Last modified: Tue Nov 12 15:38:33 2013 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 差し止め請求で沈黙するCisco脆弱性発見者 (ITmedia, 7/29)。
Ciscoはこの差し止め命令が発行された後、「明日中に」セキュリティアドバイザリーを公開する計画であると明らかにした。
とりあえず、待ちですね。
》 Windows Vistaのセキュリティは有望そうだ (ITmedia, 7/29)。個人的にも期待してます。
》 三重県の県民向け掲示板サイトに不正アクセス、フィッシング詐欺の踏み台に (Internet Watch, 7/29)。ニセ eBay にされたそうな。
元ねた: 三重県「e−デモ会議室」におけるサーバへの不正アクセスについて (三重県)
三重県の「e−デモ会議室」において、7月20日(水)の夜間、何者かにより、e−デモを稼働させているサーバが不正にアクセスされたことが判明しました。さらに7月24日(日)に第三者から送られたメールを元に、7月27日(水)に、e−デモのネームサーバが何者かに乗っ取られていることが判明しました。
うひー、DNS サーバ乗っ取りですか? こっちの方がよっぽど問題じゃん。 いまいち状況がよくわからないけど。
》 「中国の軍事」を語ることをタブー視するな (日経 BP, 7/29)。のっけから
■“核の作法”を無視した朱将軍の爆弾発言
中国人民解放軍の将軍がものすごい発言をしてのけた。いやはや、衝撃的というか、驚愕というか、びっくり仰天し、そのあとに肌寒い恐怖に襲われる、という感じなのだ。
なんて書いてあるから何事か、と思ったら、こんな話だそうだ。
「もしアメリカが中国と台湾との軍事紛争に介入し、ミサイルや誘導兵器を中国領土内の標的に向けて発射すれば、中国は核兵器で反撃する。現在の軍事バランスでは中国はアメリカに対する通常兵器での戦争を戦い抜く能力はないからだ」
なんだ、そんなことか。 冷戦華やかなりし頃、NATO はヨーロッパ正面で似たような発言をしていたではないか。「通常兵器で西ドイツに侵入したら、戦術核兵器 (パーシング II) で反撃する」という話だ。NATO が言うとまずくなくて、中国が言うとまずいのか?
核はしょせん抑止力兵器なんだから、こけおどしは正しい使い方だと思うし。 日本にとっては、まず使われないだろう中国の核兵器よりも、たった今タレ流されている中国の公害物質の方がはるかに問題だと思うし。
》 私たちはどこから来たのか? トルコのカフカス人とチェチェン戦争 (chechennews.org)。2005.07.30、東京都文京区、500円。
いくつかの版の Sophos AntiVirus に buffer overflow する欠陥が存在するそうで。 詳細は不明。 Sophos AntiVirus 3.96.0 (公開済) および 4.5.4 (まだみたい) では修正されているそうだ。
5.0.x 系は?
