルト搭載されているほか、多くのオペレーティングシステムでも利用されている。 Adobeが木曜日に公開したアドバイザリは、32件の脆弱性がWindowsやMac、Linux用のAdobe Flash Player 10.0.45.2 （またそれ以前のバージョンも含む）に影響していると警告した（数字はCVEによるもの）。今回報告された欠陥の中には、Adobe AIR 1.5.3.9130にも影響するものがある。

アドバイザリは、その欠陥の技術詳細については説明していない。しかし、攻撃者がユーザの1人に細工済みのFlashドキュメントをダウンロードさせ、それを開くように仕向けると、その攻撃者がユーザの特権を備えた上で、被害者のコンピュータでコードを実行できるようになるという点については警告している。ユーザにローカル管理者の特権がある場合、攻撃者はこの欠陥を利用して、被害者のPCを完全に操作できるようになる。ネットワークでFlash Playerの使用を許可している場合は、できる限り早急に最新バージョンをダウンロードし、ネットワーク全体に導入することをすすめる。

研究家達が週始めに気付いたゼロデイFlash欠陥は、このアップデートで修正されている。論理上、それは細工された不正Flashファイル（SWF）をFlashが処理する点に関与しているのだが、その影響はAdobe ReaderやAcrobatにも及んでいる。それというのも、FlashコンポーネントはPDFドキュメントに埋め込まれるFlashコンテンツを解析するために搭載されているからだ。攻撃者達はユーザを有害なウェブサイトに誘導したり、Flashコンテンツを含む細工済みのPDFをユーザが閲覧するように仕向けることで、欠陥を悪用できる。

このゼロデイ欠陥の詳細については、Adobeが公開したアドバイザリまたはブログを参照するといいだろう。先述の通り、このFlashアップデートはAdobe Flashのゼロデイ脆弱性を修正しているが、Adobe Readerに搭載されているFlashコンポーネント(authplay.dll)の問題は解決していない。つまり、Readerはまだ、この脆弱性のPDF別形問題を受けやすい状態にある。AdobeはアドバイザリでReaderとAcrobatのアップデートを6月29日にリリースすると約束している（通常のパッチデー以前に公開予定）。それまでは、受信する予定がなかったPDFファイルには十分注意すること、または次の回避策を講じることをすすめる。
対策： Adobe はFlash PlayerとAirの新しいバージョンをリリースしている。

主な機能：
§ Flash Player 10.1.53.64

§ Air 2.0.2.12610
こうした製品をネットワークで使用している場合は、できる限り早急にアップデートをダウンロードし、導入することをすすめる。

残念ながら、AdobeはReaderとAcrobatの問題にまだ対応しておらず、パッチは6月29日にリリースが予定されている。それまでは、不審な .PDFファイルには十分注意するよう、ユーザーに呼びかけることをすすめる。WatchGuard Fireboxのようなセキュリティ・デバイスを使って、ゲートウェイで .PDFファイルを遮断することもできる。PDFファイルでFlashコンテンツを使用できなくても構わない場合は（ただしReaderがクラッシュする原因にもなりえる）、欠陥のあるauthplay.dllコンポーネントをReaderのディレクトリから削除する方法もある。手順詳細についてはAdobe Readerアドバイザリにある「Mitigations」のセクションを参照することをすすめる。
ウォッチガードユーザ： WatchGuardのFirebox製品の中には、ウェブ（HTTP / HTTPS)やメール（SMTP / POP3 ）を介してFlash コンテンツやPDFファイル(.SWF / .PDF)を遮断するように設定できるものもある。望むのであれば、Fireboxのプロキシ・サービスを使って.SWFや .PDFファイルを遮断し、リスクをいくらか軽減させることもできる。しかし、多くのウェブサイトはインタラクティブなコンテンツを目的にFlashに依存しているため、これを阻止してしまうとサイトが正確に機能しなくなる場合もある（注意：YouTubeやJibJabなど、人気のビデオストリーミングサイトはFlashフロントエンドを使っているので、そうした対策を講じるとビデオを閲覧できなくなる場合もある）。また、PDFファイルに依存しているビジネスは少なくない。このためファイルをブロックする回避策は誰にでも便利なものではないかもしれない。

どちらにせよ、Flash やPDFコンテンツをネットワークから遮断したいならば、Fireboxプロキシのコンテンツ・ブロッキング機能でファイル拡張子別にファイルを阻止できる（この場合は .SWF や .PDF）。手順詳細については次のリンクを参照。
§ 10.xを実行しているFirebox X Edge

§ FTP プロキシでファイルを遮断するには？

§ HTTP プロキシでファイルを遮断するには？

§ POP3 プロキシでファイルを遮断するには？

§ SMTP プロキシでファイルを遮断するには？

§ Fireware 10.xを実行しているFirebox X Core やX Peak

§ FTP プロキシでファイルを遮断するには？

§ HTTP プロキシでファイルを遮断するには？

§ POP3 プロキシでファイルを遮断するには？

§ SMTP プロキシでファイルを遮断するには？

ステータス：
Adobe は、こうした脆弱性を修正するFlashやAirのアップデートをリリースしている。ReaderとAcrobatのパッチは6月29日にリリースが予定されている。

参考資料：
Adobe Flash / Air セキュリティアドバイザリ
 Adobe Flash, Reader, Acrobatゼロデイのアドバイザリ
 Adobeの日本サイト

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

IEの累積パッチ、新たな6つの脆弱性を修正　2010年6月14日

IEの累積パッチ、新たな6つの脆弱性を修正

危険度：高

2010年6月8日

概要：

対象：
現バージョンのWindowsで使用している最近のInternet Explorer

悪用方法：
ユーザを悪質なウェブページに誘導

影響：
最悪の場合、攻撃者はユーザのコンピュータで攻撃用コードを実行し、それを完全に操作できるようになる

対策：
状況に適したInternet Explorerのパッチを至急取り入れること

詳細：
米国時間の6月8日、マイクロソフトの「パッチデー」にリリースされたセキュリティアドバイザリでは、新たな6つの脆弱性について説明がされている。それら脆弱性は、現バージョンのWindowsで使用しているInternet Explorer(IE) 8.0や、それ以前のバージョンに見られる（Windows 7やWindows Server 2008 も対象）。マイクロソフトは通常バージョンのWindowsにおいて、この欠陥の危険性を深刻と評価し、ServerバージョンのWindowsにおいては中レベルと評価している。 6つの欠陥はそれぞれ技術的に異なるが、その対象と影響は同じである。そのうちの4件は、IEが様々なHTMLエレメントやオブジェクトを処理する方法に関与するメモリ破損の問題に関係している。悪質なウェブコードを含んだウェブページにユーザを誘導することに成功した攻撃者は、脆弱性のいずれかを悪用し、ユーザのコンピュータで特権を持ってコードを実行できる。大抵の場合、Windowsユーザにはローカル管理者の特権が備わっているが、その場合、攻撃者は欠陥を利用して被害者のコンピュータを完全に操作することが可能になる。ほか2つの脆弱性は、クロスサイトまたはクロスドメイン・スクリプティング（XSS) の脆弱性から成り立っている。特に攻撃者はこの種の脆弱性を利用して、本来ならばアクセス権を持っていないような他のドメインやサイトからクッキーのような情報を閲覧したり、別のドメインやサイトの特権でスクリプトを実行したりする可能性もある。最近の攻撃者はホストしているウェブ広告や、SQLインジェクション攻撃などを使い、正当なウェブページをハイジャックして悪質なコードで罠を仕掛けたりすることがよくある。つまり、すぐ分るようなサイトや本物のサイトもハイジャックされてしまえば、ユーザにとってはリスクになる。技術面の違いを知りたければ、マイクロソフトのセキュリティアドバイザリにある「Vulnerability Information」を参照することをすすめる。しかし技術面を別にしても、このメモリ破損の欠陥はIEに対して深刻なリスクとなっているので、IEの累積パッチを至急ダウンロードし、インストールすることをすすめる。

対策：
このパッチは深刻な問題を修正している。状況に適したIEパッチをできる限り早急にダウンロードし、テストしてからインストールするか、Windowsの自動アップデートを使うことをすすめる。

日本語版をダウンロードする場合は、ドロップダウン・メニューから「Japanese」を選択。

Internet Explorer 5.01

Windows 2000

Internet Explorer 6.0

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Internet Explorer 7.0

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008 *

Windows Server 2008 x64 *

Windows Server 2008 Itanium

Internet Explorer 8.0

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Vista

Windows Vista x64

Windows Server 2008 *

Windows Server 2008 x64 *

Windows 7

Windows 7 x64

Windows Server 2008

Windows Server 2008 x64

注意*：　Server Coreインストール・オプションを使ったWindows Server 2008への影響はない。

ウォッチガードユーザ：
こうした攻撃は、ネットワークのユーザがワールドワイドウェブにアクセスできるようにしておくには許可しておくことが必要な、通常のHTTPトラフィックの状態で移動するため、先述のパッチを取り入れることが主な対策となる。
ステータス： マイクロソフトは、こうした脆弱性問題を修正するアップデートをリリースしている。

参考資料：

マイクソフト・セキュリティアドバイザリ：MS10-035

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Microsoft Officeセキュリティアドバイザリ、ExcelとSharePoint 2010年6月14日

Microsoft Officeセキュリティアドバイザリ、ExcelとSharePoint 2010年6月8日

危険度：高

2010年6月8日

概要：

対象：
現バージョンのMicrosoft Office（Windows/Mac）、Office SharePoint Server

悪用方法：
悪質なOfficeドキュメントをユーザが開くように仕掛けるなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合には攻撃者が被害者のWindowsコンピュータを完全に操作できるようになる

対策：
状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトのアップデート機能を使って自動で必要なパッチをインストールすること

詳細：
米国時間の6月8日、マイクロソフトが公開したセキュリティアドバイザリはMicrosoft Officeと、その様々なコンポーネント、そしてその他Office Suiteに関連するパッケージ、SharePoint Serverなどに影響する18の脆弱性について説明している。各脆弱性が影響を及ぼしているOfficeコンポーネントの度合いは異なるが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのWindows PCを完全に操作できるようになる。その危険度が高い順は次の通り。
MS10-036
Office COM検証のコード実行問題 WindowsテクノロジーのマイクロソフトCOM（コンポーネント・オブジェクト・モデル）は、Officeパッケージなどのソフトウェア・コンポーネントが互いにコミュニケーションを取れるようにするものである。マイクロソフトはセキュリティアドバイザリで様々なアプリケーション（Excel/Word/PowerPointなど）にて、COMオブジェクトのインスタンスが適切に検証されていないと警告した。攻撃者がユーザの1人に細工済みのOfficeドキュメントをダウンロードさせ、それを開くように仕向けると、攻撃者は脆弱性を悪用しユーザの特権と許可権を引き継いだ上で、その人物のコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権が備わっていた場合、攻撃者はユーザのマシーンを完全に操作できるほか、攻撃者はOfficeドキュメントを使ってこの欠陥を誘発することも可能。

マイクロソフトの評価：　重要
MS10-038
Excelのコード実行問題（複数） Officeのスプレッドシート・アプリケーションであるExcelは、14のセキュリティ脆弱性の影響を受けている。欠陥はそれぞれ技術的には異なるが、その大方の対象と影響は同じである。攻撃者がユーザの1人に細工済みのExcelドキュメントをダウンロードさせ、それを開くように仕向けると、攻撃者はこうした脆弱性のいづれかを悪用し、そのユーザの特権と許可権を引き継いだ上で、その人物のコンピュータでコードを実行でき、またユーザにローカル管理者の特権が備わっていた場合、攻撃者はユーザのマシーンを完全に操作できる。こうしたタイプの攻撃は、ユーザと何らかのインタラクションを必要とするが（マイクロソフトがこれを重要レベルと評価しているのはそのため）、我々が見る限りOfficeドキュメントに関わることが多いユーザは多い。つまり、攻撃者は簡単に悪質なExcelドキュメントをユーザに開かせることができるため、Excelのアップデートを至急取り入れることをすすめる。こうした欠陥は、Mac版のOfficeにも影響している。

マイクロソフトの評価：　重要
MS10-039
SharePoint 権限の昇格と情報開示の脆弱性 SharePointとInfoPathはMicrosoftに関係する製品だが、それらは3つのセキュリティ脆弱性の影響を受けている。中でも悪質なのはクロスサイト・スクリプティング脆弱性（XSS）で、攻撃者がログインしているユーザのレベルに権限を昇格できるようにするが、もちろん、攻撃者はまずログインしているユーザが特別に細工したリンクをクリックするように誘導しなければならない。その他の欠陥はサービス拒否（DoS）の脆弱性で、SharePointのオンラインヘルプ・ページに関係している。SharePointのヘルプ・ページに細工したリクエストを送信すると、攻撃者はユーザのSharePointサーバが再起動するまで応答しないようにすることができる。

マイクロソフトの評価：　重要
対策： マイクロソフトはこうしたOffice関連の脆弱性をすべて修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードしテストしてからネットワーク全体に取り入れること。また、別の方法としてはマイクロソフトの自動アップデート機能を使い、自動的にその作業を行うことも可能。 MS10-036 注意：　アーキテクチャーの問題により、マイクロソフトはこの問題を修正するOffice XP用に適したアップデートをリリースすることができなかった。但し、Office XPユーザのために「FixIt」という回避策はリリースしているので、そのリンクについては下記のXPリンクを参照すること。

日本語版をダウンロードする場合はドロップダウン・メニューから「Japanese」を選択：

Office XP

FixIt solution

Office 2003

Excelアップデート

Wordアップデート

PowerPointアップデート

Publisherアップデート

Visioアップデート

2007 Microsoft Office System

Excelアップデート

Wordアップデート

PowerPointアップデート

Publisherアップデート

Visioアップデート

その他のOfficeバージョンへの影響はない。 MS10-038 Excelアップデート:

Office XP

Office 2003

2007 Microsoft Office System

Office Excel Viewer

Office 2004 for Mac

Office 2008 for Mac

Open XML File Format Converter Mac

Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats

MS10-039

Microsoft Office InfoPath 2003

Microsoft Office InfoPath 2007

Microsoft Office SharePoint Server 2007

Microsoft Office SharePoint Server 2007 64-bit

Microsoft Windows SharePoint Services 3.0

Microsoft Windows SharePoint Services 3.0 64-bit

ウォッチガードユーザ：
Microsoftの Offceドキュメントをネットワークから遮断するように設定できるWatchGuard Fireboxもあるが、ビジネス上そうしたファイルを許可しておかなければならない場合もあるだろう。さらに、こうした脆弱性によるリスクを緩和させるためにはOfficeドキュメントの全種類をブロックしなければならないため、先述のパッチを取り入れることが主な対策となる。それでもOfficeドキュメントをネットワークから遮断したいというのであれば、次のビデオを参照してFireboxのプロキシ・ポリシーを使い、ファイル拡張子別にそれらが入ってこないようにすることができる。但し、そうすることで問題のない正当なドキュメントもネットワークから遮断してしまうことになる点を忘れないように。

10.xを実行しているFirebox X Edge

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

Fireware 10.xやFireware XTMを実行しているFirebox X Core やX Peak

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

ステータス：
マイクロソフトは、こうした問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

特定のウェブサーバに影響するリモートIISコード実行の欠陥 2010年6月14日

特定のウェブサーバに影響するリモートIISコード実行の欠陥

危険度：中

2010年6月8日

概要：

対象：
IIS 6.0 / 7.0 / 7.5

悪用方法：
細工したHTTPリクエストを送信

影響：
最悪の場合、攻撃者は被害者のIISサーバを完全に操作できるようになる

対策：
マイクロソフトのIISアップデートをインストールするか、Windowsの自動アップデートを使って必要なパッチを取り入れること

詳細：
マイクロソフトのインターネット・インフォメーション・サービス（IIS）は、現在使われているウェブサーバの中でも、もっとも人気がある。Windowsのサーバ・バージョンにはすべてIISが搭載されているが、サービスの中にはデフォルトで起動しないものもある。マイクロソフトの「パッチデー」にリリースされたセキュリティアドバイザリでは、パッチが用意されていないIISのコード実行脆弱性について説明されている。この欠陥はIISが特定のタイプの認証情報をクライアントから受信した際、適切にメモリを分配できない点に関与している。そのような認証情報を含む細工済みのHTTPリクエストを送信することで、リモート攻撃者はこの脆弱性を利用し、IISワーカー・プロセス・アイデンティティ（WPI）の特権を備えた状態で被害者のIISサーバでコードを実行できる。マイクロソフトによると、WPIはデフォルトでWindowsのネットワーク・サービス・アカウントと同等の特権を備えているという。しかし、場合によってはIIS管理者が、ウェブアプリケーションが機能するようにWPI管理特権を与えるケースもある。その場合、攻撃者はIIS脆弱性を利用してユーザのウェブサーバを完全に操作できるようになる。この脆弱性は非常に深刻な問題のように聞こえるが、その危険性を大幅に緩和させている点がいくつかある。まず、Extended Protection for Authenticationというアドオン機能を追加インストールしているIISサーバのみ、この欠陥に対し脆弱となる。このアドオンは、セキュリティ・アップデートではなくマイクロソフトのナレッジベースの記事で触れられている。さらに、そのアップデートをインストールしていた場合でも、Extended Protection for Authenticationはデフォルトで有効にされていないため、自分でコンポーネントを有効にしなければならない。そして、このアドオンをインストールし有効にしていたとしても、マイクロソフトは認証済みの攻撃者だけが、この脆弱性を悪用できると述べている。つまり、ユーザのウェブサイトで有効なアカウントを持つユーザのみが、この欠陥を悪用できるということだ。

