セキュリティホール memo - 2006.03

Last modified: Wed May 10 14:03:09 2006 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2006.03.31


2006.03.30

追記

KB912945: Internet Explorer ActiveX update

 マイクロソフト セキュリティ アドバイザリ (912945) Internet Explorer 用のセキュリティ以外の更新プログラム (Microsoft) が更新された。

  • 2006.04 に登場する予定の IE 用累積的更新プログラムには、912945 の内容も含まれる

  • 2006.04 に登場する予定の IE 用累積的更新プログラムと同時に、「Compatibility Update (互換性維持のための更新プログラム) をリリースする予定」

  • Compatibility Update は、その次の IE 用累積的更新プログラム (4 月のものの次に出るもの) によって無効化される

DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起

 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起対応(JPCERT-AT-2006-0004) (vwnet.jp)。Windows Server 2003 な人は読んでおくと吉なようだ。

いろいろ
(various)


2006.03.29

追記

[SA18680] Microsoft Internet Explorer "createTextRange()" Code Execution

DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起
(JPCERT/CC, 2006.03.29)

 DNS アンプねた。といっても、「DDoS 攻撃を防ぐ」話ではなく、「DDoS 攻撃に利用されない (踏み台にならない) ためにはどうすべきか」という話。 具体的な作業については、DNS の再帰的な問合せを使った DDoS 攻撃の対策について (JPRS) を参照。関連:

 注意喚起にも記載されているが、DNS アンプについては、最近、DNS Amplification Attacks という文書が公開されている。(まだ読めてない……(T_T))

2006.03.30 追記:

 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起対応(JPCERT-AT-2006-0004) (vwnet.jp)。Windows Server 2003 な人は読んでおくと吉なようだ。


2006.03.28

IEに未パッチの脆弱性がまた見つかる、許可なしでHTAアプリ実行の恐れ
(Internet Watch, 2006.03.27)

 今度は .HTA だそうです。

 またしても IE 7 beta 2 には影響しないのだそうで。

追記

[SA18680] Microsoft Internet Explorer "createTextRange()" Code Execution

 どうやら in the wild 状態に突入しているようです。

 アンチウイルス系の対応:

 IDS / IPS 系の対応:


2006.03.27

Googleの広告に潜む、マルウェア配布者による広告
(Semplice, 2006.03.22)

 google アドワーズ広告には、インチキソフトが含まれているという話。 しかも 1 つや 2 つではない模様。 Luca さん情報ありがとうございます。

 さっそく「Pal Spyware Remover」でぐぐってみたりしてみると、確かに Pal Software があり、しかも Site Advisor 君はチェックマークをつけちゃってますね。 おまけに、検索結果の 1 ページ目の末尾になぜか sharp.co.jp が……(画像)。 これは何? なんだかコメントスパムっぽい感じではあるけれど。

修正済み Web アプリケーションの脆弱性
(葉っぱ日記, 2006.03.24)

 葉っぱさんが IPA に報告して、修正された / 修正されなかった web サイト欠陥のうち、「代表的なもの」の一覧。いろいろあるものなんですね。


2006.03.25


2006.03.24

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2006.03.22)

 RealNetworks の

に 4 つの問題。

 問題が限定されているものもある。

 次のものにはこの欠陥はない。

 以下のバージョンで修正されている。

 関連: [Full-disclosure] iDefense Security Advisory 03.23.06: RealNetworks RealPlayer and Helix Player Invalid Chunk Size Heap Overflow Vulnerability。 CVE: CAN-2005-2922

追記

[SA18680] Microsoft Internet Explorer "createTextRange()" Code Execution

 Microsoft Security Advisory が出ました:

 MSSA 917077 に

注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。

と明記されているので、これにあわせて昨日の記述を修正しました。

 この欠陥を受けて、SANS ISC Infocon が Yellow になっています。

 関連情報:


2006.03.23

いろいろ
(various)

追記

APSB06-03 Flash Player Update to Address Security Vulnerabilities

 制限ユーザで使えない件、当面の回避策が公開されています:

 レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ に everyone: read をつければよいそうです。

[SA18680] Microsoft Internet Explorer "createTextRange()" Code Execution
(secunia, 2006.03.23)