Advisory: Sophos Anti-Virus Library Remote Heap Overflow (Sophos) の最新更新は 2005.08.26。Sophos Anti-Virus for Mac OS 8/9 が 3.9.7 以降で修正され、全ての OS 版での修正が完了されたようです。5.0.x 系は 5.0.5 以降で修正されています。
》 楽天市場:顧客情報10万件流出か 1件3千円で男性購入 (毎日, 7/28)
毎日新聞は少なくとも約1000件は流出していることを取材で確認したが、この1000件はいずれも、123件と同じ業者と取引した顧客の情報だった。このため、(小島注: 業者の全受注数) 9万4000件すべてが流出した可能性がある。
》 北陸新幹線というのがあるのだそうで。中野さん情報ありがとうございます。 未来を拓く北陸新幹線より:
また東海地震が発生した場合、東西間幹線交通寸断(30日間)に伴う影響額は約2兆円(中央防災会議「東海地震対策専門調査会」資料による)と想定されており、大規模災害の危険分散の必要性からも代替補完機能(バイパス機能)を有する北陸新幹線の早期整備は、国家的課題となっています。
ふぅむ。しかし、未来を拓く北陸新幹線の「特性」のトップ項目が「優れた公共事業」ってのがねえ。 結局そこかい! みたいな。
北陸新幹線 (ウィキペディア) によると、とりあえず白山総合車両基地まではフル規格で通るみたいですね。しかし、先はまだまだまだまだまだまだ長いみたい。
》 トレンドと同じ失敗はしない、マカフィーが検証ラボ設立 (ITmedia, 7/27)。 元ねた: マカフィー、「Global Double-byte Lab」が8月からサービス開始 (McAfee, 7/27)
》 Black Hatカンファレンスで暴露される、ウイルス対策の「非」安全性 (CNET, 7/28)。 Owning Anti-Virus: Weaknesses in a Critical Security Component (blackhat.com) のことみたい。
》 脆弱性報告の研究者とBlack Hatに、Ciscoが法的措置 (ITmedia, 7/28)。 当該の講演は Cisco IOS Security Architecture (blackhat.com) のようですが、いまいち話が見えないなあ。
関連:
》 National Vulnerability Database (NIST) というのがあるのですね。
》 【デジタル社会推進シンポジウム 2005 】 〜セキュアなデジタル社会と個人情報保護〜 (INSI)。2005.09.08、東京都渋谷区、無料。
》 価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか (Internet Watch, 7/27)。たまたまヒューリスティックが効いただけなのでは。 それはともかく、とっとと 2.50.x を日本語化してください。 今見たら 2.50.25 になってて、本家版は細かくアップデートされているのがわかるのですが、日本語版はねぇ……。 64bit 版 (eset.com) も来ているので、たのみますよ。
》 「人気サイトにはサイバーテロを防ぐ責任がある」ラック西本取締役 (Internet Watch, 7/27)
》 「ネットユーザーの協力でサイバー犯罪は減らせる」警察庁羽室氏 (Internet Watch, 7/27)。patch あてだけでは窓割れは直らない気がしますが。
》 滋賀銀行様が手のひら静脈認証技術の採用を決定 (富士通, 7/27)
》 「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る (ITmedia, 7/22)。SATOU さん情報ありがとうございます。
「こんな手口とは、考えもしなかった……」と訴える。
ありふれた手口だと思うのですが、まだまだ知られていないようです。
写真とされる添付ファイルには、Zipで圧縮された実行ファイルが入っていた。 (中略) 後に分かったことだが、このメールを受け取った同社の7人の従業員のうち3人が添付ファイルをクリックしていた。
安易に実行できてしまうのが問題の 1 つなんだろうなあという気が。 たとえば zip を展開するときに、実行ファイルについては実行許可を自動的に落としてしまう (あるいは実行不可を設定する) ようになっていると、状況はかなり違う気が。 そういうことができるアーカイブ展開ものって、どこかにないですかね。
ログイン時のパスワードとして、ユーザーに乱数表を発行している銀行もある。「これなら、今回の犯行は未然に防げたのではないか」とT社長は主張する。