そうした点は、この脆弱性の危険性を大幅に緩和させているが、Extended Protection for Authenticationを使用しているIIS管理者にとっては非常にリスクの高い問題を提示している。その状況にかかわらず、マイクロソフトのIISアップデートをできる限り早急に取り入れることをすすめる。

対策：
マイクロソフトは、この問題を修正するIISアップデートをリリースしているので、IIS管理者は状況に適したアップデートをできる限り早急にダウンロードし、テストしてからインストールするか、Windowsの自動アップデートを使うことをすすめる。

日本語版をダウンロードする場合はドロップダウン・メニューから「Japanese」を選択：

IIS 6.0

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

IIS 7.0

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Window Server 2008 Itanium

IIS 7.5

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Window Server 2008 R2 Itanium

ウォッチガードユーザ：
特定のタイプの攻撃が成功しないようにプロキシを設定するなどして、ウォッチガードのHTTPサーバ・プロキシ・アクションはウェブサーバで許可するHTTPリクエストに関係する様々な側面の管理を可能にする。しかし、マイクロソフトも、この欠陥の発見者も、その技術詳細については公表していないため、ウォッチガードのプロキシがそれに対応できるかどうかは不明。但し、その詳細が公開されウォッチガードのプロキシが役に立つことが分った場合は追って連絡する。現時点では、マイクロソフトのパッチをインストールすることが主な対策となる。

ステータス：
マイクロソフトは、この脆弱性を修正するアップデートをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Windowsとコンポーネントに5つの脆弱性 2010年6月14日

Windowsとコンポーネントに5つの脆弱性 メディア解凍のコンポーネント、カーネルモード・ドライバーなど

危険度：高

2010年6月8日

概要：

対象：
現バージョンのWindowsとそれに搭載されているコンポーネント

悪用方法：
細工したメディアをユーザが開くように仕向けたり、手を加えたウェブサイトに誘導するなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合は攻撃者が被害者のWindowsコンピュータを完全に操作できる

対策：
状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトのアップデート機能を使って自動的に必要なパッチをインストールすること

詳細：
米国時間の10月13日に、マイクロソフトは現バージョンのWindowsとそれに搭載されているコンポーネントに影響する10件以上の脆弱性について説明した5件のセキュリティアドバイザリを公開した。各脆弱性が影響しているWindowsバージョンは異なり、その度合いも同様ではない。しかし、リモート攻撃者は中でも悪質な欠陥を悪用してユーザのWindows PCを完全に操作することができる。下記に脆弱性の危険性が高いものから順に挙げておく。
MS10-033
メディア解凍コード実行の問題（2） ビデオなど、メディアファイルの再生に必要な様々なコンポーネントがWindowsには搭載されているが、マイクロソフトによると、そうしたメディアを処理するコンポーネントは、未特定のコード実行の脆弱性2件の影響を受けており、問題は特別に作成されたメディア内の圧縮データを処理する方法に関与しているという。欠陥はそれぞれ異なるが、攻撃者はすべてを同じ方法で悪用することができる。攻撃者がユーザの1人に細工済みのメディアファイルをダウンロードさせ、それを再生するように仕向けたり、そうしたメディアファイルを含むウェブサイトに誘導した場合、攻撃者は欠陥を悪用し、ユーザの特権を備えた状態でそのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができる。

マイクロソフトの評価：　深刻

MS10-034
ActiveX Kill Bit累積アップデート マイクロソフトと外部の研究家達は、複数のセキュリティ脆弱性の影響を受けているマイクロソフトと第三者のActiveXコントロールを発見した。悪質なウェブサイトにユーザを誘導すると、攻撃者はActiveXコントロールを悪用しユーザの特権を獲得した状態で、そのコンピュータでコードを実行できるようになる。そしてWindowsに見られる大方の脆弱性と同様に、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができる。このアップデートは、脆弱なActiveXすべてにKill Bitを設定することで、それらをWindowsで無効にすることができる。無効にしたActiveXコントロールの詳細について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある脆弱性の詳細セクションを参照することをすすめる。

マイクロソフトの評価：　深刻
MS10-032
カーネルモード・ドライバー（Win32k.sys）に見られる特権の昇格問題（3） カーネルはOSの中心的コンポーネントだ。Windowsでカーネルへのアクセスは、Windowsカーネルモード・デバイス・ドライバー（Win32k.sys）を通じて提供されるようになっている。しかし、Win32k.sysは特権の昇格（EoP）の脆弱性3つの影響を受けている。各欠陥は技術的には異なるが、その影響を及ぼす範囲はよく似ている。攻撃者は細工したプログラムをユーザのWindowsコンピュータで実行することにより、本来のユーザ特権にかかわらず、欠陥を利用してそのシステムを完全に操作できるようになる。但し、攻撃者が悪質なプログラムを実行するには、ユーザのコンピュータへのローカルアクセス権が必要となる。そのため、この脆弱性は主に内部脅威であるといえる。とは言っても、カーネルモード・ドライバーの脆弱性3つのうち1つは、Windowsが細工されたTrueTypeフォントを処理する方法に関与している。リモート攻撃に対して、このフォントに関係する脆弱性をさらけ出してしまうマイクロソフトのアプリケーションはないにしても、論理的には第三者のアプリケーションでそれを行う可能性はある。論理的に言えば、その場合、攻撃者は細工したフォントを含むコンテンツをユーザが閲覧するように誘導し、リモートからこうした欠陥のいずれかを悪用できるようになる。

マイクロソフトの評価：　重要
MS10-041
.NET Frameworkデータ不正使用の脆弱性 .NET Frameworkはソフトウェア・フレームワークで、開発者達が新しいWindowsやウェブアプリケーションを製作する場合に使われる。数ある中でも、.NET frameworkは暗号的に署名されたXMLコンテンツの処理も可能で、未認証の攻撃者がユーザのアプリケーションに送られるXMLメッセージを変更できないようにすることができる。しかし残念ながら .NET frameworkは、XMLシグネチャー・チェックを適切に実行しておらず、結果として攻撃者は、ユーザが.NET frameworkで製作したアプリケーションに悪質に変更させたXMLメッセージを送信することができる。この脆弱性の影響は、ユーザがデザインしたアプリケーション、そしてどういったデータ・タイプをユーザのXMLで通したのかにより、大きく異なる。署名済みXMLに依存するウェブ・アプリケーションを表に出していなければ、この欠陥による影響はない。

マイクロソフトの評価：　重要
MS10-037
OpenType Compact Font Format (CFF)ドライバー特権の昇格の脆弱性 WindowsにはOpenType Compact Font Format (CFF)など、数多くのフォントが搭載されている。しかし残念ながら、 OpenType CFFをWindowsが表示することを助けるドライバは、ユーザ・スペースからカーネル・スペースに送られる特定のデータを適切に処理していない。細工したプログラムをユーザのWindowsコンピュータで実行することにより、攻撃者は本来のユーザ特権にかかわらず、この欠陥を悪用してそのシステムを完全に操作できるようになる。但し、攻撃者が悪質なプログラムを実行するには、ユーザのコンピュータへのローカルアクセス権が必要となるため、この脆弱性は主に内部脅威であると言える。

マイクロソフトの評価：　深刻
対策： マイクロソフトは、このような脆弱性を修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、別の方法としてはマイクロソフトの自動アップデート機能を使い、自動的にその作業を行うこともできる。 MS10-033 注意：　このセキュリティアドバイザリで説明されている脆弱性を修正するには、複数のパッチを各Windowsマシーンにインストールしなければならない場合もあるだろう。各バージョンのWindowsに必要なパッチがどれか定かではない場合は、自動的に何が必要なのかが分るWindowsの自動アップデート機能を使うことをすすめる。

日本語版をダウンロードする場合は言語選択のドロップダウンメニューから「Japanese」を選択：

Windows 2000

Quartz.dll (DirectShow) (DirectX 9) (KB975562)

Windows Media Format Runtime 9 (KB978695)

Windows Media Encoder 9 x86 (KB979332)

Asycfilt.dll (COM component) (KB979482)

Windows XP

Quartz.dll (DirectShow) (KB975562)

Windows Media Format Runtime 9, Windows Media Format Runtime 9.5 and Windows Media Format Runtime 11 (KB978695)

Windows Media Format Runtime 9, Windows Media Format Runtime 9.5 and Windows Media Format Runtime 11 (KB978695)

Windows Media Encoder 9 x86 (KB979332)

Asycfilt.dll (COM component) (KB979482)

Windows XP x64

Quartz.dll (DirectShow) (KB975562)

Windows Media Format Runtime 9.5 (KB978695)

Windows Media Format Runtime 9.5 x64 Edition (KB978695)

Windows Media Format Runtime 11 (KB978695)

Windows Media Encoder 9 x86 (KB979332)

Windows Media Encoder 9 x64 (KB979332)

Asycfilt.dll (COM component) (KB979482)

Windows Server 2003

Quartz.dll (DirectShow) (KB975562)

Windows Media Format Runtime 9.5 (KB978695)

Windows Media Encoder 9 x86 (KB979332)

Asycfilt.dll (COM component) (KB979482)

Windows Server 2003 x64

Quartz.dll (DirectShow) (KB975562)

Windows Media Format Runtime 9.5 (KB978695)

Windows Media Format Runtime 9.5 x64 Edition(KB978695)

Windows Media Encoder 9 x86 (KB979332)

Windows Media Encoder 9 x64 (KB979332)

Asycfilt.dll (COM component) (KB979482)

Windows Server 2003 Itanium

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows Vista

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows Media Encoder 9 x86 (KB979332)

Windows Vista x64

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows Media Encoder 9 x86 (KB979332)

Windows Media Encoder 9 x64 (KB979332)

Windows Server 2008

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows Media Encoder 9 x86 (KB979332)

Windows Server 2008 x64

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows Media Encoder 9 x86 (KB979332)

Windows Media Encoder 9 x64 (KB979332)

Windows Server 2008 Itanium

Quartz.dll (DirectShow) (KB975562)

Asycfilt.dll (COM component) (KB979482)

Windows 7

Asycfilt.dll (COM component) (KB979482)

Windows 7 x64

Asycfilt.dll (COM component) (KB979482)

Windows Server 2008 R2 x64

Asycfilt.dll (COM component) (KB979482)

Windows Server 2008 R2 Itanium

Asycfilt.dll (COM component) (KB979482)

MS10-034

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-032

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-041 .NET frameworkパッチを見付けるには、セキュリティアドバイザリにある影響を受けているソフトウェアのセクションを参照することをすすめる。.NET FrameworkやWindows、Framework Service Packなど、その種類は多々あるため、どのパッチが必要なのか分らなくなる場合もあるだろう。組織のポリシーに沿うのであれば、Windowsの自動アップデート機能を使って必要なパッチをダウンロードすることをすすめる。

MS10-037

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

ウォッチガードユーザ：
攻撃者はこのような欠陥を悪用することで、様々な攻撃方法を使うことができる（ユーザのコンピュータへのローカル・アクセス権を必要とするものも含む）。このため、マイクロソフトが提供しているアップデートをインストールすることがもっとも安全な対策方法である。
ステータス： マイクロソフトは問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Adobeが18のShockwaveセキュリティ欠陥を修正 2010年5月12日

Adobeが18のShockwaveセキュリティ欠陥を修正

危険度：高

2010年5月12日

概要：

対象： WindowsやMacintoshコンピュータで使用しているAdobe Shockwave Player 11.5.6.606およびそれ以前のバージョン

悪用方法： 悪質なShockwaveやDirectorファイルを含むウェブサイトにユーザを誘導

影響： 攻撃者がユーザのコンピュータで攻撃用コードを実行し、それを完全に操作できるようになる可能性あり

対策： ネットワークでShockwaveの使用を許可している場合は、できる限り早急にAdobe Shockwave Playerの最新バージョン(11.5.7.609) をダウンロードし導入することをすすめる

詳細：
Adobe Shockwave Playerは、Shockwaveというインタラクティブな動画ウェブコンテンツやムービーを表示することができる。Adobeによると、Shockwave Playerは4億5000万台ものPCにインストールされているという。 Adobeは今週火曜日に公開したアドバイザリで、深刻な脆弱性18件がWindowsやMacintoshｗにおけるAdobeのShockwave Player 11.5.6.606（またそれ以前のバージョンも含む）に影響していると警告した。Adobeのアドバイザリは、その欠陥の技術詳細については説明しておらず、各欠陥の性質とその基本的な影響についてのみ説明している。この欠陥は大方、バッファ・オーバーフローや整数のオーバーフロー、その他の様々なメモリ破損欠陥など、メモリに関連する脆弱性から成り立っており、各欠陥はそれぞれ技術的には異なるものの、その対象と影響は同じである。攻撃者は何らかの悪質なShockwaveコンテンツを含むウェブサイトにユーザを誘導することで脆弱性を悪用し、ユーザの特権を獲得した状態でそのコンピュータでコードを実行する。そして、ユーザにローカル管理者の特権がある場合、攻撃者は欠陥を利用して被害者のPCを完全に操作できるようになる。Adobeのアラートは、こうした様々な欠陥を誘発するShockwaveコンテンツのタイプについて説明していないが、別の研究家達のアラートでは悪質なShockwave (.SWF) やDirector (.DCR) が脆弱性を誘発すると報告されている。

ネットワークでAdobe Shockwaveの使用を許可している場合は、できる限り早急に最新バージョン(11.5.7.609) をダウンロードし、導入することをすすめる。

また、AdobeはColdFusionというウェブ・アプリケーション・サーバで、先の問題ほど深刻ではない脆弱性3件を修正するためのセキュリティアドバイザリも公開している。このアプリケーション・サーバを使用している人も中にはいるだろうが、その場合は脆弱性を修正するためAdobe TechNoteの手順に従うことをすすめる。

対策：
Adobe はShockwave Playerの新しいバージョン11.5.7.609をリリースしている。ネットワークでAdobe Flashを使用している場合は、できる限り早急にアップデートをダウンロードし導入することをすすめる。

ウォッチガードユーザ：
WatchGuardのFirebox製品の中には、ウェブ（HTTP)やメール（SMTP/POP3）を介してShockwaveコンテンツ (.SWF/.DCR)を遮断するように設定できるものもある。望むのであれば、Fireboxのプロキシ・サービスを使って一時的に .SWFや .DCRファイルを遮断しリスクを軽減させることができる。しかし、多くのウェブサイトはインタラクティブなコンテンツでShockwaveに依存しているため、これを阻止してしまうとそうしたサイトが正確に機能しなくなる場合もある。

Shockwave コンテンツを遮断したいならば、次のリンクから、Fireboxプロキシのコンテンツ・ブロッキング機能を使ってファイル拡張子別にファイルを阻止することができる（この場合は.SWF/.DCR）。

次のリンクを参照すれば、その手順を説明するビデオを見ることができる。

10.xを実行しているFirebox X Edge

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

Fireware 10.xを実行しているFirebox X Core やX Peak

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

ステータス：
Adobe は、こうした脆弱性を修正するShockwave Playerのアップデートをリリースしている。

参考資料：

Adobe Shockwave Playerのセキュリティアドバイザリ

Adobe ColdFusionのセキュリティアドバイザリ

Adobe日本サイト

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Officeドキュメントを危険にするVBAの脆弱性 2010年5月17日