 Windows XP SP2 上の IE 6.0 (6.0 SP2) に欠陥。createTextRange() メソッドの処理に欠陥があり、攻略 web ページによって任意のコードを実行可能。 この欠陥は古い IE 7.0 beta 2 Preview (以前?) にも存在するが、 2006.03.20 以降の IE 7 beta 2 Preview では修正されている。

 patch はまだない。 JavaScript を無効にすることで回避できる。

 DoS となる PoC コード: IE crash

 関連:

2006.03.24 追記:

 Microsoft Security Advisory が出ました:

 MSSA 917077 に

注: 2006 年 3 月 20 日にリリースされた Microsoft Internet Explorer 7 ベータ 2 プレビュー をご使用のお客様はこの公開された報告による影響を受けません。

と明記されているので、これにあわせて昨日の記述を修正しました。

 この欠陥を受けて、SANS ISC Infocon が Yellow になっています。

 関連情報:

2006.03.28 追記:

 どうやら in the wild 状態に突入しているようです。

 アンチウイルス系の対応:

 IDS / IPS 系の対応:

2006.03.29 追記:

libcurl TFTP Packet Buffer Overflow Vulnerability
(Project cURL, 2006.03.20)

 curl および libcurl 7.15.2 以前に欠陥。長大な tftp:// URL を指定すると heap overflow が発生する。CVE: CVE-2006-1061

 curl および libcurl 7.15.3 以降で修正されている。また patch が用意されている。

fix / patch:

[CVE-2006-0745] X.Org Security Advisory: privilege escalation and DoS in X11R6.9, X11R7.0
(X.Org, 2006.03.20)

 X.Org

に欠陥。-modulepath オプションの処理に欠陥があり、local user が root 権限を取得できる。X11R6.8.2 以前にはこの欠陥はない。 CVE: CVE-2006-0745

 X11R6.9.0、および X11R7.0 の xorg-server 1.0.0 / 1.0.1 用の patch が用意されている。また xorg-server 1.0.2 で修正されている。

fix / patch:

JVNVU#834865: sendmail におけるシグナルの扱いに関する脆弱性
(JVN, 2006.03.23)

 sendmail 8.13.5 以前に非同期シグナルの扱いに関する欠陥があり、競合状態が発生、remote から任意のコードの実行が可能。 UNIX / Linux 用の sendmail 商用版にも同様の欠陥があるが、Windows 用にはこの欠陥はない。 なお、この手法を用いて攻略するには、sendmail な MTA に直接接続しなければならない。

 sendmail 8.13.6 で修正されている他、8.13.5 および 8.12.11 用の patch が用意されている。UNIX / Linux 用の sendmail 商用版にも修正版が用意されている。

fix / patch:


2006.03.22

追記

ウイルス定義(DAT)ファイル4719でのScan32エラーについて

 ウイルス定義(DAT)ファイル4720以降でのアプリケーションエラーについて (マカフィー, 3/20)

ウイルス定義(DAT)ファイル4720以降におけるアプリケーションエラーの要因は特定の文字パターンをもつファイルをメモリ上に展開した際に、まれにアプリケーションエラーを起こす潜在的な問題であることが確認できました。

アプリケーションエラーを起こす可能性がある文字パターンを今後のウイルス定義(DAT)ファイルにも追加していく予定ですが、根本解決策としては、ウイルス定義(DAT)ファイルでの修正ではなく、スキャンエンジンの修正が必要となります。

本修正は今後リリース予定のスキャンエンジン5000に含まれますが、早期の対応をご要望の場合はテクニカルサポートまでお問い合わせください。

 何それ……。


2006.03.20


2006.03.19


2006.03.18

いろいろ
(various)

追記

ウイルス定義(DAT)ファイル4715でのW95/CTXウイルス誤認識について

 DAT4715の W95/CTX誤検知に関する回答書 (マカフィー, 3/16) が公開されてました。

Q:なぜこの誤検出はこれほど拡大したのですか? DATのテストは行わないのですか?