否。 スパイウェアによる不正送金被害が拡大、みずほ銀行やジャパンネット銀行でも (ITmedia, 7/9) にあるようにジャパンネット銀行でもヤラれていたわけですが、ジャパンネット銀行では ジャパンネット銀行のセキュリティ対策 (japannetbank.co.jp) にあるように
振り込み、住所変更などの大切な取引の際には、IDコード(乱数型のセキュリティナンバー)の入力を要求する一層高いセキュリティ対応を行っており、当社が発行するIDカードを所持している方のみが手続き出来るようにして取引の安全を図っています。
乱数表を採用していたにもかかわらずヤラれています。 まあ、この手の「乱数表」は one-time use じゃないみたいだから、ヤラれても仕方ない気がします。オンラインバンキングなんてやるつもりなら、たとえば SecurID くらい採用してもよさそうに思うのだけど、そういう話ってないんですかね。 その場合はもちろんハードウェアトークンで。
》 BS ディベート (NHK)。「本格稼働から 2 年: “住基ネット”はどうあるべきか」 というのが 7/31 に放映されるそうです。匿名希望さん情報ありがとうございます。 って、私は BS は見れないんですが。
しかし、w3m で見るとわけわからんページだな。
》 SIMで企業のセキュリティを統合管理せよ (@IT, 7/26)
》 [WD2003] Word 2003 でメタデータを最小限に抑える方法 (Microsoft)
》 ラテンアメリカは燃えているか (ル・モンド・ディプロマティーク, 2005.06)
》 「備える心」が大事——カカクコムのインシデントから得られた教訓 (ITmedia, 7/27)
カカクコムの場合、こうした副作用リスクの中で一番心を痛めたのが、技術系メディアによる「詳細を公開しないのはけしからん」という論調だったという。(中略) 原因や詳細の公表に関して同氏は「何らかの社会的なコンセンサスがあればよかったかもしれない」とも述べた。
カカクコムにとっては、「何らかの社会的なコンセンサス」は存在しないようで。個人情報漏曳すら発生しているにもかかわらず、そういう認識ですか。 それとも、カカクコムから漏曳した電子メールアドレスの全ては個人情報には該当しない形式だったから ok ok、という話なのか。
「公開することによるメリットもあるが、公表した場合のリスクが読めないことから言わないようにしていたが……」(遠藤氏)、結果として社員への心理的なダメージは相当大きかったという。
「公表した場合のリスク」や「公表しなかった場合のリスク」について、LAC の西本さんとかに相談しなかったんだろうか。
》 シャトル、軌道上で点検準備 耐熱タイルの破片脱落 (asahi.com, 7/27)、タンクや機体から破片? シャトル打ち上げ時 NASA (CNN, 7/27) 。バードストライクもあったのか。
関連: Return to Flight (NASA)。
》 www.xoops.org がクラックされたそうです。 是枝さん情報ありがとうございます。
SAK Streets で公開されていた CGI スクリプト のいくつかについて、以前の版に欠陥があり、remote から OS 上の任意のシェルコマンドを実行できてしまう。 2005.05.12 に更新された版で修正されているそうだが、この版を含めて現在公開が停止され、運用中止が呼びかけられている。 なかのさん情報ありがとうございます。
ぐぐると、この件の exploit とおぼしきものも発見できてしまいますね……。 クール掲示板など w_s3*.cgi の運用者は、とりあえず運用を中止した方がいいと思います。
Mozilla プロジェクトにおいて IDN (国際化ドメイン名) が有効にされる TLD のリスト。 もちろん .jp も含まれています。 逆に言うと、ここに含まれていない TLD では IDN は危険すぎて有効にできない、と。
4月1日から5月12日まで (中略) に捕獲したプログラムのうち,ボットとしての挙動が確認されたのは,3万1846件(3705種類)。このうち,ウイルス対策ソフトで検出できたボットは2万8309件(767種類),検出できなかったボットは3537件(2938種類)だった。「1日あたり70種類の未知のボットを捕獲したことになる」(小山氏)
多いとは聞いていましたが、それほどとは。 特に、検出できない bot の数……。
ボットが送信するトラフィックは,1台(1IPアドレス)あたり0.3kビット/秒程度。このため,国内のISPユーザーの2〜2.5%が感染しているとすると,全ポットが占める帯域は10Gビット/秒に相当するという。
ふつうの企業なら、1/100 に攻撃されただけでもツブされるよねえ。 いやはや。
》 【続報】楽天の情報流出、加盟店でのカード情報管理体制が明らかに (日経 IT Pro, 7/26)