Officeドキュメントを危険にするVBAの脆弱性 危険度：高

2010年5月11日

概要：

対象：
マイクロソフトのビジュアル・ベーシック・フォー・アプリケーションズ（VBA）は、現バージョンのOfficeすべてに搭載されている

悪用方法：
悪性なOfficeドキュメントをユーザが開くように仕掛ける

影響：
攻撃者が被害者のWindowsコンピュータを完全操作できるようになる可能性あり（ユーザの特権による）

対策：
マイクロソフトのアップデートをできる限り早急にダウンロードしテストしてからインストールするか、Windowsの自動アップデートを使うこと

詳細： マイクロソフトによるとビジュアル・ベーシック・フォー・アプリケーションズ（VBA）は、「クライアント・デスクトップ・パッケージ・アプリケーションを開発するための開発技術で、既存のデータやシステムと統合させるものである」とされている。もっと分りやすく説明すると、このプログラミング言語は、開発者達がOfficeアプリケーションをベースにしたアプリケーションをカスタマイズできるようにするものである。現バージョンのOfficeにはすべてVBAが搭載されており、Officeアプリケーションは特定の機能を実行するためにそれを使っている。マイクロソフトのセキュリティ・アドバイザリによると、VBAはメモリ破損の脆弱性の影響を受けており、VBAをサポートするドキュメントでActiveXコントロールを検索する方法に関与しているという。ここでは技術詳細に触れることは避けるが、簡単に説明するとVBAをサポートする細工済みのOfficeドキュメントをユーザがダウンロードするように攻撃者が仕向けると、攻撃者はその欠陥を悪用しユーザの権限を獲得した上で、そのコンピュータでコードを実行できるようになるという。ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができるようになる。攻撃者は、Word、PowerPointやExcel など、ほぼすべてのOfficeドキュメントを使ってこの欠陥を誘発できる。
対策： マイクロソフトは、こうした脆弱性問題を修正するアップデートをリリースしている。状況に適したOffice やVBAのパッチをできる限り早急にダウンロードし、テストしてから導入するか、Windowsの自動アップデートを使うことをすすめる。

日本語版をダウンロードする場合はドロップダウン・メニューから「Japanese」を選択すること。

Office XP

Office 2003

2007 Microsoft Office System

Microsoft Visual Basic for Applications

ウォッチガードユーザ： WatchGuardのFirebox製品の中には、Word、PowerPointやExcel などのOfficeドキュメントを遮断するように設定できるものもある。しかし、大方の組織では、仕事上Officeドキュメントを許可しておく必要があるため、先述のパッチを取り入れることが主な対策となる。どちらにせよ、Office ドキュメントをネットワークから遮断したいならば、次のリンクから、Fireboxプロキシのコンテンツ・ブロッキング機能を使って拡張子別にファイルを阻止することができる。次のリンクを参照すれば、その手順を説明するビデオを見ることができる。

注意が必要な拡張子は次の通り：

.doc

.docx

.ppt

.pptx

.xls

.xlsx

但し、ファイルを拡張子で阻止するようにした場合、悪質なファイルだけでなく正当なドキュメントも受け入れなくなる点に注意すること。

10.xを実行しているFirebox X Edge

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

Fireware 10.xを実行しているFirebox X Core やX Peak

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

ステータス： マイクロソフトは、こうした脆弱性問題を修正するアップデートをリリースしている。

参考資料：

マイクソフト・セキュリティアドバイザリ：MS10-031

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Outlook ExpressとWindows Mailのコード実行問題 2010年5月11日

Outlook ExpressとWindows Mailのコード実行問題

危険度：中

2010年5月11日

概要：

対象： 現バージョンのWindowsに搭載されているメール・クライアント（Outlook Express/Windows Mail）

悪用方法： 悪性のPOP3やIMAPメール・サーバにユーザが接続するように誘導
（中間者攻撃を仕掛けられるケースもあり）

影響： 攻撃者が攻撃用コードを実行すると、ユーザのコンピュータを完全に操作できるようになる可能性あり

対策： マイクロソフトのメール・クライアント・アップデートをできる限り早急にダウンロードし、テストしてからインストールするか、 Windowsの自動アップデートを使うこと

詳細：
Windowsバージョンはすべて無料のメール・クライアントを搭載させており、ユーザがメール・サーバからメールを取り込めるようにしている。旧バージョンのWindowsにはOutlook Expressが、そして、より最近のバージョンにはWindows MailやWindows Live Mailが搭載されている。「パッチの日」にリリースされたセキュリティアドバイザリで、マイクロソフトは新しい整数オーバーフローの脆弱性問題について説明しており、それはOutlook Express とWindows Mailに影響していると報告されている。細工したPOP3やIMAPのレスポンスをユーザのメール・クライアントに送信することで、攻撃者はこの整数のオーバーフロー欠陥を誘発し、そのユーザの権限を獲得した状態で、そのコンピュータでコードを実行できるようになる。通常のWindowsに見られる脆弱性と同様に、ユーザにローカル管理者の特権がある場合、攻撃者はこの欠陥を利用して被害者のPCを完全に操作できるようになる。

しかし、悪質なPOP3やIMAPのレスポンスをメール・クライアントに送信するには、攻撃者は被害者に、使用しているメール・クライアントを悪質なメール・サーバに接続するように設定するように仕向けなければならない。これは口にするより実践する方が遥かに困難であり、また攻撃者はこの欠陥を利用して中間者攻撃を仕掛ける可能性もある。被害者と被害者のメール・サーバの間に攻撃者が入り込むと、攻撃者は被害者のメール・トラフィックをすべて嗅ぎつけることができ、この脆弱性を誘発するように実際のメール・サーバのレスポンスを変更することも、論理的には可能になる。とは言っても実社会において、この種の攻撃を実行することは、どちらかというと困難であるため、そうした要因がこの脆弱性のリスクを抑えている。

対策：
マイクロソフトはOutlook ExpressとWindows Mailのアップデートをリリースし脆弱性を修正している。状況に適したアップデートをできる限り早急にダウンロードし、テストしてからインストールするか、Windowsの自動アップデートを使うことをすすめる。

日本語版をダウンロードする場合はドロップダウン・メニューで「Japanese」を選択すること。

Windows 2000

Outlook Express 5.5

Outlook Express 6

Windows XP

Outlook Express 6

Windows Live Mail

Windows XP x64

Outlook Express 6

Windows Live Mail

Windows Server 2003

Outlook Express 6

Windows Server 2003 x64

Outlook Express 6

Windows Server 2003 Itanium

Outlook Express 6

Windows Vista

Windows Mail

Windows Live Mail

Windows Vista x64

Windows Mail

Windows Live Mail

Windows Server 2008

Windows Mail

Windows Live Mail

Windows Server 2008 x64

Windows Mail

Windows Live Mail

Windows Server 2008 Itanium

Windows Mail

Windows Live Mail

Windows 7

Windows Mail

Windows Live Mail

Windows 7 x64

Windows Mail

Windows Live Mail

Windows Server 2008 R2 x64

Windows Mail

Windows Live Mail

Windows Server 2008 R2 Itanium

Windows Mail

Windows Live Mail

ウォッチガードユーザ：
WatchGuard アプライアンスの中にはPOP3プロキシを持つものもあり、WatchGuardのプロキシを設定して特定のアプリケーション・レイヤー攻撃を遮断することが可能な場合もよくある。しかし、そうするには脆弱性の根本的な技術詳細を知らなければならないのだが、残念ながら、マイクロソフトのセキュリティアドバイザリは攻撃者がどのようにPOP3やIMAPレスポンスを変更するか、その詳細について公開していない。そうした技術詳細なしには、ウォッチガードの POP3プロキシが役に立つかどうかは明確ではない。そのため、先述のパッチを取り入れることが主な対策となる。

ステータス：
マイクロソフトは、この脆弱性問題を修正するアップデートをリリースしている。

参考資料：

マイクソフト・セキュリティアドバイザリ：MS10-030

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

WatchGuardのDNSプロキシはDNSSECをサポート 2010年5月10日

WatchGuardのDNSプロキシはDNSSECをサポート

2010年5月3日

米国時間の5月5日、ICANN（アイキャン： Internet Corporation for Assigned Names and Numbers）（およびその他パートナー）は、インターネットのルートDNSサーバ全13でDNSSECを開始させ、その第一段階を完了させる予定だ。ネットワーキング・デバイスにおいて、DNSSECは通常のDNSトラフィックがどのように「見えるか」大きく変えることになるため、変更後は特定のネットワークやデバイスがDNSSECトラフィックを適切に処理できず、インターネットにアクセス（ドメイン名使用）できないようにしてしまうのでは、と懸念する専門家も中にはいる。

DNSSECの変更に伴いネットワーキング・ギアに影響がありそうな変更点は下記の通りだ。しかし、このアラートの主旨はパケット・フィルターやプロキシしたDNSポリシーを使用している場合でも、WatchGuardのFireboxやXTMアプライアンスでは問題なくDNSSECの変更を受け入れられることを連絡するものである。

知っての通り、DNS（ドメイン名システム）はユーザが読みやすい名称に関連させたIP アドレスをコンピュータがわかるようにするインターネット・プロトコルで、ドメイン名と呼ばれている。DNSはよく機能しているものの、専門家達は何年にも渡りそのセキュリティ面について懸念してきた。実際2008年の半ばには、有名なセキュリティ研究家ダン・カミンスキーがDNSキャッシュ・ポイズニング攻撃を攻撃者が仕掛けるようにしてしまうDNSプロトコルに内在する欠陥について警告した。欠陥の詳細については、こちらのアラートまたはラジオフリー・セキュリティのエピソードを参照することをすすめる。カミンスキーが警告した欠陥の中には修正可能なものもあるが、少なくともそのうち1つはDNSプロトコル自体に内在する中枢的な脆弱性だった。カミンスキーの攻撃はDNSスタンダードに強力なセキュリティが必要であることを世界に知らしめたのである。そして主に新しいセキュリティ拡張を追加したDNSプロトコル・アップデートが、今回のDNSSEC、その新しいスタンダードというわけだ。簡潔に言えば、DNSSECがDNSレスポンスへのデジタル署名を追加する場合、それは公開キー暗号を使いDNSレスポンスが実際に信頼できるDNSサーバからきたものであることをユーザのコンピュータが確認できるようにする。

技術詳細の説明は省くが、DNSSECはDNSトラフィックの様子を次のように変えることになる：

DNSレスポンスはデジタル署名のためのスペースを確保するため、これまでよりも大幅に大きなパケットとしてやってくる。

DNSレスポンスは複数のパケット（フラグメント）でくる場合もある。従来のDNSは小さいパケットを使うようにしていたため、そうしたケースは稀であった。

DNSはこれまでに比べ頻繁にTCPパケットを使うようになる。従来のDNSは主にUDPを使用していた。

DNSレスポンスはEDNS拡張を含んでいる。

異常があるか確認するために、DNSトラフィックを解析するルータやファイアウォールなどネットワーク・デバイスを使用している場合、このようなDNSの変更点において問題が出てくるケースもあるだろう。例えば、そのネットワーキング・デバイスが大きなDNSレスポンスを好まなかったり、フラグメント化したIPトラフィックを許可しない場合、またEDNS拡張をサポートしないといった場合もあるだろう。そうすると5月5日以降、DNSクライアントやDNSサーバがICANNのルートDNSサーバに交信できないようになる可能性がある。DNSトラフィックを解析したりフィルターするネットワークデバイスを使用している場合は、そのデバイスにDNSSECとの互換性があるかチェックしておくことを強くすすめる。

その点、ウォッチガードのFireboxやXTMアプライアンスにおいては、この新しいDNSSECパケット問題は見られないだろう。ウォッチガードは、最新版のファームウェアを入れているXTMアプライアンスでDNSSECクエリが受け入れられることをすでに確認しているほか、DNSプロキシやDNSパケット・フィルタ・ポリシにおいても、そうしたクエリと問題がないことも検証済みだ。そしてトラステッド・ネットワークと外部ネットワーク両方のDNSサーバでDNSSECクエリの受信、送信どちらもテスト済みである。つまり、どのケースにおいてもウォッチガードのアプライアンスでは、DNSSECクエリを通過させる点に問題は見られなかった。つまり、5月5日（水）に始まるDNSSEC変更に関連する問題は、ウォッチガードのFireboxにおいては見られないだろう。

DNSSECの技術詳細について興味があれば、RFCを参照することをすすめる。また、DNSSECの変更により、他のネットワーキング・デバイスにどのような影響があるのかを知りたければ、次のリンクを参照することをすすめる。

[ 1 / 2 ]
続きを読む»

アップルのOS Xアップデートが深刻問題 "Pwn2Own"欠陥（1）を修正　2010年4月15日

アップルのOS Xアップデートが深刻問題 "Pwn2Own"欠陥（1）を修正

危険度：　高

2010年4月15日

概要：
対象：
　　OS X 10.5.x (Leopard) /OS X 10.6.x （Snow Leopard）のバージョンすべて

攻撃方法：
　　有害なウェブサイトにユーザを誘導

影響：
　　攻撃者はユーザの特権を受け継いだ上で、そのコンピュータでコードを実行できる

対策：
　　OS xの管理者はセキュリティ・アップデート2010-003をダウンロードし、テストしてからインストールすることをすすめる。アップルの自動ソフトウェア・アップデートをオンにしているなら、その作業を自動で行うことができる。

詳細：

米国時間の4月14日、アップルはOS X 10.5.x や10.6.xに影響するセキュリティ欠陥（1）を修正するセキュリティアップデートを公開した。ATFとは、埋め込まれたフォントを処理し表示するOS Xのコンポーネントだが、この欠陥は、そのアップルのフォント・サービス（ATF）にある。つまり、ATFは細工済みの埋め込みフォントを適切に処理することができないのである。

悪質なウェブサイトに埋め込まれた細工済みのドキュメントをユーザの1人にダウンロードさせ、それを閲覧させるように誘導すると、攻撃者はこの脆弱性を悪用してユーザの特権を受け継いだ状態で、そのコンピュータでコードを実行する。OS Xはルート・ユーザの特権を基本ユーザのアカウント特権とは切り離しているので、攻撃者がこれをすぐに悪用しユーザのMacを完全に操作できるようにはならない。但し、攻撃者はユーザができることは実行できるので、被害者は攻撃者に重要なアクセス権を渡してしまったり、コンピュータを操作されてしまうおそれがある。

この欠陥はフォント処理コンポーネントに起因しているが、攻撃者がウェブ・ブラウザ経由で攻撃を仕掛けてくるのが大方だろう。事実、この欠陥を発見したチャーリー・ミラーという研究者は、去年のCanSecWestセキュリティ・コンフィレンスで開催されたPwn2Ownコンテストにて、その方法でこの欠陥を見つけている。ミラーは、埋め込みフォントを含んだ悪質なウェブサイトにSafariユーザを誘導し、ATF脆弱性を誘発した。ちなみに、ミラーはそのコンテストで1万ドルの賞金を受取っている。コンテストの一部として、参加者は使用した欠陥を一般公開しないことに同意しなければならない。そして、問題の影響を受けているベンダが問題を修正するまで、その情報を開示しないTippingPointに、そうした情報は渡されている。つまり、実社会の攻撃者は、まだこの欠陥の悪用方法について知らないであろう。とはいっても、ニュースで大きく扱われれば、攻撃者の興味を引くことは確かなので、アップルが提供しているセキュリティアップデートをできる限り早急にダウンロードし、テストすることをすすめる。

対策：
アップルはセキュリティ問題を修正するOS xセキュリティ・アップデート2010-003をリリースしているので、OS X管理者は使用環境に適したアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。

日本語対応：
セキュリティアップデート 2010-003(Leopard)

セキュリティアップデート 2010-003(Leopard Server)

セキュリティアップデート 2010-003(Snow Leopard )

注意：
使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用することで状況に適したアップデートを自動的に選ぶことができる。

全ユーザ対象：
この攻撃は、ユーザがインターネットへアクセスするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先述のパッチをインストールすることが主な対策となる。

ステータス：
アップルはこの欠陥を修正するアップデートをリリースしている。
参考資料：
OS x 10.5x /10.6.x セキュリティアップデート（2010年4月）

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

悪質なPublisherとVisioドキュメントに要注意　2010年4月13日

悪質なPublisherとVisioドキュメントに要注意

危険度：高

2010年4月13日

概要：

対象：
Microsoft Office PublisherとVisioの現バージョン

悪用方法：
細工されたPublisher やVisioドキュメントをユーザが開くように誘導

影響：
攻撃者が攻撃用コードを実行するとユーザのコンピュータを
完全に操作できるようになる可能性がある

対策：
状況に適したOffice PublisherやVisioのパッチを至急インストールするか、
マイクロソフトのアップデート機能を使って自動的にパッチをインストールすること

詳細：
米国時間の4月13日、マイクロソフトはOfficeシリーズ製品に含まれているMicrosoft Office PublisherやMicrosoft Visioで発見された3つの脆弱性についてセキュリティアドバイザリを2件公開した。脆弱性の技術面や、影響を与えるOfficeアプリケーションにおいては異なるが、その一般的範囲と影響は同様である。攻撃者がユーザの1人に細工済みのPDFドキュメント(.pdf)をダウンロードさせ、それを開くように仕向けると脆弱性のいずれかを悪用し、そのユーザの特権と許可権を引き継ぎ、そのコンピュータでコードを実行する。ユーザにローカル管理者の特権があった場合、攻撃者はユーザのマシーンを完全に操作できるようになる。

こうした欠陥の主な違いは、欠陥を誘発するドキュメントの種類である。脆弱なドキュメントの種類にはPublisher (.PUB)、 Visio (.VSD, .VST, .VSS, .VDX)があるとマイクロソフトは報告している。各欠陥の詳細について知りたければ、セキュリティアドバイザリにある脆弱性の詳細の欄を参照することをすすめる。