A:検証テストで発現しなかったのも、ユーザ様で誤検知の障害を引き起こしたのも、DAT4715中の該当シグネチャの非常に複雑なロジック上での欠陥が原因でした。

経緯:
 新しい W95/CTXの亜種を検出する為作成したシグネチャは、その作成段階で、オンアクセススキャンやゲートウェイ製品でのスキャンでパフォーマンスに影響を与える可能性があることが判明しました。
 したがって、当該シグネチャをパフォーマンスへの懸念が少ないデスクトップ製品、しかもオンデマンドスキャン時のみに限定的に適用されるものとして作成しテストを実施しました。

この限定適用のシグネチャ中のロジックが、検知プロセスの途中でウイルスの特定・修復を進めてしまう欠陥をもっていました。

 また、この欠陥がその後のすべてのテストでの顕在化を回避し、テストをすり抜けてしまいました。

 つまり、マカフィーはオンデマンドスキャンに関するテストを一切行っていなかった、ということですか?

弊社では情報を迅速に配信するためにあらゆるツールを活用しましたが、この誤検知に関しては、すぐに通知を受けなかったと一部のお客様からご報告をいただいております。このような遅れを可能な限りなくすことができるように、緊急時のプロセスを見直します。

 「あらゆるツールを活用」したのであれば、たとえば「マカフィー・セキュリティニュース」の臨時版が出ていてもおかしくないわけだが、そういうことは行われていないよね。マカフィーは自分達がどのようなツールを持っているのかをきちんと理解していない、と理解させて頂きました。

「RFIDタグもウイルスに感染する可能性あり」,オランダの研究者が警告

 「ICタグによるウイルス感染はまずない」、ICタグ業界から反論 (日経 IT Pro, 2006.03.17)。 「反論」している人は、そもそも何が指摘されているのかをきちんと理解できていないような気がするなあ。 以下、「アシュトン氏」は「反論」している人、「リーバック氏」は論文の著者の一人。

 これに対してアシュトン氏は、今回の研究がPCシステムと比較していることに問題があると主張する。「ICタグシステムは、ミドルウエアとソフトウエア、データベースシステム、さらに、それらをつなぐカスタムアプリケーションから成る。すべてが独自のシステムであり、(均質性が高い)PCのソフトウエアとは異なる。攻撃するには、システムに愚かな穴が必要であり、攻撃者はその穴に対して深い知識が必要である。そうであれば、攻撃の道具としてICタグが使われることはあまりないだろう」。

 「愚かな穴」のあるシステムは珍しくない、という認識はこの人にはないのかな。

 リーバック氏によれば、今回の研究の目的は、商用のミドルウエアベンダーやアプリケーション開発者がICタグによるセキュリティの脅威について認識することを促すことだという。「今ならまだ大きな被害は発生しない。問題となるのは、5年くらいたって、多くのICタグシステムが開発されてから、悪意のあるハッカーの手によって今回のような脅威が明らかになることだ」(リーバック氏)。

 おっしゃるとおりだと思うし。 危険性を指摘することによって、「愚かな穴」のあるシステムがつくられないよう促しているわけで。

 ちなみに、発表された論文 Is Your Cat Infected with a Computer Virus? は、IEEE PerCom 2006 の Best Paper Award を受賞したそうです。

Mac OS Xのセキュリティパッチ、Safariなどの危険な脆弱性を修正

 さっそく Security Update 2006-002 v1.1 というものが出ています。

 v1.0 と v1.1 では何が違うのか? よくわかりませんが、その 1 つは Safari 方面のようです。

New IE 0-Day Exploit in Wild
(SANS ISC, 2006.03.17)

 この話のようです。

 SANS ISC は

Both McAfee and Symantec have released signatures to detect this exploit.

としているけど、それであろう Exploit-ScriptAction (マカフィー) は DAT4722 で対応予定になっている。シマンテックのページ からはみつけられなかった。 トレンドマイクロは、HTML_SCRIPTACT.A がそれっぽいか? 3.270.08 (CPR) で対応しているそうな。


2006.03.17

ウイルス定義(DAT)ファイル4719でのScan32エラーについて
(マカフィー, 2006.03.16)

 DAT4715 に続いて DAT4719 で、またしてもオンデマンドスキャンでのみ発生する不具合。VSE 8.0i のオンデマンドスキャンが Java Runtime Environment (JRE) で異常終了してしまう。DAT4720 で修正されているそうだが、マカフィーはいったいどんなテストをした上で DAT を公開しているのだろう。なにしろ昨日の今日だからなあ……。

2006.03.22 追記:

 ウイルス定義(DAT)ファイル4720以降でのアプリケーションエラーについて (マカフィー, 3/20)

ウイルス定義(DAT)ファイル4720以降におけるアプリケーションエラーの要因は特定の文字パターンをもつファイルをメモリ上に展開した際に、まれにアプリケーションエラーを起こす潜在的な問題であることが確認できました。

アプリケーションエラーを起こす可能性がある文字パターンを今後のウイルス定義(DAT)ファイルにも追加していく予定ですが、根本解決策としては、ウイルス定義(DAT)ファイルでの修正ではなく、スキャンエンジンの修正が必要となります。

本修正は今後リリース予定のスキャンエンジン5000に含まれますが、早期の対応をご要望の場合はテクニカルサポートまでお問い合わせください。

 何それ……。

追記

APSB06-03 Flash Player Update to Address Security Vulnerabilities

 新版に upgrade すると、Windows 制限ユーザ + Internet Explorer な状況でうまく動かなくなるようです。

Windows local privilege escalation - Windows access control

 patch 出ました: 制限の少ない Windows サービスの DACL により、特権が昇格される (914798) (MS06-011) (Microsoft)。 これにあわせて、 マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft) も更新されています。


2006.03.16

「RFIDタグもウイルスに感染する可能性あり」,オランダの研究者が警告
(日経 IT Pro, 2006.03.16)

 RFID の処理に関して欠陥があれば、その欠陥を突くような攻略データつきの RFID を作成することが可能、という話でいいのかな。.jpg や .wmf で exploit をつくれるのだから、RFID でもつくれるのでしょうね。おまけに .jpg や .wmf と違って、RFID データはデータベースと連動して扱われるので

RFIDタグは,ミドルウエアやバックエンドのデータベースの脆弱性を突くようにエンジニアリングできる特徴を備えている。このため,開発者にRFIDシステムを調べてセキュリティ対策を実装するように勧めている。

RFID データで SQL インジェクションとかされる可能性があると。 気をつけないとすごくヤバそうです。

 元ねた: RFID Viruses and Worms (rfidvirus.org)。 関連: F-Secure Anti-Virus for Cats (F-Secure blog)

2006.03.18 追記:

 「ICタグによるウイルス感染はまずない」、ICタグ業界から反論 (日経 IT Pro, 2006.03.17)。 「反論」している人は、そもそも何が指摘されているのかをきちんと理解できていないような気がするなあ。 以下、「アシュトン氏」は「反論」している人、「リーバック氏」は論文の著者の一人。

 これに対してアシュトン氏は、今回の研究がPCシステムと比較していることに問題があると主張する。「ICタグシステムは、ミドルウエアとソフトウエア、データベースシステム、さらに、それらをつなぐカスタムアプリケーションから成る。すべてが独自のシステムであり、(均質性が高い)PCのソフトウエアとは異なる。攻撃するには、システムに愚かな穴が必要であり、攻撃者はその穴に対して深い知識が必要である。そうであれば、攻撃の道具としてICタグが使われることはあまりないだろう」。

 「愚かな穴」のあるシステムは珍しくない、という認識はこの人にはないのかな。

 リーバック氏によれば、今回の研究の目的は、商用のミドルウエアベンダーやアプリケーション開発者がICタグによるセキュリティの脅威について認識することを促すことだという。「今ならまだ大きな被害は発生しない。問題となるのは、5年くらいたって、多くのICタグシステムが開発されてから、悪意のあるハッカーの手によって今回のような脅威が明らかになることだ」(リーバック氏)。

 おっしゃるとおりだと思うし。危険性を指摘することによって、「愚かな穴」のあるシステムがつくられないよう促しているわけで。

 ちなみに、発表された論文 Is Your Cat Infected with a Computer Virus? は、IEEE PerCom 2006 の Best Paper Award for Most Impact を受賞したそうです。

2006.04.03 追記:

 崎山さんから (情報ありがとうございます: 紹介が遅くてすいません)

Cambridge大CSGブログにFrank Stajano さんが書いているところによると
http://www.lightbluetouchpaper.org/2006/03/16/cat-with-computer-virus/

受賞したのは "best paper for high impact” (RFID Virus のページだと "the Best Paper Award for Most Impact" )という、この論文の反響を鑑みて即席で作られた賞で、PerCom の事前に予定されていた Best Paper 賞 に相当する "Mark Weiser award" は、別の論文に対して贈られた、ということのようです。