取引の多い一部の大規模店舗は電子モール運営元の楽天から特別な審査を受けた上で、自社の顧客のカード情報を一括ダウンロードする権限を得ている。自前の与信確認システムにカード情報を一つひとつ入力する手間を省くためだ。AMCも、こうした権限を持つ加盟店の1社だった。
》 「急増するSQLインジェクション攻撃,『データベース・セキュリティ』が一層重要に」——DBSCのセミナーより (日経 IT Pro, 7/25)
》 Windows Vista、Longhorn Server、IE7の各ベータ版は8月3日に同時リリース (ITmedia, 7/26)。いよいよはじまりますか。
》 Microsoft、Windowsの海賊版防止プログラムを正式スタート (Internet Watch, 7/26)
》 ASKACCS不正アクセス事件、民事訴訟でも元研究員と和解〜謝罪文をWebに掲載 (Internet Watch, 7/26)。民事も結着。
》 日航機トラブル:逆噴射不作動で着陸 子会社の整備ミス (毎日, 7/26)。これはシャレにならない。マジヤバ。
》 Web Security Threat Classification (Web Application Security Consortium)。 日本語版も用意されています。高橋さん情報ありがとうございます。
》 個人情報:京都府警巡査部長、パチンコ中?パソコン盗難 610人分データ保存 (毎日, 7/26)
》 米Symantec、ウイルス対策ソフト「Norton AntiVirus 2006」のBeta版を公開 (窓の杜, 7/26)。すこしは軽くなったのでしょうか。
》 Security Experts Issue Update (Quarter 2, 2005 ) Of SANS Top 20 Most Critical Internet Vulnerabilities List (SANS)
[SA16181] ProFTPD Two Format String Vulnerabilities。ProFTPD 1.3.0rc2 で、2 つの format バグが修正されているそうです。 CVE: CAN-2005-2390
Apache ssl_callback_SSLVerify_CRL DoS。 Apache 2.0.54 に欠陥があり、近日登場予定の 2.0.55 で修正されるそうです。
[SA16206] Vim Modelines Shell Command Execution Vulnerability。 vim 6.x 話。6.3.082 で修正されているそうだ。 しかし Guninski 氏はあいかわらずだなあ。
[SA16184] netpbm Arbitrary Postscript Code Execution Vulnerability。 netpbm 10.x の pstopnm で、-dSAFER をつけずに ghostscript を呼んでいるという話。
AirMac 4.2 アップデートのセキュリティコンテンツについて (Apple)。「デフォルトの WEP キー」というのがアレなのかな。
KDE もの:
Oracle製品にパッチ未公開のセキュリティ・ホール,米US-CERTが警告 (日経 IT Pro, 7/22)。 red-database-security.com のページを見ると、700 日を越えているものも。
なんて危険なものもあるわけで。 いやはや。
[SA14530] Apache HTTP Request Smuggling Vulnerability (secunia)。Apache 2.0.55 で修正される予定だそうです。
シマンテックから回避ツールが公開されました: 秘文で暗号化したファイルを開けない (シマンテック)。
以下のコマンドを実行する。
* SAVCE クライアントの場合:
C:\Program Files\Symantec AntiVirus\SAVRTICFG.exe ICFG:OpenScanningMode 0
* SCS クライアントの場合:
C:\Program Files\Symantec Client Security\Symantec AntiVirus\SAVRTICFG.exe ICFG:OpenScanningMode 0
なんだか SAVCE や SCS の機能の一部を無効化している感じですね……。 SAVRTICFG.exe を使うと、もっといろいろ設定できるのかなあ。
》 震災時、都心から家まで歩いて帰るための地図 『震災時帰宅支援マップ 首都圏版』発売 (昭文社, 7/25)。「この道なら震度 7 級でも崩壊したり隣接建物の崩壊やら火災やらで閉鎖されたりはしないことが期待できる」という地図?