MS10-023　Microsoft Office Publisherのコード実行問題（評価：重要）

MS10-028　MicrosoftVisioのコード実行問題（評価：重要）

対策：
マイクロソフトはPublisherとVisioの脆弱性を修正するパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に取り入れること。また、別の方法としてはマイクロソフトの自動アップデート機能を使い、自動的にその作業を行うこともできる。

MS10-023

Office Publisher 2003

Office Publisher 2007

MS10-028

Office Visio 2002

Office Visio 2003

Office Visio 2007

ウォッチガードユーザ：
Microsoft PublisherやVisioドキュメントをネットワークから遮断するように設定できるWatchGuard Fireboxもあるが、ビジネス上そうしたファイルの種類を許可しておかなければならない場合もあるだろう。そのため、先述のパッチを取り入れることが主な対策となる。 Office ドキュメントをネットワークから遮断したければ、Fireboxプロキシのコンテンツ・ブロッキング機能を使い、ファイル拡張子別に阻止することができる。阻止しておきたい拡張子は.PUB/.VSD/.VDXなど。ファイルを拡張子で阻止するようにした場合、悪質なファイルだけでなく正当なドキュメントも受け入れないようになる点に注意すること。

手順詳細については、次のビデオを参照することをすすめる：

10.xを実行しているFirebox X Edge

FTP プロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3 プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

Fireware 10.xを実行しているFirebox X CoreやFirebox X Peak

FTPプロキシでファイルを遮断するには？

HTTP プロキシでファイルを遮断するには？

POP3プロキシでファイルを遮断するには？

SMTP プロキシでファイルを遮断するには？

ステータス：
マイクロソフトは、Officeの脆弱性問題を修正するアップデートをリリースしている。

参考資料：

マイクソフト・セキュリティアドバイザリ：MS10-023

マイクソフト・セキュリティアドバイザリ：MS10-028

マイクロソフトセキュリティホーム

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Microsoft ExchangeとWindows SMTP ServiceのDoS脆弱性　2010年4月13日

Microsoft ExchangeとWindows SMTP ServiceのDoS脆弱性

危険度：高

2010年4月13日

概要：

対象：
Exchange Serverの現バージョンと、Windowsバージョン

悪用方法：
細工したネットワークトラフィックを送信（悪質なDNS MXレコード・レスポンス）

影響：
その影響は様々だが、最悪の場合は攻撃者がユーザのメールサーバをクラッシュさせ、メール受信ができないようにすることも可能

対策：
状況に適したExchange ServerやWindowsのパッチをできる限り早急に取り入れるか、Windowsの自動アップデート機能を使うこと

詳細：
Microsoft Exchangeは、現在使われているメールサーバの中でも一番人気である。スタンドアローン・プログラムでWindowsとは別だが、Windowsバージョンにはメールを受信するための基本的なSMTPサービスを搭載させているものが多い。

米国時間の4月13日に公開したセキュリティアドバイザリで、マイクロソフトはExchangeの現バージョンと、いくつものWindowsバージョンに搭載されているSMTPサービスに影響する2つのセキュリティ脆弱性について説明した。その中でも悪質な欠陥は、細工されたDNSMail Exchanger (MX) レコードをExchangeが処理する方法に関与している。つまり、細工したMXレコードを解析しようとすると、SMTPサービスが終わりなく応答を停止する（ハング）ようになるのである。この脆弱性を悪用するにあたって、攻撃者は自分が管理しているドメイン用の悪質なDNSサーバを設定しなければならない。さらに攻撃者は、被害者となる人物にそのドメインからのアドレスを含むメールを送信しなければならない。そして、そのドメインに関係するMXレコードをユーザのメールサーバがリクエストしようとすると、攻撃者が細工したMXレコードと接触し、手動で再起動させるまで応答停止状態になってしまう。そして、それはメールをサービス拒否 (DoS)の状態に追い込むことになる。

マイクロソフトのアドバイザリは、Exchangeに見られるリスクの低い情報開示問題についても説明している。細工したSMTPコマンドを送信することで、攻撃者はランダムなメールのフラグメントをユーザのサーバのメモリから読み出す可能性があるという。ライブセキュリティではそうした問題も修正するため、できる限り早急にExchangeとWindowsアップデートをダウンロードし、インストールすることをすすめている。

対策：
マイクロソフトは脆弱性問題を修正するアップデートをリリースしている。状況に適したExchangeやWindowsパッチをできる限り早急に導入することをすすめる。

マイクロソフト・セキュリティアドバイザリ（日本語）

注：　日本語版をダウンロードする場合はChoose Languageのドロップダウン・メニューから[Japanese]を選択し[Change]をクリックする：

Exchange Server 2000

Exchange Server 2003

Exchange Server 2007 w/SP1

Exchange Server 2007 w/SP2

Exchange Server 2010

SMTP Serviceのアップデート先：

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 R2 x64

ウォッチガードユーザ：
内部メールサーバがある場合、攻撃者はファイアウォールを通過できるようにしておかなければならない普通のメールを送信することで悪質な脆弱性を悪用できる。このため、先述のパッチを取り入れることが最善の対策方法となる。

ステータス：
マイクロソフトは、こうした脆弱性問題を修正するアップデートをリリースしている。

参考資料：

マイクソフト・セキュリティアドバイザリ：MS10-024

マイクロソフトセキュリティホーム

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

20件以上のセキュリティホールを修正するマイクロソフトWindowsアドバイザリ8件　2010年4月13日

20件以上のセキュリティホールを修正するマイクロソフトWindowsアドバイザリ8件

対象：SMB Clienｔ/WMP/Kernel、その他

危険度：高

2010年4月13日

概要：

対象：
現バージョンのWindowsとそれに搭載されているコンポーネント

悪用方法：
細工したネットワークパケットを送信したり、細工したメディアを
ユーザが開くように誘導するなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合は攻撃者が被害者の
Windowsコンピュータを完全に操作できるようになる

対策：
状況に適したマイクロソフトのパッチを至急インストールするか、マイクロソフトの
アップデート機能を使ってパッチを自動インストールすること

詳細：
米国時間の4月13日、マイクロソフトは現バージョンのWindowsとそれに搭載されているコンポーネントに影響する20件以上の脆弱性について、8件のセキュリティアドバイザリを公開した。各脆弱性が影響しているWindowsのバージョンは異なり、その度合いも同様ではないが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作することが可能。次に、その危険度が高いものから順にリストに挙げておく。

MS10-020
SMB Client のコード実行問題
マイクロソフトのサーバ・メッセージ・ブロック（SMB）は、Windowsがファイルシェアやプリントシェアに使うプロトコルである。マイクロソフトによると、Windows SMBクライアントは5つのセキュリティ脆弱性の影響を受けており、そのうち4つは攻撃者が悪質なコードを実行できるようにしてしまうという。欠陥はそれぞれ異なるが、攻撃者はすべてを同じ方法で悪用することができる。悪質なSMBサーバにユーザの1人が接続するように仕向けると、攻撃者は欠陥の1つを悪用して脆弱なWindowsコンピュータを完全に操作できるようになる。

マイクロソフトの評価：　深刻

MS10-019
Authenticodeのコード実行問題（2）
マイクロソフトはWindowsに組み込んだ Authenticodeというメカニズムを構築している。Authenticodeは開発者達がPublic-Key Cryptography standards（公開鍵暗号技術基準）を使って、自分達の実行可能プログラムに署名できるようにするものである。そして、このメカニズムは実行しているプログラムの発行元をユーザ（オペレーティングシステム）が確認することができるようにする。例えば、Windowsにドライバをインストールした際、それに署名がされていないというメッセージを見たことがあるかもしれない。そのメッセージは、このAuthenticode Signature Verificationシステムによるものである。

4月13日に公開されたアドバイザリでは、そのAuthenticodeに関与する様々なコンポーネントが2つのセキュリティ脆弱性の影響を受けていると説明されている。欠陥の技術面は異なるが、その影響は概して同様である。攻撃者はユーザの1人が、細工済みの.EXEファイルや.CABファイルをダウンロードしそれを開くように誘導することで、いずれかの欠陥を利用しユーザのコンピュータを完全に操作できるようになる。

マイクロソフトの評価：深刻
MS10-025
Win2Kメディアサービスのバッファ・オーバーフロー問題 Windows Media Services に搭載されているWindows 2000 (Win2k)は、オンデマンドのストリーミング・オーディオやビデオ用のサーバをユーザが作成できるようにするものである。しかし残念なことにWindows Media Servicesの1つが（ユニキャスト・サービス、nsum.exe）、細工された不正形式のネットワークパケットを処理する方法に関与するバッファ・オーバーフローの影響を受けている。攻撃者は細工されたパケットをユーザのWindows 2000 Media Serverに送信し、脆弱性を悪用してそのマシーンを完全に操作できるようになる。とはいっても、Windows 2000 は初期設定でWindows Media Servicesを有効にしていないので、特にそれを有効にしていなければ、この欠陥に対して脆弱ではない。

マイクロソフトの評価：深刻
MS10-026
MP3コーデックのバッファ・オーバーフロー問題 MPEG Layer-3、別名MP3はコンピュータなどのデジタルデバイスでの音声再生において、音声を圧縮するために使用するオーディオ・エンコード形式である。ミュージックファイルやビデオファイル内でMP3オーディオをデコードしたり、再生したりするために使う特別なコーデックがWindowsには搭載されている。

WindowsのMP3コーデックは、細工されたMP3オーディオ付きAVIムービーを処理する方法に関与するバッファ・オーバーフロー脆弱性の影響を受けている。攻撃者がユーザの1人に細工済みのAVI ファイルをダウンロードさせ、それを再生するように仕向けると、攻撃者はユーザの特権を受け継いだ状態で、そのユーザのコンピュータで脆弱性を悪用できるようになる。ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができる。

マイクロソフトの評価：深刻
MS10-027
WMP のコード実行問題 Windows Media Player (WMP)は、Windowsに搭載されているオーディオとビデオを再生することができる。また、 WMPにはActiveXコントロールもあり、ウェブサイトでホストされているメディアを再生もできる。WMP ActiveXコントロールは、未特定のコード実行脆弱性の影響を受けており、それは悪質なウェブサイトでホストされている細工済みのメディアを処理する方法に関与している。攻撃者がユーザの1人をビデオが埋め込まれているウェブサイトに行くように誘導すると、攻撃者はその欠陥を悪用し、ユーザの特権を受け継いだ状態で、そのユーザのコンピュータでコードを実行できる。さらに、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができるようになる。この脆弱性はWindows 2000とXPに搭載されているWMP 9 のみに影響している。

マイクロソフトの評価：深刻
MS10-021
Windowsカーネルの特権の昇格とDoS問題（複数） カーネルはコンピューターのオペレーティングシステムにおいて、中心的なコンポーネントである。Windowsカーネルは複数のサービス拒否（DoS）や特権の昇格の脆弱性問題の影響を受けている。攻撃者は、細工したプログラムを実行することで、こうした欠陥を利用しユーザのコンピュータをクラッシュさせたり、ロックさせたりすることができる。また、ユーザのWindowsコンピュータを完全に操作できるようになる可能性もある。しかし、攻撃者はまず被害者となる人物のWindowsコンピュータにおいて有効なクレデンシャルでローカルアクセス権を獲得しなければならない。そうした点から、この欠陥のリスクは大幅に減少する。

マイクロソフトの評価：重要

MS10-022
VBScript F1 のコード実行問題 VBScriptつまり、ビジュアル・ベーシック・スクリプティングは、マイクロソフトがはじめたスクリプト言語で、Windowsやそのアプリケーションが使用している。しかしVBScript はインターネットエクスプローラ経由でWindows Helpと関わる方法に関与する、複雑なセキュリティ欠陥の影響を受けている。この脆弱性は被害者が細工済みのウェブページでF1キーを押す場合にのみ発生する。過去にパッチされていなかったこの問題の詳細については、3月上旬に報告したWireを参照することをすすめる。概要をいえば、攻撃者はユーザの1人が悪質なウェブページに行くように仕向け、ユーザがそのウェブページでF1キーを押すように仕掛けると（偽りの理由でユーザがF1を押すように指示するポップアップを表示するなど）、攻撃者はこの欠陥を悪用してユーザの特権を獲得し、そのユーザのコンピュータでコードを実行する。いつものように、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのPCを完全に操作することができる。

マイクロソフトの評価：重要

MS10-029　
IPv6 ISATAPソース偽造問題 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)は、IPv4 ネットワークでIPv6 パケットを送信できるようにデザインしたIPv6トランジション・メカニズムである。 Windowsの ISATAP コンポーネントは、偽造脆弱の可能性がある問題の影響を受けている。基本的に、Windows TCP/IPスタックはトンネルされたISATAPパケット用のソースアドレスを適切に認証しない。攻撃者は細工したIPv6パケットを送信することでこの欠陥を利用し、被害者のネットワークにある別のアドレスに見せ掛け、ファイアウォールで行っているアドレスベースのフィルターを迂回する可能性がある。しかし、この脆弱性はISATAPインターフェイスを設定しているシステムにのみ影響していることから、そのリスクは大幅に減少する。

マイクロソフトの評価：中
マイクロソフトは同日にExchangeのセキュリティアドバイザリも公開し、Windowsに影響する脆弱性についても説明している。今日リリースする別のライブセキュリティ記事で、このWindowsおよびExchange脆弱性の詳細を説明する。
対策： マイクロソフトはこうした脆弱性を修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードしテストしてから、ネットワーク全体に取り入れること。また、別の方法としてマイクロソフトの自動アップデート機能を使い自動的にその作業を行うこともできる。

マイクロソフト・セキュリティアドバイザリ（日本語）

注：　日本語版をダウンロードする場合はChoose Languageのドロップダウン・メニューから[Japanese]を選択し[Change]をクリックする： MS10-020

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 Itanium

MS10-019

Windows 2000

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 5.1

Windows XP

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 6.0

Windows XP x64

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 6.0

Windows Server 2003

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 6.0

Windows Server 2003 x64

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 6.0

Windows Server 2003 Itanium

Authenticode Signature Verification 5.1

Cabinet File Viewer Shell Extension 6.0

Windows Vista

Authenticode Signature Verification 6.0

Cabinet File Viewer Shell Extension 6.0

Windows Vista x64

Authenticode Signature Verification 6.0

Cabinet File Viewer Shell Extension 6.0

Windows Server 2008

Authenticode Signature Verification 6.0

Cabinet File Viewer Shell Extension 6.0

Windows Server 2008 x64

Authenticode Signature Verification 6.0

Cabinet File Viewer Shell Extension 6.0

Windows Server 2008 Itanium

Authenticode Signature Verification 6.0

Cabinet File Viewer Shell Extension 6.0

Windows 7

Authenticode Signature Verification 6.1

Cabinet File Viewer Shell Extension 6.1

Windows 7 x64

Authenticode Signature Verification 6.1

Cabinet File Viewer Shell Extension 6.1

Windows Server 2008 R2 x64

Authenticode Signature Verification 6.1

Cabinet File Viewer Shell Extension 6.1

Windows Server 2008 R2 Itanium

Authenticode Signature Verification 6.1

Cabinet File Viewer Shell Extension 6.1

MS10-025

Windows Server 2000

注意：　この脆弱性はこれ以外のWindowsバージョンには影響しない
MS10-026

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

注意：　この脆弱性はこれ以外のWindowsバージョンには影響しない

MS10-027

Windows Media Player 9：

Windows Server 2000

Windows XP

Windows XP x64

注意：　この脆弱性はこれ以外のWindowsバージョンには影響しない

MS10-021

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

Windows 7

Windows 7 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 x64

MS10-022

Windows 2000

VBScript 5.1

VBScript 5.6

VBScript 5.7

Windows XP

VBScript 5.6

VBScript 5.7

VBScript 5.8

Windows XP x64

VBScript 5.6

VBScript 5.7

VBScript 5.8

Windows Server 2003

VBScript 5.6

VBScript 5.7

VBScript 5.8

Windows Server 2003 x64

VBScript 5.6

VBScript 5.7

VBScript 5.8

Windows Server 2003 Itanium

VBScript 5.6

VBScript 5.7

Windows Vista

VBScript 5.7

VBScript 5.8

Windows Vista x64

VBScript 5.7

VBScript 5.8

Windows Server 2008

VBScript 5.7

VBScript 5.8

Windows Server 2008 x64

VBScript 5.7

VBScript 5.8

Windows Server 2008 Itanium

VBScript 5.7

Windows 7

VBScript 5.8

Windows 7 x64

VBScript 5.8

Windows Server 2008 R2 x64

VBScript 5.8

Windows Server 2008 R2 Itanium

VBScript 5.8

MS10-029

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008

Windows Server 2008 x64

Windows Server 2008 Itanium

注意：　この脆弱性はこれ以外のWindowsバージョンには影響しない

ウォッチガードユーザ：

攻撃者はこうした欠陥を悪用することで様々な攻撃方法を使うことができる。正しく設定されているファイアウォールは、こうしたいくつかの問題のリスクを緩和させることができる。実際、Fireboxはその初期設定において、ネットワークアクセスを必要とする、ほぼすべてのマイクロソフトの欠陥（主にSMB関連の脆弱性）を阻止することができる。また、こうした攻撃を遂行するには必要な種類のファイルをFireboxが遮断できるように設定することも可能だ（ファイル種類：.EXE /.CAB）。とはいっても、Fireboxはローカル攻撃からネットワークを保護したり、普通のHTTPトラフィックを利用した攻撃を阻止することはできない。このため、マイクロソフトが提供しているアップデートをインストールすることがもっとも安全な対策方法である。
ステータス： マイクロソフトは、こうした問題を修正するパッチをリリースしている。