 上記にあわせて記述を修正しました。_o_

Microsoftパッチ情報 2006年3月
(住商情報システム / eEye, 2006.03.15)

 eEye による Microsoft 2006.03 patch (MS06-011, MS06-012) の解説。高橋さん情報ありがとうございます。


2006.03.15

APSB06-03 Flash Player Update to Address Security Vulnerabilities
(Adobe, 2006.03.15)

 Adobe (Macromedia) Flash Player 8.0.22.0 以前や Shockwave Player などに重大な欠陥が発見され、最新版で修正された模様。 CVE: CVE-2006-0024。福田さん情報ありがとうございます。 APSB06-03 から引用:

Affected Software Recommended Player Update Availability
Flash Player 8.0.22.0 and earlier 8.0.24.0 or 7.0.63.0 Player Download Center
Flash Player 8.0.22.0 and earlier - network distribution 8.0.24.0 or 7.0.63.0 Player Licensing
Flash Professional 8, Flash Basic 8.0.24.0 Flash Player 8 Update for Flash Basic 8 and Flash Professional 8
Flash MX 2004 7.0.63.0 Flash Player 7 Update for Flash MX 2004 and Flash MX Professional 2004
Flex 1.5 8.0.24.0 Flash Debug Player Updater
Breeze Meeting Add-In 7.0.55.331 (Win), 7.0.55.118 (Mac) Breeze Downloads Page
Shockwave Player 10.1.1 Shockwave Player Download Center

 network distribution 版のところへ行ってライセンスを取得すると、.MSI とか .EXE とかいったインストーラ版の Flash Player などが入手できる。大量の PC に適用したい場合などに便利。

 関連:

2006.03.17 追記:

 新版に upgrade すると、Windows 制限ユーザ + Internet Explorer な状況でうまく動かなくなるようです。

2006.03.23 追記:

 制限ユーザで使えない件、当面の回避策が公開されています:

 レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ に everyone: read をつければよいそうです。

2006.05.10 追記:

 日本語版 Advisory 出てました: APSB06-03 Flash Player 脆弱性を解決するアップデート (adobe)

 IE に同梱されていた Flash Player については、Adobe の Macromedia Flash Player の脆弱性により、リモートでコードが実行される (913433) (MS06-020) で対応されています。


2006.03.14

Mac OS Xのセキュリティパッチ、Safariなどの危険な脆弱性を修正
(Internet Watch, 2006.03.14)

 この前出たばっかなのに、また出たんですね。

 この前のやつ (Security Update 2006-001) には複数の不具合があったそうで、それも修正されています。

「Security Update 2006-001」の導入により発見された以下のセキュリティ以外の問題についても、今回のアップデートで対処しました。

 関連:

2006.03.18 追記:

 さっそく Security Update 2006-002 v1.1 というものが出ています。

 v1.0 と v1.1 では何が違うのか? よくわかりませんが、その 1 つは Safari 方面のようです。


2006.03.13

「再生品磁気テープには厳重な注意を」,富士写真フイルム
(日経 IT Pro, 2006.03.13)

使用済みカートリッジのデータを完全に消去するためには,一般的に,強い磁場を利用してデータを一括消去する「消磁」処理を行う。これは初期の DLTtapeなどには有効だが,LTOや3592などの新しいテープ・カートリッジの場合は,数時間をかけてカートリッジ全体のデータの「セキュリティ消去」,つまり完全な上書きが必要となる。しかし「コストに見合わないため,まったく行われていない」(同社)。

 おぉ、そうなのですか……。それは知りませんでした。

[Namazu-users-ja 706] 日本語全文検索システム Namazu 2.0.16 リリース
(namazu.org, 2006.03.12)

 namazu 2.0.15 以前の namazu.cgi および 2002.11.16 以前の pnamazuに Directory Traversal 問題が存在し、Web サーバ内のファイルを奪取可能だそうです。特に Windows 環境で問題が発生するそうです。namazu 2.0.16 および pnamazu 2006.02.28 で修正されているそうです。

ウイルス定義(DAT)ファイル4715でのW95/CTXウイルス誤認識について
(マカフィー, 2006.03.12)