参考資料：

マイクロソフト・セキュリティアドバイザリ（日本語）

Wire　(日本語)

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

Adobeパッチの日：Reader 問題（15件）を修正するアップデート 2010年4月13日

Adobeパッチの日：　Reader 問題（15件）を修正するアップデート

危険度：高

2010年4月13日

概要：

対象：
Windows/Mac/UNIX で使用しているAdobe Readerや
Acrobat 9.3.1とそれ以前のバージョン

悪用方法：
細工したPDFドキュメントをユーザが閲覧するように誘導

影響：
攻撃者はユーザのコンピュータで攻撃用コードを実行し、
それを完全に操作できるようになる可能性がある

対策：
AdobeのReaderやAcrobat 9.3.2アップデートをできる限り早急に
インストールすること（AdobeのUpdaterを使用する方法もある）

詳細：
Adobeは年4回行っているパッチの日に（マイクロソフトのパッチの日と同様）、Windows、MacやUnixに入れているAdobe ReaderやAcrobat 9.3.1とそれ以前のバージョンに影響しているセキュリティ問題15件について、セキュリティアドバイザリを公開した（数字はCVE-IDによる）。こうした欠陥は、それぞれ技術面では異なるが、主にバッファ・オーバーフローやメモリ破損の脆弱性を含み、その対象と影響は同様だ。最悪の場合、攻撃者はユーザの1人に細工済みのPDFドキュメント(.pdf)をダウンロードさせ、それを開くように仕向けると、ユーザの特権を備えた上で、そのコンピュータで様々な脆弱性を悪用する。ユーザにローカル管理者の特権があった場合、攻撃者はユーザのマシーンを完全に操作できる。今年始めにライブセキュリティは、2010年はAdobeのような第三者のアプリケーションを攻撃者が標的にするケースが増えるだろうと予想した。最近では別のセキュリティ企業が、攻撃者にもっとも悪用されているアプリケーションがAdobe Readerであることを示し、我々の予想が当たっていることを証明した。このような理由から、Readerのアップデートを至急ダウンロードし、インストールすることをすすめる。

対策：
Adobe はReaderとAcrobat 9.3.2をリリースし、こうした脆弱性をすべてのプラットフォームで修正できるようにしている。状況に適したアップデートを至急ダウンロードし、導入すること。また、別の方法としてはAdobeのSoftware Updaterプログラムを使い、アップデートを自動的に行う方法もある。

Adobe Reader 9.3.2

Windows

Mac

UNIX

Adobe Acrobat

Standard /Pro （Windows）

Pro Extended （Windows）

3D（Windows）

Pro （Mac）

ウォッチガードユーザ：
WatchGuard のFireboxシリーズの多くは受信するPDFファイルをブロックすることができるが、管理者の大半はビジネス上、そうした種類のファイルを許可する傾向にある。しかし、仕事の上でどうしてもPDFファイルが必要だというのでなければ、パッチをインストールするまではFireboxのHTTPやSMTPプロキシを使って問題のファイルタイプをネットワークから遮断することを検討してもいいだろう。 PDFドキュメントをネットワークから遮断したい場合は、Fireboxプロキシのコンテンツ・ブロッキング機能を使ってファイル拡張子別にファイルを阻止すればいい（この場合は .pdf）。

その手順を説明するビデオのリンクは次の通り：

10.xを実行しているFirebox X Edge

FTP プロキシを遮断するには？

HTTP プロキシを遮断するには？

POP3 プロキシを遮断するには？

SMTP プロキシを遮断するには？

Fireware 10.xを実行しているFirebox X Core やX Peak

FTP プロキシを遮断するには？

HTTP プロキシを遮断するには？

POP3 プロキシを遮断するには？

SMTP プロキシを遮断するには？

ステータス：
Adbeはこうした脆弱性を修正するパッチを公開している。

参考資料：

Adobeのセキュリティ情報（4月）

Adobeの日本サイト

この記事はコーリー・ナクライナーCISSP（Corey Nachreiner, CISSP）により調査され書かれたものです。
続きを読む»

思いがけなくリリースされたFirefox 3.6.3 Pwn2Own ゼロデイを修正　2010年4月5日

思いがけなくリリースされたFirefox 3.6.3
Pwn2Own ゼロデイを修正

危険度:中

2010年4月5日

概要：

対象：
Windows、Linux、Macintosh対象のFirefox 3.6.2

攻撃方法：
悪性のウェブ・ページにユーザを誘導する

影響：
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
Firefox 3.6.3にアップグレードすること

詳細：
Firefox 3.6.2をリリースした数週間後、Mozillaは緊急でFirefoxのアップデートをリリースした。そのバージョンでは、有名なセキュリティ会議で行われたハッキングコンテストで開示されたゼロデイの脆弱性を修正している。

先週の金曜にリリースされたこのFirefox 3.6.3が修正したセキュリティ脆弱性（1件）は、自称"Nils"という研究者が CanSecWest Pwn2OwnコンテストでFirefoxを入れたノートパソコンをハイジャックするために使用した脆弱性を修正している。

NilsはFirefox 3.6でメモリ破損の脆弱性を発見した。つまり、Firefoxが過去にメモリから解放したはずのオブジェクトを再利用する可能性に、その脆弱性は関与している。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態でユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったりルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。この欠陥の詳細について知りたければ、Firefox 3.6.x Known Vulnerabilities ページにあるMozilla's 2010-25 セキュリティアドバイザリを参照することをすすめる。

Pwn2Ownコンテストで勝利を納めるにあたり、"Nils"のような研究者達はTipping Pointの「 Zero Day Initiative」に、これまでにリリースされていない脆弱性を開示しなければならない。TippingPointはベンダが問題に対応するパッチを出すまで、攻撃の詳細は開示しないようになっているのだが、今回Mozillaがパッチを用意したことにより、攻撃者達はこの欠陥を解析して模倣、つまりリバースエンジニアリングをすることが可能になった。そのため、Firefoxの利用者はできる限り早急に3.6.3バージョンをインストールすることをすすめる。

対策：
MozillaはFirefox 3.6.3をアップデートし、このPwn2Own セキュリティ問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.3をダウンロードし導入することをすすめる。

注意：
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。

自動アップデート受信が設定されているか確認するには、Tools（ツール）→ Options（オプション）→ Advanced Tab（アドバンス・タブ）→ Update Tab（アップデート・タブ）でできる。この際、Automatically check for Updates（自動的にアップデートをチェックする）というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。

全ユーザ対象：
この攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先述のパッチをインストールすることが主な対策となる。

ステータス：
MozillaはFirefox 3.6.3をリリースし、FirefoxのPwn2Ownを修正している。

参考資料：

Firefox 3.6.3 リリース・ノート

Firefox 3.6.3で修正された脆弱性

Mozillaの日本語サイト

続きを読む»

Oracle（Sun）Java アップデートが27のセキュリティ問題を修正　2010年3月31日

Oracle（Sun）Java アップデートが27のセキュリティ問題を修正

危険度：高

2010年3月31日

概要：

対象：
Windows、Solaris、Linux 対象のSun Java Runtime Environment（JRE）全バージョンと、 3月30日以前にリリースされたJava Development Kit（JDK）

攻撃方法：
細工したJavaを含む悪質なウェブページにユーザを誘導するなど、様々な攻撃方法がある

影響：
結果は様々だが、最悪の場合には攻撃者がユーザのコンピュータを完全に操作できるようになる

対策：
できる限り早急に状況に適したJRE（またはJDK）のアップデートをインストールすること

詳細：
サン・マイクロシステムズによって初めて実施されたプログラミング言語のJavaは、ウェブページに巧妙な機能を追加するためによく使われており今日見られるオペレーティング・システムの大方は、ウェブサイトやその他からのJavaコードを認識・処理するためにJavaインタプリタを実行している。OracleのSunJavaランタイム・エンバイロメント (JRE)は、現在インターネットで一番人気が高いJavaインタプリタのひとつである。ところが米国時間の3月30日、Secuniaがセキュリティ・アラートを発表しWindowsやSolaris、Linuxなどのプラットフォームで使用されている、これまでにリリースされたSun JRE（およびSun Java SDK）全てのバージョンに影響する27の脆弱性について警告した。各脆弱性は技術的には大きく異なるものの、細工したJavaを取り入れた悪質なウェブページにユーザを誘導するなどして、攻撃者は似たような方法で、それぞれの問題を悪用することができる。最悪の場合、ユーザがそのような悪質なサイトを訪れると、攻撃者はJavaの欠陥をいくつか利用してユーザのコンピュータで攻撃用コードを実行することができる。また、ユーザにローカル管理者の権限がある場合、攻撃者はこうした欠陥を悪用することで、ユーザのコンピュータを完全に操作できるようになる可能性がある。さらに攻撃者は、その他の脆弱性を使ってサービス拒否攻撃を開始したり、ユーザのコンピュータにある機密情報を開示したりすることもできる。

SolarisネットワークやLinuxネットワークを実行している場合は、おそらくSun JREを使用しているかどうか知っていることだろう（大方の場合は使用している）。しかし過去にはマイクロソフト独自のJavaインタプリタであるJava仮想マシン（MSJVM）がWindowsに搭載されていたため、Windowsネットワークを管理している場合、その状況はそれほど明確ではない。過去のバージョンのIEは、このMSJVMを使用してJavaアプレットを解釈するため、IEを使用している大方のウィンドウズ・ユーザはこの欠陥に対して脆弱ではない。マイクロソフトはSunとの法的な争いから、最新バージョンのWindowsでMSJVMの使用を打ち切ることになった。例えば、Windows Server 2003やSP1やSP2に付いてくるWindows XPバージョンにはMSJVMが搭載されていない（自分でSP1やSP2にアップグレードしたXPユーザはMSJVMを使用している）。Windows 7 とServer 2008もMSJVMに搭載されていない。新にリリースされたWindowsでは、自分でJavaインタプリタをダウンロードしなければならないようになっているため、その場合はおそらくSun JREを使用していることだろう。こうした理由から早急にアップデートすることが必要だ。

対策：
Sunは様々なJREやSDKアップデートをリリースし、この問題を修正している。ネットワークでSun JREを使用している場合は、できる限り早急に状況に適したアップデートをダウンロードし導入すること。

JRE / JDK 6.0： アップデート19のダウンロード先

これまでにリリースされたJavaのサービスは終了（EOSL）している。このリリースに関する詳細情報についてはこちらのページを参照することをすすめる。注意：
Sun JRE クライアントが自動的にアップデート通知を行うこともあるので、その場合はそれに従ってこのアップデートをインストールすること。

ウォッチガード・ユーザ：
ウォッチガードのFirebox製品の中には、ユーザがウェブサイトからJavaアプレットをダウンロードできないようにするものもあるが、そうすることで、Javaアプレットを使用している正規のウェブサイトの機能も損なうことになる。Javaアプレットを遮断したくない場合は、適切なSun JREアップデートをできる限り早急にダウンロードすることだ。Javaアプレットの使用を阻止することで、こうした問題によるリスクを軽減させることができるが、それは全てに対してではないことに注意しよう。こうした理由から、Sunのアップデートが主な対策となる。 FireboxのHTTPプロキシを使ってJavaアプレットを遮断する方法については、HTTP Proxy Advanced FAQの「Deny Java Applets」の欄を参照することをすすめる。

ステータス：
Sunはこうした問題を修正するアップデートをリリースしている。

参考資料：

SecuniaによるJavaのアドバイザリ（英語）

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

アップデート：Firefox 3.6.x - 初のセキュリティ・アップデート　2010年3月31日

アップデート： Firefox 3.6.x - 初のセキュリティ・アップデート
Mozilla：レガシーFirefox のセキュリティ・アップデートもリリース

危険度：高

2010年3月31日

アップデート： 米国時間の2010年3月24日、LiveSecurity は 10件のセキュリティ脆弱性を修正したFirefox 3.6.2 について報告した。そのアラートをリリースした時点で、MozillaはFirefoxの3.6.ｘアップデートのみを用意しており、3.0.xや 3.5.xシリーズのFirefoxに対応するアップデートはまだリリースされていなかった。そして3月31日、Mozilla FoundationはFirefox3.5.9と3.0.19をリリースし、Firefox 3.6.2で修正した問題と同じ脆弱性をいくつも修正した。このバージョンが修正している脆弱性の詳細について知りたければ、前回報告したアラートを参照するか、Firefoxの「Known Vulnerabilities」のページを参考にすることをすすめる。

Known Vulnerabilities for Firefox 3.0.x

Known Vulnerabilities for Firefox 3.5.x

できるならFirefox, 3.6.xシリーズの最新版を使用することを強く薦める。3.6.xを使用している場合は、前回の記事を報告した時点で3.6.2にアップデートしていることだろう。その場合は、このアップデートを読み進める必要はない。しかし、何らかの理由でFirefox 3.0.x や 3.5.xを使い続けるのであれば、Mozillaの最新アップデートをダウンロードしインストールすることをすすめる。

Firefox 3.5.9

Firefox 3.0.19 （FTPでのみ入手可能）

この脆弱性の詳細については、3月24日付けのセキュリティ・アラートを参照することをすすめる。また、同記事はこちらからも閲覧可能。

---------------------------------------------------------------------------------------------

Firefox 3.6.x - 初のセキュリティ・アップデート

危険度：中

2010年3月24日

概要：

対象：
Windows、Linux、Macintosh対象のFirefox 3.6

攻撃方法：
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある

影響：
その影響は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
Firefox 3.6.2にアップグレードすること

詳細：
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6（特に3.6.2バージョン）のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した（数字はCVEによるもの）。この脆弱性は、普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは報告されている脆弱性のうち4件を深刻と評価している。

Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照：

WOFF の整数のオーバーフロー脆弱性 (2010-08)

Firefox 3.6 は圧縮をサポートするダウンロード可能なフォント・フォーマット、ウェブ・オープン・フォント・フォーマット（WOFF）をサポートしている。Firefox のWOFF デコーダーは、ヒープ・メモリ破損の原因となる整数のオーバーフロー問題の影響を受けているため、攻撃者は任意のコードを実行することができる。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態で、そのユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

Mozilla による評価：緊急

3つのメモリ破損の問題　(2010-11)

このアップデートは、少なくてもFirefoxをクラッシュさせることができるその他3つのメモリ破損問題も修正している。MozillaのアラートはFirefox のブラウザ・エンジンに起因する点について触れているが、詳細については説明されていない。Mozillaは、攻撃者の努力次第でメモリ破損問題をいくつか悪用し、被害者のコンピュータで任意のコードを実行できるだろうと推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した状態で、そのユーザのコンピュータで有害なコードを実行できる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

Mozilla による評価：緊急

Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング（XSS）の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。

注意：
攻撃者はJavaScriptなしでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがいい方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript （およびその他のアクティブ・スクリプト）を無効にするNoScriptもインストールしておくことをすすめる。

【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozilla は3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラグインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、 3.6.xに移行することをすすめる。

注意：
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動アップデート受信が設定されているか確認するには、Tools（ツール）→ Options（オプション）→ Advanced Tab（アドバンス・タブ）→ Update Tab（アップデート・タブ）でできる。この際、Automatically check for Updates（自動的にアップデートをチェックする）というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、 Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。

【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。

【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。

【参考資料】

Firefox 3.6.2リリースノート

Firefox 3.6.2で修正された脆弱性

続きを読む»

マイクロソフトが定例外アップデートでゼロデイIEの欠陥を修正　2010年3月30日

マイクロソフトが定例外アップデートでゼロデイIEの欠陥を修正

危険度：高

2010年3月30日

概要：

対象：
Windows の現バージョンで実行している Internet Explorer 8 とそれ以前のバージョンすべて

攻撃方法：
悪性のウェブ・ページにユーザを誘導する

影響：
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
状況に適したInternet Explorerのパッチを至急取り入れ対処すること