 DAT4715 で正常なファイルを W95/CTX と誤検出するようです。DAT4716 で直っています。 Cynos さん情報ありがとうございます。

2006年3月11日午前 3時 30分〜午前9時にPCを起動しており、その間にDAT4715への自動更新または手動更新を実施した端末で、かつ、そのDAT4715にてオンデマンドスキャンを実施した端末にて、複数のファイルを W95/CTX と誤検出してしまいます。(オンデマンドスキャンを実施していない場合、誤検知は発生いたしません。)

 オンデマンドスキャンでのみ発生する (オンアクセススキャンでは発生しない) そうです。オンデマンドスキャンをスケジュール実行していたりするとひどい目にあっている模様。W95/CTX より:

-- 2006年3月10日18:50 (太平洋夏時間)更新 --

・以下のファイルは、誤った認識をトリガすることがわかっています。(下に掲載の検出要求をご確認ください。)

以下のリストは、すべてを網羅するものではなく、主なファイルのみを掲載しています。

File Name Description
usersid.exe Windows XP file
imjpinst.exe Windows XP file
ecenter.exe Dell file
ntfstype.exe Utility
adobeupdatemanager.exe Adobe Update Manager
gtb2k1033.exe Google Toolbar Installer
43gcjvgahnu44.ths Macromedia Flash Player 7.0 r19
excel.exe Microsoft Excel
graph.exe Microsoft Excel

 excel.exe …… まずすぎます orz。 手元の Office XP の excel.exe もひっかかってました orz

 誤検出するファイルの一覧が公開されています。手元の事例だと、Cygwin なファイルがぞろそろひっかかってたりしました。

 関連: マカフィー ウイルススキャンの企業ユーザの皆様へ (マカフィー)。 検疫ディレクトリに移動していた場合の復旧ツールが公開されています。 が、この復旧ツール、ACL をきちんと復旧してくれないみたい (というか、検疫ディレクトリに移す前の状態がどこにも保存されてないっぽい……)。

 さて、マカフィーは ウイルス対策製品の更新ファイル提供体制について −企業ユーザ向け製品および個人ユーザ向け製品− という文書を公開していたわけですが、どの工程が腐っていたのでこんな事態になったんでしょうねえ。

 関連: マカフィー、3月11日配布のウイルススキャン定義ファイルに欠陥 (日経 BP, 2006.03.12)

2006.03.18 追記:

 DAT4715の W95/CTX誤検知に関する回答書 (マカフィー, 3/16) が公開されてました。

Q:なぜこの誤検出はこれほど拡大したのですか? DATのテストは行わないのですか?

A:検証テストで発現しなかったのも、ユーザ様で誤検知の障害を引き起こしたのも、DAT4715中の該当シグネチャの非常に複雑なロジック上での欠陥が原因でした。

経緯:
 新しい W95/CTXの亜種を検出する為作成したシグネチャは、その作成段階で、オンアクセススキャンやゲートウェイ製品でのスキャンでパフォーマンスに影響を与える可能性があることが判明しました。
 したがって、当該シグネチャをパフォーマンスへの懸念が少ないデスクトップ製品、しかもオンデマンドスキャン時のみに限定的に適用されるものとして作成しテストを実施しました。

この限定適用のシグネチャ中のロジックが、検知プロセスの途中でウイルスの特定・修復を進めてしまう欠陥をもっていました。

 また、この欠陥がその後のすべてのテストでの顕在化を回避し、テストをすり抜けてしまいました。

 つまり、マカフィーはオンデマンドスキャンに関するテストを一切行っていなかった、ということですか?

弊社では情報を迅速に配信するためにあらゆるツールを活用しましたが、この誤検知に関しては、すぐに通知を受けなかったと一部のお客様からご報告をいただいております。このような遅れを可能な限りなくすことができるように、緊急時のプロセスを見直します。

 「あらゆるツールを活用」したのであれば、たとえば「マカフィー・セキュリティニュース」の臨時版が出ていてもおかしくないわけだが、そういうことは行われていないよね。マカフィーは自分達がどのようなツールを持っているのかをきちんと理解していない、と理解させて頂きました。

いろいろ
(various)


2006.03.10

マイクロソフト セキュリティ情報の事前通知
(Microsoft, 2006.03.10)