詳細：
米国時間の3月30日、マイクロソフトの定例外セキュリティアドバイザリは、現バージョンの Windows で実行している Internet Explorer (IE) バージョン8.0やそれ以前のバージョンに見られる新たな脆弱性9件について説明している（Windows 7やWindows Server 2008も対象に入る）。修正された脆弱性の中には、深刻なゼロデイ欠陥もあり、攻撃者は少なくともそれを3月上旬から悪用しており、実際に感染被害者を出している。過去に報告されたゼロデイIEの欠陥について知りたければ、LiveSecurityが「Wire」で報告した記事を読むことをすすめる（日本語のWireはこちらを参照）。この9つの脆弱性は技術的には異なるが、そのうち7つの対象範囲と影響は同じである。その7件は、IEが特定のHTML オブジェクトやメモリ構成を処理する方法に関与する、様々なメモリ破損に関係している。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者はいずれかの脆弱性を悪用し、ユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行できる。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者はこのような欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。残り2つの脆弱性は、それよりもリスクの低い情報開示の欠陥である。欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細（Vulnerability Information）」の項目を参照することをすすめる。攻撃者は、このゼロデイ脆弱性を悪用して実際に被害者を出しているので、技術面を別にしてもIEに関わるこの欠陥のリスクは重要レベルだ。緊急のIEパッチを至急ダウンロードし、インストールすること。最近の攻撃者は、よく正規のウェブページをハイジャックし、悪質なコードを使って罠を仕掛けることに注意しよう。攻撃者はホストされているウェブ広告や SQL インジェクション攻撃を通じて仕掛けてくる。この方法でハイジャックされると、認識のあるサイトや信頼のおけるサイトさえもユーザに危険を及ぼすことがある。

対策：
このパッチは深刻な問題を修正しているため、状況に適したIEパッチをできる限り早急にダウンロードし、テストしてから導入することをすすめる。

日本語版をダウンロードするには、「Change Language」のドロップダウン・メニューから「Japanese」を選択：

Internet Explorer 5.01

Windows 2000

Internet Explorer 6.0

Windows 2000

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Internet Explorer 7.0

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Server 2003 Itanium

Windows Vista

Windows Vista x64

Windows Server 2008 *

Windows Server 2008 x64 *

Windows Server 2008 Itanium

Internet Explorer 8.0

Windows XP

Windows XP x64

Windows Server 2003

Windows Server 2003 x64

Windows Vista

Windows Vista x64

Windows Server 2008 *

Windows Server 2008 x64 *

Windows 7

Windows 7 x64

Windows Server 2008

Windows Server 2008 x64

* 注意：Server Coreインストール・オプションでインストールしたWindows Server 2008 Administrators での、この欠陥による影響はない。

ウォッチガード・ユーザ：
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。

ステータス：
マイクロソフトは、こうした問題を修正するパッチをリリースしている。

参考資料：

マイクロソフトのセキュリティアドバイザリ：MS10-018

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

100件近くのセキュリティ欠陥を修正する大規模なOS X アップデート　2010年3月30日

100件近くのセキュリティ欠陥を修正する大規模なOS X アップデート

危険度：　高

2010年3月30日

概要：

対象：
OS X 10.5.x (Leopard) /OS X 10.6.x (Snow Leopard)のバージョンすべて

攻撃方法：
悪質なウェブサイトに仕向けたり、様々な種類の悪質なメディア・ファイルをユーザがダウンロードし閲覧するように誘導するなど、攻撃方法はいくつもある

影響：
その影響は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
OS Xの管理者は、セキュリティ・アップデート2010-002または10.6.3アップデートをダウンロードし、テストしてからインストールすること

詳細：
米国時間の3月30日、アップルは現バージョンのOS Xすべてに見られる脆弱性を修正するセキュリティ・アップデートをリリースした。このアップデートは、QuicktimeやCoreMedia、MailなどOS xの一部として搭載されているコンポーネント（43種類ほど）に見られる90件以上のセキュリティ問題を修正している（数字は CVE-IDの情報によるもの）。脆弱性の中には攻撃者がユーザのOS Xを完全に操作できるようにしてしまうものもあるため、ライブセキュリティではこのアップデートを重要と評価しており、できる限り早急にアップデートをインストールすることをすすめる。修正された脆弱性には次も含まれている：

QuickTimeコード実行の問題（複数）

QuicktimeはOS Xに搭載されているビデオやオーディオを再生するマルチメディア・プレイヤーである。Appleによると、そのQuickTimeは細工されたムービーファイルを適切に処理できない点に関与する9つのコード実行問題の影響を受けているという。そうした欠陥はそれぞれ技術的には異なるが、その行動範囲と影響はまったく同じである。ユーザの1人が悪質なムービーを再生するように仕向けることに成功すると（悪質なサイトにそのファイルをホストするなど）、攻撃者は欠陥を悪用してQuickTimeをクラッシュさせたり、ユーザのコンピュータで攻撃用コードを実行したりすることができるようになる。標準設定により攻撃者はユーザの権限でのみコードを実行するが、攻撃者はAppleのアラートで説明されている他の欠陥を利用して自分の権限を昇格させ、ユーザのMacを完全に操作することもできる。

イメージ関連のメモリ破損問題（複数）
オペレーティング・システムが様々な種類のイメージを処理するために役立つOS XコンポーネントがImageIO /Image RAW である。しかし、どちらのコンポーネントも、ある種のイメージ・ファイルを処理する方法に関与する脆弱性の影響を受けている。こうした脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響はよく似ている。攻撃者は有害なウェブサイトでホストする細工済みのイメージ・ファイルを被害者に閲覧させることで欠陥を悪用し、閲覧中のアプリケーションをクラッシュさせるか、被害者のコンピュータで攻撃用コードを実行することができる。標準設定により、攻撃者はユーザの権限でのみコードを実行するが、攻撃者はAppleのアラートで説明されている他の欠陥を利用しユーザのMacを完全に操作できるようになる。

ディスクイメージのコード実行問題
Macコンピュータでソフトウェアをインストールする際に使われるディスクイメージはOS Xのコンポーネントであり、DMGディスクイメージ・ファイルをマウントすることができる。アップルの OS X アップデートは、そのディスクイメージにあるコード実行の脆弱性問題2つを修正している。各問題は技術的には異なるが、攻撃者は同じ方法でどちらも利用することができる。攻撃者は悪質なDMGファイルをユーザがマウントするように誘導し、こうした欠陥を悪用してユーザの権限を持った状態で、そのコンピュータでコードを実行することができる。先の欠陥と同様に、攻撃者は他の脆弱性を利用してユーザのMacを完全に操作することが可能になる。

アップルのアラートはサービス拒否（DoS）欠陥や情報開示問題、クロスサイト・スクリプティング（XSS)の脆弱性など、この他にも様々な脆弱性について説明している。

今回のセキュリティ・アップデートで修正されたコンポーネントは次の通りだ：

AppKit Application Firewall

AFP Server Apache

ClamAV CoreAudio

CoreMedia CoreTypes

CUPS curl

Cyrus IMAP Cyrus SASL

Desktop Services Disk Images

Directory Service Dovecot

Event Monitor FreeRADIUS

FTP Server iChat Server

ImageIO Image RAW

Libsystem Mail

Mailman MySQL

OS Services Password Server

perl PHP

Podcast Producer Preferences

PS Normalizer Quicktime

Ruby Server Admin

SMB Tomcat

unzip vim

Wiki Server X11

xar

詳細についてはアップルのOS x 10.5.x /10.6.x アラートを参照することをすすめる。今月初めにアップルがリリースしたSafariのアップデートをまだインストールしていない場合は、それも一緒に入れることをすすめる。

対策：
アップルはこうしたセキュリティ問題を修正するOS Xセキュリティ・アップデート2010-002と10.6.3をリリースしているので、OS X管理者は適切なアップデートをできる限り早急にダウンロードし、テストしてからインストールすることをすすめる。

セキュリティアップデート 2010-001 (Leopard)

セキュリティアップデート 2010-001 (Leopard Server)

Mac OS x 10.6.3 アップデート（Snow Leopard）

Mac OS x 10.6.3 アップデート（Snow Leopard Combo）

Mac OS x 10.6.3 アップデート（Snow Leopard　Server）

Mac OS x 10.6.3 アップデート（Snow Leopard　Combo）

注意：使用しているOS Xバージョンに対応するパッチが定かでない場合は、OS Xのソフトウェア・アップデート・ユティリティを使用することで状況に適したアップデートを自動的に選ぶことができる。

全ユーザ対象：
この欠陥は様々な悪用方法を有効にすることができる。ペリミター・ファイアウォールが攻撃にかかわる必要のないローカル悪用もある（部署間でファイアウォールを使用している場合は別）。この欠陥は様々な悪用方法を有効にしてしまうため、アップデートをインストールすることが安全策となる。

ステータス：
アップルはこうした問題を修正するアップデートをリリースしている。

参考資料：

OS x 10.5x /10.6.x セキュリティ・アップデート　3月

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

QuicktimeやiTunesを侵害する悪質なメディア・ファイル　2010年3月30日

QuicktimeやiTunesを侵害する悪質なメディア・ファイル

危険度：　中

2010年3月30日

概要：

対象：
QuickTime 7.6.x と iTunes 9.xを実行しているプラットフォーム

攻撃方法：
悪質な画像やビデオ、ウェブサイトにユーザを誘導するなど攻撃方法はいくつもある

影響：
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある

対策：
Windows やOS X用のQuickTime 7.6.6やiTunes 9.1をインストールすること

詳細：
米国時間の3月30日、アップルはWindows およびOS Xを対象とするQuickTime7.6.x とiTunes 9.x にあった複数の脆弱性を修正するセキュリティ・アップデート2件をリリースした（QuickTime / iTunes）。

QuickTime のアップデートは、QuickTime が特定の画像やビデオ・ファイルを処理する方法に起因する16件の問題を修正している（数字は CVE-IDの情報）。脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。ユーザがQuickTimeを使って悪質な画像やビデオを閲覧するように仕向けることに成功すると、攻撃者は欠陥のいずれかを悪用し、ユーザの権限を獲得した状態で、そのユーザのコンピュータでコードを実行することができる。 Windowsの環境下では、通常ユーザがローカル管理者の権限を持っているため攻撃者はこうした脆弱性を利用し、ユーザのコンピュータを完全に操作することも可能だ。しかし、OS Xではユーザのアカウントとルート・アカウントが別になっているため、攻撃者はOS X においては、ユーザ・レベルの権限を獲得するために欠陥を悪用する。

アップルのiTunes アップデートは、7件のセキュリティ問題を修正している（数字はCVE-IDの情報）。中でも悪質な問題は、iTunesが特定の画像やメディア・ファイルを処理する方法に関与している。先に説明したQuickTimeの欠陥と同様に、攻撃者が細工した画像やメディア・ファイルをiTunes でユーザが開くように仕向けた場合、中でも悪質な欠陥は、攻撃者がユーザのコンピュータでユーザの特権を獲得し、コードを実行できるようにしてしまうものもある。こうした状態はWindowsにおいては、攻撃者がユーザのコンピュータを操作できるようになることを意味しているが、Macにおいては、攻撃者がユーザレベルの特権を獲得できることを意味する。しかし、これとは別のiTunes の脆弱性はローカル・ユーザがシステム特権を持てるようにするため、攻撃者は脆弱性を組み合わせてMacのことも完全に操作できるようになる。ネットワークでQuickTime やiTunes の使用を許可している場合は、最新バージョンをできる限り早急にダウンロードし、インストールすることをすすめる。また、iTunesにはQuickTimeが搭載されていることを忘れないこと。iTunes を使用している場合は、おそらくどちらのアップデートも必要だろう。

対策：
アップルはこうしたセキュリティ問題を修正するQuickTimeバージョン7.6.6とiTunes 9.1 をリリースしているので、WindowsとOS Xの管理者はできる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。
>Windows：QuickTime 7.6.6
>OS X Leopard：QuickTime 7.6.6
>Windows/Mac：iTunes 9.1

全ユーザ対象：
QuickTimeは様々なメディアタイプを処理するため（ビジネス上必要なものもある）、こうした問題の影響を受けやすいファイルタイプをファイアウォールでブロックしてしまうと、仕事に差し支える場合もありえる。このため、アップルが提供しているフィックスをダウンロードすることが対策としてはベストだろう。

ステータス：
アップルはこうした問題を修正するアップデートをリリースしている。

参考資料：

アップル March 2010 Quicktime Advisory

アップル March 2010 iTunes Advisory

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

半年に1度のCiscoパッチの日：アドバイザリ7件、主にIOSに影響 2010年3月25日

半年に1度のCiscoパッチの日： DoSアドバイザリ7件、主にIOSに影響

危険度: 高

2010年3月25日

概要：

対象：
Cisco IOSやCisco UCMを使用しているデバイス

攻撃方法：
様々な攻撃方法があるが、最も一般的に見られるのは細工したネットワーク・パケットを送信する方法である

影響：
サービス拒否（DoS）問題は、Ciscoデバイスがクラッシュしたり、リロードまたは中断させたりすることができる。攻撃者がコードを実行できるようにする可能性もある。

対策：
Cisco IOSやUCMデバイスを管理している場合は、出来る限り早急に状況に適したCiscoのアップデートをダウンロードしテストしてから、それを適用することをすすめる

詳細：
Ciscoは3月と9月の第4水曜日に行われる半年に一度のパッチの日の一部として、米国時間の3月24日にセキュリティアドバイザリを7件リリースした。今回のアドバイザリはすべてサービス拒否に関するセキュリティ問題について取り上げており、主にCiscoのインターネットワーク・オペレーティング・システム(IOS)ソフトウェアを使用しているデバイスに影響している。IOSは大方のCiscoルーターで使用されているオペレーティング・システムであるが、攻撃者はIOS DoS欠陥の1つを利用し、ユーザのIOSデバイスでコードを実行、そのデバイスを操作できるようになるおそれがある。しかしアドバイザリのうち1件は、CiscoエンタープライズレベルのIPテレフォニー・コール処理システムである、ユニファイド・コミュニケーションズ・マネジャー（UCM)に見られるDoSについても取り上げている。 CiscoのIOSアドバイザリは、それぞれ技術的には異なるが、アドバイザリはいずれも攻撃者がサービス拒否（DoS）攻撃で悪用できる脆弱性について説明している。今回リリースされたCiscoのアドバイザリ一覧については3月24日付のCiscoアドバイザリ、又はセキュリティアドバイザリのページを参照することをすすめる。

IOSアドバイザリのうち、3つの欠陥の概要については下記を参照することをすすめる：

Cisco ドキュメントID 111448:
IOS SIP DoS とコード実行の脆弱性
セッション・イニシエーション・プロトコル（SIP)は、IPネットワーク上のボイスやビデオコールに使われるマルチメディア・コミュニケーション・スタンダードである。SIPを実装しているIOSは、SIPメッセージを処理する方法に関与する未特定の脆弱性の影響を受けている。細工したSIPパケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせたり、そのデバイスでコードを実行する可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで脆弱性を繰り返し悪用する可能性がある。又、攻撃者がコードを実行するとユーザのIOSデバイスを攻撃者が完全に操作できるようになるおそれもある。

CVSS スコア：10

Cisco ドキュメントID 111265:
IOS H.323 DoSの脆弱性
H.323は、ネットワーク上でマルチメディアをストリームできるようにデザインされたプロトコルで、ビデオ会議などによく使われる。H.323を実装したIOSは、H.323トラフィックの処理に関与する未特定の脆弱性2件の影響を受けている。細工したH.323パケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性がある。

CVSS スコア：7.8 (最も深刻＝10)

Cisco ドキュメントID 111266:
IOS IPSec DoSの脆弱性
VPN スタンダードのIPSec は、インターネット上でプライベート・コミュニケーションを安全にトンネルできるようにデザインされている。IOSのIPsec実装は、細工されたIPsec IKE パケットを処理する方法に関与する欠陥の影響を受けており、攻撃者は細工したIKEパケットをCiscoデバイスに送信することで脆弱性を悪用し、ユーザのIOSデバイスをリロードできるようになる可能性がある。ユーザがインターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性もある。

CVSS スコア：7.8

その他のアドバイザリも上記の問題と同等に深刻なDos欠陥を修正している。Ciscoが公開した3月分の脆弱性の詳細については、このアラートの「参考資料」でリストに挙げた各アドバイザリのリンクを参照に、もしくはCiscoの2010年3月のセキュリティ・アドバイザリを参考にすることをすすめる。 Ciscoはユニファイド・コミュニケーションズ・マネージャー（UCM）に見られるDoS脆弱性について説明したアドバイザリもリリースしている。Cisco UCMを使用している場合は、このパッチも必ず導入することをすすめる。

対策：
Ciscoはこうした脆弱性を修正するパッチをリリースしている。IOSソフトウェアや、Ciscoのユニファイド・コミュニケーションズ・マネージャー（UCM)を実行しているCiscoデバイスを使用している場合は、Ciscoの2010年3月のセキュリティアドバイザリにある「Software Versions and Fixes」や「Obtaining Fixed Software」を参考にし、状況に適したフィックスを探してその入手先を調べること。また、下記のリンク先から各アラートを参照し「Software Versions and Fixes」や「Obtaining Fixed Software」の欄を参考にする方法もある。

ウォッチガード・ユーザ：
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため、上記した方法を取ることが主な対策となる。

ステータス：
Ciscoはこの問題の修正方法を提供している。

参考資料：

Cisco 2010年3月のバンドル・セキュリティアドバイザリ

Cisco IOS Software H.323 Denial of Service Vulnerability

Cisco IOS Software IPsec DoS Vulnerability

Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerabilities

Cisco IOS Software Multiprotocol Label Switching Packet Vulnerability

Cisco IOS Software Crafted TCP Packet Denial of Service Vulnerability

Cisco IOS Software NAT Skinny Call Control Protocol Vulnerability

Cisco Unified Communications Manager Express Denial of Service Vulnerabilities

この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。
続きを読む»

Firefox 3.6.x - 初のセキュリティ・アップデート 2010年3月24日

Firefox 3.6.x - 初のセキュリティ・アップデート

危険度：中

2010年3月24日

概要：

対象：
Windows、Linux、Macintosh対象のFirefox 3.6

攻撃方法：
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある

影響：
その影響は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
Firefox 3.6.2にアップグレードすること

詳細：
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6（特に3.6.2バージョン）のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した（数字はCVEによるもの）。この脆弱性は、普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは報告されている脆弱性のうち4件を深刻と評価している。

Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照：

WOFF の整数のオーバーフロー脆弱性 (2010-08)

Firefox 3.6 は圧縮をサポートするダウンロード可能なフォント・フォーマット、ウェブ・オープン・フォント・フォーマット（WOFF）をサポートしている。Firefox のWOFF デコーダーは、ヒープ・メモリ破損の原因となる整数のオーバーフロー問題の影響を受けているため、攻撃者は任意のコードを実行することができる。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態で、そのユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

Mozilla による評価：緊急

3つのメモリ破損の問題　(2010-11)

このアップデートは、少なくてもFirefoxをクラッシュさせることができるその他3つのメモリ破損問題も修正している。MozillaのアラートはFirefox のブラウザ・エンジンに起因する点について触れているが、詳細については説明されていない。Mozillaは、攻撃者の努力次第でメモリ破損問題をいくつか悪用し、被害者のコンピュータで任意のコードを実行できるだろうと推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した状態で、そのユーザのコンピュータで有害なコードを実行できる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

Mozilla による評価：緊急

Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング（XSS）の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。

注意：
攻撃者はJavaScriptなしでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがいい方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript （およびその他のアクティブ・スクリプト）を無効にするNoScriptもインストールしておくことをすすめる。

【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozillaは3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラグインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、3.6.xに移行することをすすめる。

注意：
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動アップデート受信が設定されているか確認するには、Tools（ツール）→ Options（オプション）→ Advanced Tab（アドバンス・タブ）→ Update Tab（アップデート・タブ）でできる。この際、Automatically check for Updates（自動的にアップデートをチェックする）というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。

【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。

【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。

【参考資料】

Firefox 3.6.2リリースノート

Firefox 3.6.2で修正された脆弱性

続きを読む»

悪質なExcel ドキュメント　2010年３月9日

続きを読む»

Windows Movie Maker のコード実行問題　2010年3月9日

続きを読む»

Firefox緊急レベルの脆弱性を修正　2010年2月18日

続きを読む»

Windowsのパッチ（11）、そのうち5つは「緊急」レベル（アップデート2）　2010年2月18日

続きを読む»

Windowsのパッチ（11）、そのうち5つは「緊急」レベル（アップデート）　2010年2月11日

続きを読む»

Windowsのパッチ（11）、そのうち5つは「緊急」レベル　2010年２月9日

続きを読む»

悪質なOfficeドキュメントのセキュリティ問題　2010年2月9日

続きを読む»

定例外で公開：Googleハッキング欠陥対応のIEアップデート累積パッチ　2010年1月21日

続きを読む»

Shockwave Playerに見られる8つの深刻な脆弱性　2010年1月21日

続きを読む»

アップルの2010年初OS Xセキュリティ・アップデート　2010年1月19日

続きを読む»

バージョン9.2と過去のバージョンに影響するAdobe Readerの脆弱性　2010年1月12日

続きを読む»

主に2Kに影響：Windows EOT Engineの危険な脆弱性 2010年1月12日

続きを読む»

Adobe Reader 9.2（及びそれ以前のバージョン）に影響を与える脆弱性　2009年12月16日

続きを読む»

11件の脆弱性を修正するFirefox 3.5.6と3.0.16をMozillaがリリース　2009年12月16日

続きを読む»

5つの緊急問題を修正するIEの累積アップデート 2009年12月11日

続きを読む»

マイクロソフトがProjectの深刻な脆弱性に対応するパッチを公開 2009年12月11日

続きを読む»

マイクロソフトがWindowsの脆弱性を修正 2009年12月11日

続きを読む»

ドメイン・ベースのセキュリティを中断させるクライアントレスSSL VPN製品　2009年12月7日

続きを読む»

3つの深刻な問題を修正するWindowsセキュリティ・アップデート 2009年11月10日

続きを読む»

WordとExcelを修正するマイクロソフトのOfficeパッチ 2009年11月10日

続きを読む»

アップルのLeopardとSnow Leopardのセキュリティ・チューンアップ　2009年11月10日

続きを読む»

Adobe Shockwave Playerのセキュリティ問題 2009年11月5日

続きを読む»

Javaの脆弱性をSunが修正　2009年11月5日

続きを読む»

Mozillaが15の脆弱性を修正するFirefox 3.5.4と3.0.15をリリース 2009年10月30日

続きを読む»

Adobeアップデート Readerの脆弱性（29）を修正　2009年10月14日

続きを読む»

Microsoft OfficeとVisioを悩ます脆弱な3つのActiveXコントロール　2009年10月13日

続きを読む»

11件中6つが緊急レベルWindowsの脆弱性　2009年10月13日

続きを読む»

コード実行欠陥4つを修正する10月の深刻な IE 累積アップデート　2009年10月13日

続きを読む»

半年に1度のCiscoパッチの日：IOSとUCMのアドバイザリ11件　2009年9月25日

続きを読む»

TCP DoS欠陥に脆弱なCiscoとその他ベンダー　2009年9月9日

続きを読む»

セキュリティ欠陥を修正するFirefox 3.5.2と3.0.14をMozillaがリリース　2009年9月10日

続きを読む»

QuickTimeが悪質なムービーやイメージの犠牲に　2009年9月9日

続きを読む»

Windowsアドバイザリ5件が深刻なセキュリティリスクを修正　2009年9月8日

続きを読む»

OS XのJavaアップデート、脆弱性18件を修正 2009年9月3日

続きを読む»

IIS 5を脅かすIIS FTPゼロデイ脆弱性　2009年9月3日

続きを読む»

4つの深刻な脆弱性を修正するWindowsセキュリティ・アドバイザリ 8件 2009年8月11日

続きを読む»

アップデート：Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性 2009年8月11日

続きを読む»

Mac 18件の脆弱性を修正するOS X 10.5.8 2009年8月5日

続きを読む»

Mozilla、セキュリティ欠陥を修正するFirefox 3.5.2と3.0.13 をリリース 2009年8月5日

続きを読む»

アップデート： Adobe Flashゼロデイ欠陥の誘因となる悪質なPDFドキュメント 2009年7月31日

続きを読む»

マイクロソフトの臨時パッチ2件：ブラックハット　キルビット（Killbit）のバイパス問題を修正するアップデート 2009年7月29日

続きを読む»

BIND DNSサーバを終了させる悪質なDNSアップデート 2009年7月29日

続きを読む»

ISC DHCPコンポーネントのバッファ・オーバーフローの影響を受けているFireware 10.2.x 2009年7月22日

続きを読む»

Adobe Flashゼロデイ欠陥の誘因となる悪質なPDFドキュメント 2009年7月23日

続きを読む»

アップデート： Mozillaの新しいFirefox 3.5でゼロデイ悪用 2009年7月20日

続きを読む»

ISA ServerとVirtual PC/Serverに見られる権限昇格の欠陥 2009年7月14日

続きを読む»

Windowsのセキュリティ・アドバイザリ3件、ゼロデイ欠陥2つを修正 2009年7月14日

続きを読む»

Mozillaの新しいFirefox 3.5でゼロデイ悪用 2009年7月14日

続きを読む»

悪性のPublisher ドキュメントがコンピュータをハイジャック 2009年7月14日

続きを読む»

Microsoft Officeの ActiveX コントロールに見られるゼロデイ脆弱性　2009年7月13日

続きを読む»

アップデート： Microsoft DirectX 9 のゼロデイ脆弱性　2009年7月6日

続きを読む»

AdobeがShockwave 脆弱性の新亜種を修正　2009年6月24日

続きを読む»

アップルが大規模なOS X Java アップデートをリリース　2009年6月15日

続きを読む»

Adobe初のパッチデーでReader、Acrobatの脆弱性13件を修正　2009年6月9日

続きを読む»

Office セキュリティを回避するWord、Excel、Workの脆弱性　2009年6月9日

続きを読む»

IIS WebDAVのゼロデイ脆弱性をマイクロソフトが修正　2009年6月9日

続きを読む»

6月のIE累積パッチがPwn2Own脆弱性を修正　2009年6月9日

続きを読む»

Active Directory、Print Spooler、Windows Searchに影響する脆弱性　2009年6月9日

続きを読む»

QuickTimeとiTunes のパッチが複数の脆弱性を修正　2009年6月2日

続きを読む»

Microsoft DirectX 9のゼロデイ脆弱性　2009年5月28日

続きを読む»

OS Xアップデートがセキュリティ脆弱性67件を修正　2009年5月12日

続きを読む»

アップデート：Adobe Reader の新しいゼロデイ脆弱性2件　2009年5月12日

続きを読む»

アップデート： PowerPointのゼロデイ脆弱性　2009年5月12日

続きを読む»

Adobe Reader の新しいゼロデイ脆弱性2件 2009年4月28日

続きを読む»

Firefox 3.0.9が12件の脆弱性を修正 2009年4月22日

続きを読む»

Windows 5つのパッチ、15件のセキュリティ・ホールに対応 2009年4月14日

続きを読む»

4月のIE累積パッチ、6つのセキュリティ・ホールに対応 2009年4月14日

続きを読む»

アップデート： Excelのゼロデイ脆弱性が一般の環境下で拡散 2009年4月14日

続きを読む»

PowerPointのゼロデイ脆弱性 2009年4月3日

続きを読む»

Sun Javaが15件以上のセキュリティ問題を修正 2009年3月26日

続きを読む»

半年に1度のCiscoパッチの日： IOSアドバイザリ（8件）2009年3月26日

続きを読む»

Adobe Readerのゼロデイ脆弱性でPDF ファイルが危険な状態に（アップデート）2009年3月11日

続きを読む»

8つの脆弱性を修正するWindowsパッチの速報（3件）2009年3月10日

続きを読む»

加工されたPNGイメージがFirefoxユーザをハイジャック 2009年3月5日

続きを読む»

加工されたShockwaveファイルの影響を受けるAdobe Flashの危険性 2009年2月26日

続きを読む»

Excel のゼロデイ脆弱性が一般の環境下で拡散 2009年2月24日

続きを読む»

Adobe Reader のゼロデイ脆弱性でPDF ファイルが危険な状態に 2009年2月20日

続きを読む»

OS XとOS X Javaアップデートが50件以上のセキュリティ問題を修正 2009年2月13日

続きを読む»

Visioコード実行の脆弱性 2009年2月10日

続きを読む»

SQL Serverのバッファ・オーバーフローは主に内部リスク 2009年2月10日

続きを読む»

2月のIE累積パッチ、2件の重要問題を修正 2009年2月10日

続きを読む»

悪質なメールがExchange Serverをハイジャック 2009年2月10日

続きを読む»

Firefoxのアップデート版が8つのセキュリティ欠陥を修正 2009年2月4日

続きを読む»

QuickTimeのセキュリティ問題7件、全プラットフォームに影響 2009年1月21日

続きを読む»

BlackBerryエンタプライズ・サーバをハイジャックできる悪質なPDF 2009年1月14日

続きを読む»

深刻なWindows SMB欠陥と増殖するワーム 2009年1月13日

続きを読む»

SSやメモリ破壊問題を修正したFirefox 3.0.5 全プラットフォーム対象 2008年12月17日

続きを読む»

アップデート：ゼロデイIEセキュリティ・ホールを攻撃パッチをインストールしているVistaユーザにも影響マイクロソフトがセキュリティ・パッチを緊急リリース 2008年12月17日

続きを読む»

アップル12月のアップデート：OS Xセキュリティ・アップデート、12件の問題を修正 2008年12月15日

続きを読む»

ゼロデイIEセキュリティ・ホールを攻撃パッチをインストールしているVistaユーザにも影響 2008年12月11日

続きを読む»

Windows Mediaコンポーネントに影響するクレデンシャル・リプレイの脆弱性 2008年12月9日

続きを読む»

Microsoft Office製品に影響する18件の脆弱性について Sharepoint、Visual Basic、Visual Studio .NET、Project、FrontPageなど 2008年12月9日

続きを読む»

12 月の累積IEパッチ、4つの新たな欠陥を修正 2008年12月9日

続きを読む»

悪質な画像や検索ファイルがWindowsを侵害する可能性について 2008年12月9日

続きを読む»

Windows、Solaris、LinuxのSun Javaに20件以上のセキュリティ・ホール 2008年12月4日

続きを読む»

Firebox X Edgeの脆弱性：ユーザ認証のバイパス 2008年11月17日

続きを読む»

Firefox 3.0.4複数のセキュリティ・ホールを修正 2008年11月13日

続きを読む»

マイクロソフトのパッチがMSXMLとSMBの問題を修正 2008年11月11日

続きを読む»

アップルのiLife が悪質なTIFFやJPEG画像を実行 2008年11月10日

続きを読む»

悪性のPDFがAdobe ReaderやAcrobatのセキュリティ・ホールを悪用 2008年11月4日

続きを読む»

Windows Serverサービスの脆弱性　2008年10月23日

続きを読む»

AD欠陥も含むWindows脆弱性7件 2008年10月14日

続きを読む»

悪性のExcelドキュメントによるOfficeユーザへのリスク 2008年10月14日

続きを読む»

IEの累積パッチが深刻な問題6件を修正 2008年10月14日

続きを読む»

アップル10月のアップデートでXML、PHP、PDF問題を修正 2008年10月9日

続きを読む»

OS XのJavaアップデート 2008年9月25日

続きを読む»

年2回のCiscoパッチの日：11件のIOSアドバイザリについて 2008年9月24日

続きを読む»

深刻な脆弱性を修正するFirefoxのアップデート 2008年9月24日

続きを読む»

OS Xハッキングに加担する悪性画像 2008年9月15日

続きを読む»

悪性のオーディオ・ストリームに影響されるWindows Media Player 2008年9月9日

続きを読む»

様々なマイクロソフト製品に影響を及ぼすWindows GDI+ 問題 2008年9月9日

続きを読む»

マイクロソフトOfficeのOneNoteがコード実行を許可 2008年9月9日

続きを読む»

クイックタイムの問題9件がOS XとWindowsに影響 2008年9月9日

続きを読む»

ウィンドウズのアップデート　　2008年8月12日

続きを読む»

Officeのセキュリティ問題14件について 2008年8月12日

続きを読む»

インターネット・エクスプローラのセキュリティ・トラブルの原因はメモリー問題 2008年8月12日

続きを読む»

ラジオ・フリー・セキュリティ不満のエピソード 2008年8月5日

続きを読む»

アップル、7月のセキュリティ・アップデートでOS XのDNS問題を修正　2008年8月1日

続きを読む»

ウォッチガードからのお知らせ■ラジオ・フリー・セキュリティのFireboxスペシャル　DNSキャッシュ・ポイズニング　2008年7月18日

続きを読む»

アップデート： DNSプロトコル問題の影響を受けているDNSサーバー　2008年7月18日

続きを読む»

Firefox 3の脆弱性トリオ　2008年7月17日

続きを読む»

マイクロソフトWord 2002のゼロデイ問題　2008年7月9日

続きを読む»

プロトコル問題の影響を受けているDNSサーバー　2008年7月9日

続きを読む»

OWA使用のExchangeサーバーに影響するクロスサイト・スクリプティング問題　2008年7月8日

続きを読む»

マイクロソフト・アクセスのゼロデイ問題　2008年7月8日

続きを読む»

Windowsセキュリティ情報3件、SQLサーバーも対象　2008年7月8日

続きを読む»

Mac のOS X /Safariにセキュリティ・アップデート　2008年7月1日

続きを読む»

ウィンドウズのセキュリティ問題(6件) 2008年6月10日

続きを読む»