 関連: 3 月のリリース予定 (日本のセキュリティチームの Blog, 2006.03.10)

今月は、2 月に比べると件数が少なくなっていますが、 Office 製品に関する更新は、バージョンにより MBSA だけでは検出できない場合もあり、Enterprise Scan Tool (EST) を使用しなければならないケースもあります。展開と検査には注意が必要です。

2006.03.09


2006.03.08

追記

hns-SA-2006-01: make-rurimap.cgi スパムメール送信幇助の脆弱性

 hns-2.19.8 リリースのお知らせ (はいぱー日記システム, 2006.03.07)。 2.19.7 の make-rurimap.cgi は、セキュリティ欠陥はないもののバグっていたそうです。


2006.03.07

いろいろ
(various)


2006.03.06

「Opera 8.52 for Windows」日本語版などに不具合、「8.53」を推奨
(Internet Watch, 2006.03.06)

2月にリリースされた「Opera 8.52 for Windows」の一部の言語バージョンでは、Macromedia Flashの脆弱性が修正されていない不具合が発見された。(中略) すでに「8.52」をインストールしてしまったユーザーには不具合が残っている可能性があるため、脆弱性が修正されたFlashバージョン「7r61」が含まれていることが確実な最新版の「8.53」へとアップグレードするよう推奨されている。日本語を含む15言語バージョンが対象となる。

 Changelog for Opera for Windows 8.53 (opera.com) によると、具体的には次の言語版:


2006.03.05


2006.03.04


2006.03.03

いろいろ
(various)

追記

いろいろ (2006.02.25)

 SquirrelMail 話関連: [ISecAuditors Advisories] IMAP/SMTP Injection in SquirrelMail


2006.03.02

FreeBSD 方面
(FreeBSD Security Advisories, 2006.03.02)

追記

Apple Safari Browser Automatically Executes Shell Scripts

 APPLE-SA-2006-03-01 Security Update 2006-001 (apple) で修正されたようです。ここに掲載されている、これのことでしょう。

Safari, LaunchServices
CVE-ID: CVE-2006-0394
Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.5, Mac OS X Server v10.4.5
Impact: Viewing a malicious web site may result in arbitrary code execution
Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the "Open `safe' files after downloading" option is enabled in Safari's General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).

2006.03.01

hns-SA-2006-01: make-rurimap.cgi スパムメール送信幇助の脆弱性
(はいぱー日記システム, 2006.02.28)

 2006.02.28 より前の全てのはいぱー日記システムに欠陥。 make-rurimap.cgi に欠陥があり、remote から spam 発射台として利用できてしまう。

 hns-2.19.7 で修正されている。また、make-rurimap.cgi を削除する、あるいは config.ph の中の 「$MesMail = '[email protected]';」の行をコメントアウトすることで回避できる。 関連:

 ……hnsがSPAM発信源になってしまう件 (だめだめ日記 Z.o, 2006.02.17) にまとめがあります。TOUGHBOOK☆萌えさん情報ありがとうございます。

2006.03.08 追記:

 hns-2.19.8 リリースのお知らせ (はいぱー日記システム, 2006.03.07)。 2.19.7 の make-rurimap.cgi は、セキュリティ欠陥はないもののバグっていたそうです。

追記

KB912945: Internet Explorer ActiveX update

 いよいよ登場したようです:

  • マイクロソフト セキュリティ アドバイザリ (912945): Internet Explorer 用のセキュリティ以外の更新プログラム (Microsoft)

    更新プログラム 912945 はどのようにリリースされますか?
    更新プログラム 912945 はダウンロード センターおよび Windows Update でオプションの更新プログラムとして利用可能です。 詳細情報は、サポート技術情報 912945 をご覧ください。

    さっそく Windows Update してみると、確かに 912945 が出ています。 「追加で選択できるソフトウェア更新プログラム」に含まれています。 無視したい場合は、「この更新プログラムを非表示にする」をチェックしてしまいましょう。

 KB912945 に書かれているように、これをインストールすると不幸になる可能性があるので注意しましょう。 64bit 版の人は特に、かな。2ch.net とかにいるチャレンジャーな方の様子をしばらく観察するのが吉かと。

 関連: 特許訴訟対策のIEアップデートがリリース (ITmedia, 2006.03.01)


[セキュリティホール memo]
私について