インターネット・エクスプローラの累積パッチ、セキュリティ問題（2）を修正 2008年6月10日

続きを読む»

クイックタイムと悪性のマルチメディア 2008年6月10日

続きを読む»

攻撃者がHPのActiveX問題を悪用してHPコンピューターを操る　2008年6月5日

続きを読む»

アップデート：ウェブサイトとゼロデイ・フラッシュ・プレイヤー問題シマンテックがゼロデイ攻撃のクレームを撤回 2008年6月2日

続きを読む»

OS X 10.5.3が40件以上のセキュリティ問題を修正 2008年5月28日

続きを読む»

ウェブサイトとゼロデイ・フラッシュ・プレイヤー問題　2008年5月28日

続きを読む»

Cisco IOS + SSH = DoS　　2007年5月21日

続きを読む»

ラジオフリー・セキュリティによる【Fireboxスペシャル】　2008年5月15日

続きを読む»

ウォッチガード、ウィンドウズのモバイル　スマート・フォンやPDA対象のモバイルVPNクライアントをリリース 2008年5月15日

続きを読む»

マイクロソフト、ゼロデイJETエンジン問題の修正プログラムをリリース 2008年5月13日

続きを読む»

マイクロソフトの「Word」および「Publisher」に重要なセキュリティ・アップデート 2008年5月13日

続きを読む»

10.1.1ホットフィックスでFirewareユーザーのSSL問題を修正 2008年5月11日

続きを読む»

Safariの脆弱性を利用してコードを実行 2008年4月16日

続きを読む»

フラッシュ・プレイヤーのアップデート版、ゼロデイ問題を修正 2008年4月9日

続きを読む»

悪性のProjectやVisioファイル経由でハッカーがウィンドウズをコントロール 2008年4月8日

続きを読む»

IEに脅威を与えるデータ・ストリーム 2008年4月8日

続きを読む»

ウィンドウズに影響する悪性のイメージとウェブサイト 2008年4月8日

続きを読む»

アップル、QuickTimeのセキュリティ・ホール11件を修正 2008年4月3日

続きを読む»

Cisco：「パッチの日」でIOSアドバイザリー5件をリリース　2008年3月26日

続きを読む»

マイクロソフトが「Office」を総点検、セキュリティ問題を複数修正 2008年3月11日

続きを読む»

バドのログイン（SecurityWiseビデオ）2008年3月7日

ログインにおけるパスワードの重要性を、初心者にも解りやすく解説しています。

ビデオタイム： 7:41 43.1mb

続きを読む»

IISセキュリティ問題2件悪用困難、修正プログラムは簡単 2008年2月12日

続きを読む»

ウィンドウズ欠陥4件の中でも、悪質なWebDAVのセキュリティ問題 2008年2月12日

続きを読む»

重要なIEの修正プログラム、メモリー破損の問題を修正 2008年2月12日

続きを読む»

OS X セキュリティ・アップデート、11件以上の問題を修正 2008年2月11日

続きを読む»

Firefox 2.0.0.12、セキュリティ問題（10件）を修正2008年2月8日

続きを読む»

ゼロデイRTSPセキュリティ・ホール、クイックタイムに問題【アップデート】 2008年2月6日

続きを読む»

ゼロデイRTSPセキュリティ・ホール、再びクイックタイムに問題 2008年1月11日

続きを読む»

ウィンドウズTCP/IPコンポーネントの欠陥 2008年1月8日

続きを読む»

Adobeフラッシュ・プレイヤーのセキュリティ問題 2007年12月19日

続きを読む»

ClamAVに対する悪性の実行ファイル 2007年12月18日

続きを読む»

アップル、OS Xアップデートをリリース 2007年12月18日

続きを読む»

OS XのJavaセキュリティ問題 2007年12月14日

続きを読む»

ウォッチガードからのお知らせ■ラジオ・フリー・セキュリティ：ヒント・オー・マティック　（ホリデー版）　2007年12月4日

続きを読む»

モジラ、Firefoxバージョン2.0.0.10の問題を修正 2007年11月27日

続きを読む»

クイックタイムRTSP の欠陥がウィンドウズのゼロデイ問題に加担 2007年11月26日

続きを読む»

ゼロデイ、マイクロソフトのアクセス悪用　2007年11月16日

続きを読む»

アップデート：OS Xアップデート、セキュリティ問題39件を修正　2007年11月14日

続きを読む»

ウォッチガードからのお知らせ■ラジオ・フリー・セキュリティ：テクなしハッキングと（不完全）なストームについて　2007年10月31日

続きを読む»

アップデート：「リアルプレイヤーの脆弱性について」　2007年10月26日

続きを読む»

Adobe ReaderとAcrobatがPDF経由の攻撃を許可　2007年10月22日

続きを読む»

ウィンドウズのリアルプレイヤー問題について 2007年10月22日

続きを読む»

セキュリティ問題（10）を修正、Firefoxバージョン2.0.0.8　2007年10月19日

続きを読む»

■「マルウェア分析」のビデオでボットを叩きのめそう！ 2007年10月17日

続きを読む»

ウォッチガードからのお知らせ■ボットネット攻撃について 2007年10月10日

続きを読む»

ワードに影響する重要なセキュリティ問題 2007年10月9日

続きを読む»

ウィンドウズにリスクをもたらすニュースと写真 2007年10月9日

続きを読む»

インターネット・エクスプローラの累積修正プログラム 2007年10月9日

続きを読む»

ウォッチガードからのお知らせ■「マルウェア分析」ビデオ・シリーズのお知らせ 2007年10月3日

続きを読む»

ウォッチガードからのお知らせ■ラジオ・フリー・セキュリティ：ロード・ウォリアーをサイドジャッキングから守るには？　2007年10月2日

続きを読む»

MSNメッセンジャーのバッファー・オバーフローで、ウェブカメラ・セッションが危険になってしまう　2007年9月12日

続きを読む»

危険度の高い欠陥のため、Windows 2000のコンポーネントが悪事を働くエージェントに！　2007年9月12日

続きを読む»

iTunesにセキュリティー欠陥。カバー・アートに注意！　2007年9月7日

続きを読む»

ヤフー社、メッセンジャーに存在する別のバッファー・オーバーフローの脆弱性を修正　2007年8月30日

続きを読む»

PC及びMacに影響を及ぼすMS Excelの脆弱性　2007年8月15日

続きを読む»

ウィンドウズ・メディア・プレイヤーの問題　2007年8月15日

続きを読む»

インターネット・エクスプローラ、アップデート：4つのセキュリティ問題に対応する2つの修正プログラム　2007年8月14日

続きを読む»

グラフィックから小さな画像までウィンドウズの深刻な問題 2007年8月14日

続きを読む»

16のソフトウェア・パッケージを修正するアップルのOS Xセキュリティ・アップデート 2007年8月1日

続きを読む»

セキュリティ・ビデオ

セキュリティ・ビデオは、既にご利用されているウォッチガード製品をよりご活用頂けるよう制作したビデオ・シリーズです。各ビデオでは、ステップごとに詳しく説明しながらご利用の製品により馴染んで頂くことを目的としています。ビデオタイムは、ウォッチガードのエキスパートとのコーヒーブレイクをしているような感覚でお楽しみ下さい。

続きを読む»

セキュリティビデオ一覧

パート１ 「Firebox X Edgeにようこそ！」 Firebox X Edge: 1日目

このビデオは、Edgeを初めてご利用されるユーザーを対象にしたオリエンテーションです。セキュリティ・プロキシーや、トラフィック・コントロール（QoS）、UTMサービスなどに関してご説明します。

ビデオタイム 6:38 22.8mb

パート2 「Network Settings」 Firebox X Edge: 1日目

このビデオではFirebox X Edgeをネットワークへ導入し、クイックセットアップウィザードの設定を済ませた方へ、トラスティッド及びオプショナルのネットワークの設定の仕方をご紹介します。

ビデオタイム 6:48 23.3mb

パート3 「Firebox X Edgeでワイヤレスを設定するには」 Firebox X Edge: 1日目

このビデオでは、Edgeのエキスパートが、ワイヤレス・ウィザードを使って設定を行うヒントを紹介します。また、ディフォルト設定の他に、ワイヤレス・セキュリティをさらに強力にする方法についてもアドバイスします。

ビデオタイム 5:12 17.9mb

パート4 「Firewall Incoming」 Firebox X Edge: 1日目

このビデオではFirebox X EdgeのIncoming設定を行い、人々がネットワーク上のリソースにアクセスできるよう
にするための設定をご紹介します。

ビデオタイム 8:44 30.0mb

パート5 「Outgoing Proxies」 Firebox X Edge: 1日目

このビデオでは、Firebox X Edgeのプロキシー・ポリシーを使って、強力にネットワークを保護する方法につい
て学習します。また HTTP, POP3, FTPについても、同時に学習していきます。
※このビデオの内容は上記“Firewall Incoming”をご覧になった後、ご参照ください。

ビデオタイム 12:15 42.1mb

パート6 「Security Services」 Firebox X Edge: 1日目

このビデオでは、Firebox X Edgeのオプションを付加して、WEB閲覧規制（WebBlocker）、ジャンクメールの受信を防ぐ機能（spamBlocker）、ウイルス防止／スパイウエア防止のためのゲートウェイアンチウィルス／侵入防止機能（GatewayAntiVirus/Intrusion Prevention Service）をどのように設定するか、ご紹介していきます。

ビデオタイム 8:48 30.2mb

Wire 「US Bankの偽造メールによる被害」

2007年3月28日、何千もの迷惑メールを送信したスパマーは、US Bankからの差出人のように見えましたが、実は「偽造メール」でユーザーのプライベート情報を収集しようとするものでした。この「vlog（ビデオ・ブログ）」では、偽造メールの見分け方などについてご説明します。

ビデオタイム 4:15 12.1mb

Malware Analysis 「ドライブ・バイ・ダウンロード」

このビデオでは、ウィンドウズXPのコンピューターから、PCをコントロールする仕掛けが施されている悪性のウェブサイトに行った場合、何が起きるのかをウォッチガードのセキュリティ・アナリスト、コーリー・ナクライナーがご説明します。

ビデオタイム 12:00 45.4mb

続きを読む»

SecurityWise

SecurityWiseを活用し、社内におけるセキュリティ意識を促進するためのキャンペーンに役立たせて下さい。SecurityWiseを使えば、ネットワーク技術に苦手なユーザーもセキュリティに関して知識を深めることができるでしょう。SecurityWiseパッケージにはそれぞれ次の資料が含まれています。

パワーポイント・プレゼンテーション
・ビデオ
・プレゼンテーション用のメモ
・プレゼンテーション用のヒント
・小テスト
・出席者リスト

続きを読む»

「インターネット犯罪：電子メールを安全にしておくには？」

セキュリティ・ワイズ・シリーズはパッケージ式になっているので、これ1つでトピックに関するセミナーを開くことができます。今回は、SMTPにおけるセキュリティの欠如、添付ファイルを開く際に伴うリスク、そしてHTML形式メールの危険性など、インターネット犯罪の時代にいかに電子メールを安全にすることができるのか、ご説明します。

ビデオタイム： 5:34 16.1mb セキュリティワイズ・セット 17.2mb

続きを読む»

Firefoxの8つの欠陥 2007年7月19日

続きを読む»

Quicktime の問題 2007年7月16日

続きを読む»

悪性のフラッシュ・ファイル 2007年7月13日

続きを読む»

NET Framework のバッファ・オーバーフロー問題 2007年7月12日

続きを読む»

マイクロソフト、3つのセキュリティ問題を修正 2007年7月11日

続きを読む»

MS Officeの問題 2007年7月10日

続きを読む»

最近の記事

Apple OS X セキュリティ更新プログラム、クリアテキスト･パスワード問題を修正 2012年5月10日

アドビの定例セキュリティアップデート公開日 Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム 2012年5月8日

Windows セキュリティ更新プログラム .NET Framework + Office も修正 2012年5月8日

Word / Visio / Excel でドキュメント処理の脆弱性 2012年5月8日

ゼロデイ脆弱性を修正する Flash アップデート 2012年5月4日

月別アーカイブ

2012年5月 (5)

2012年4月 (6)

2012年3月 (2)

2012年2月 (7)

2012年1月 (2)

2011年12月 (5)

2011年11月 (1)

2011年10月 (2)

2011年9月 (3)

2011年8月 (4)

2011年7月 (2)

2011年6月 (4)

2011年5月 (2)

2011年4月 (4)

2011年3月 (6)

2011年2月 (6)

2011年1月 (1)

2010年12月 (5)

2010年11月 (2)

2010年10月 (12)

2010年9月 (4)

2010年8月 (6)

2010年7月 (5)

2010年6月 (6)

2010年5月 (4)

2010年4月 (11)

2010年3月 (5)

2010年2月 (5)

2010年1月 (5)

2009年12月 (6)

2009年11月 (5)

2009年10月 (5)

2009年9月 (7)

2009年8月 (5)

2009年7月 (11)

2009年6月 (8)

2009年5月 (5)

2009年4月 (5)

2009年3月 (5)

2009年2月 (9)

2009年1月 (3)

2008年12月 (9)

2008年11月 (5)

2008年10月 (5)

2008年9月 (8)

2008年8月 (5)

2008年7月 (9)

2008年6月 (5)

2008年5月 (8)

2008年4月 (6)

2008年3月 (3)

2008年2月 (6)

2008年1月 (2)

2007年12月 (5)

2007年11月 (9)

2007年10月 (7)

2007年9月 (4)

2007年8月 (10)

2007年7月 (6)

AboutWatchGuard
WatchGuard Technologiesは、セキュリティ・アプライアンスのパイオニアとして、1996年に米国シアトルで設立。以後、ネットワーク・セキュリティのテクノロジー・リーダとして、高いパフォーマンスと先進的なネットワーク機能を実現。現在、UTM（統合脅威管理）のWatchGuard XTM、eメールとコンテンツ・セキュリティのWatchGuard XCS、セキュア・リモート・アクセスのWatchGuard SSLを全世界150ヵ国以上で提供しています。

製品&サービス

XTM多機能ファイアウォール

次世代ファイアウォール

セキュリティ管理サービス

XCS コンテンツ・セキュリティ

リモートアクセス・ソリューション

WatchGuard SSL

VPNソリューション

LiveSecurityサポート

トレーニング

資料ライブラリ

ソリューション

スモールオフィス

中小企業（50～300人）

中堅企業（300～1000人）

大企業・エンタープライズ（1000人以上）

データセンター

XTM

アンチウイルス

ウェブブロッカー

迷惑メール対策

侵入検知（IPS）

レピュテーション・セキュリティ

アプリケーション制御

Winny対策

容易な導入と管理

トランスペアレント・モード

ロードバランス機能

ハイアベイラビリティ

マルチWAN負荷分散

セキュリティ情報

ホワイトペーパー

SecurityAlert

WatchGuard Wire

導入事例

サポート

LiveSecurityサポート

ナレッジベース（FAQ）

USサポート(ログイン)

製品ドキュメント

デモ画面

アップデート情報

導入・設置サービス

トレーニング

サポート問い合わせ

パートナー

戦略的パートナー（Red）

注力販売店（Blue）

販売パートナー（Yellow）

MSSパートナー（Green）

ソリューションパートナー（Pink）

MSX認定パートナー

販売代理店

お問い合わせ

ニュース＆イベント

WatchGuard掲載記事

プレスリリース

展示会・イベント情報

受賞一覧



Privacy Policy│ 会社概要│ パートナーサイト│ サイトマップ

Copyrightc 2012 WatchGuard Technologies, Inc. All rights reserved.

Security Alert (セキュリティニュース)

パート１「Firebox X Edgeにようこそ！」 Firebox X Edge: 1日目

パート2 「Network Settings」 Firebox X Edge: 1日目

パート3 「Firebox X Edgeでワイヤレスを設定するには」 Firebox X Edge: 1日目

パート4 「Firewall Incoming」 Firebox X Edge: 1日目

パート5 「Outgoing Proxies」 Firebox X Edge: 1日目

パート6 「Security Services」 Firebox X Edge: 1日目

Wire 「US Bankの偽造メールによる被害」

Malware Analysis 「ドライブ・バイ・ダウンロード」

Security Alert (セキュリティニュース)

パート１ 「Firebox X Edgeにようこそ！」 Firebox X Edge: 1日目

パート2 「Network Settings」 Firebox X Edge: 1日目

パート3 「Firebox X Edgeでワイヤレスを設定するには」 Firebox X Edge: 1日目

パート4 「Firewall Incoming」 Firebox X Edge: 1日目

パート5 「Outgoing Proxies」 Firebox X Edge: 1日目

パート6 「Security Services」 Firebox X Edge: 1日目

Wire 「US Bankの偽造メールによる被害」

Malware Analysis 「ドライブ・バイ・ダウンロード」

パート１「Firebox X Edgeにようこそ！」 Firebox X Edge: 1日目