それにしても、東京出張中とかに東海・東南海とか来た日には、どうやって帰るのがいいんだろう。新幹線も飛行機も止まるだろうしなあ。
》 震度5強の地震により携帯で長時間の発信規制,メールも対象に (日経 IT Pro, 7/25)。これまでは「地震のときでもメールは ok」と言われていたのだが、
新潟県中越地震をきっかけに,通話の規制下でも携帯電話のメールが使えることが認知されだした。ただしこれが可能なのは,音声とデータを分離した規制ができる第2世代とKDDIのCDMA 1X WINの端末のみ。FOMAやKDDIのCDMA2000 1X端末ではメールも規制の対象となった。これは今回の関東地区の地震でも同じ。
今後,FOMAなどの第3世代が普及すると,被災地で携帯メールが有効な手段ではなくなる可能性が高い。
な、なんと! 3G は機能低下ですか。 使えね〜。
》 コロラド大のサーバーに不正アクセス,4万人以上の個人情報漏えいのおそれ (日経 IT Pro, 7/25)
ClamAV 0.86.1 以前に複数の欠陥。 TNEF, CHM, FSG ファイルの検証において integer overflow する欠陥があり、攻略ファイルにより任意のコードを実行可能。
ClamAV 0.86.2 で修正されている。
》 楽天からクレジットカード番号を含む個人情報が初めて流出 (CNET, 7/23)
23日の地震の影響で、関東地方の各地では、エレベーターが少なくとも4万台以上停止し、首都圏のもろさを示す形となりました。
東京・足立区で観測された震度5強など50か所余りの震度データが、地震のあと30分近く東京都から気象庁に送られず、国の初動対応に遅れが出ました。
事件を目撃したというマーク・ホイットビーさん22日、は「列車に駆け込む男を見た。ものすごい勢いで走っていたので、つまずきかけてころびそうになっていた。男3人に追いかけられていて、3人のうち1人は手に黒い拳銃をもっていた。逃げていた男が倒れるみたいになると、追いかけていた2人が覆い被さるみたいにして押さえつけて、もう1人が発砲した。銃声は5回聞こえた」と報道陣に話していた。
》 ICMP tools (gont.com.ar)
》 SELinux Policy Editor 1.0 が出たそうです。
》 決別電報改竄:硫黄島指揮の中将 戦中の世論操作浮き彫り (毎日, 7/24)
》 「新たなオンライン攻撃手段,偽の電子グリーティング・カードに要注意」,英調査 (日経 IT Pro, 7/23)
これをネタにして 脆弱性をただ公表すればいいのか?リンクする側も責任を持とう (japan.zdnet.com) という記事が書かれているっぽい。 その内容については 極楽せきゅあ日記 や Lucrezia Borgia の Room Cantarella でつっこまれているが、 それ以前の問題として、著者の呉井譲二氏は、 なぜ登氏が 「IBM ThinkPad X41 が外部から誰でもシャットダウンできる仕様について」としているのかを考えるべきだったのでは、と思う。
まずは一読を。いやはや。
ZoomSight (hitachi.co.jp) は 2004 年度グッドデザイン賞を受賞しているのだそうで。 で、 日立自身によるデモサイトが用意されているのですが、 そこからたどれる ZoomSight 説明ページでも
動作条件
(中略)
* お使いのブラウザの設定が、署名付きActiveXの実行が有効になっていること
とされてしまっていますね。動作条件として指定しますかそうですか……。 SIer というよりは開発元の問題みたいですねえ。もっとも、それに疑問を感じない SIer も問題なのだろうけど。
似たような指示は他にもいろいろあるのだそうで:
Google、読売新聞社、Mapion、Yahoo! JAPAN、ソフトバンク!BB、早稲田大学図書館、三洋電機、NEC、Oracle、マイクロソフトらがスパイウェア感染を招き金融被害をもたらしている可能性 (高木浩光@自宅の日記, 2005.08.01)。
関連: 信頼済みサイトゾーンを使わせない……? (水無月ばけらのえび日記, 2005.08.02)
茨城県、愛知県、和歌山県、愛媛県などの電子申請システム利用者がスパイウェア感染しやすい設定に変更している恐れ (高木浩光@自宅の日記, 2005.08.01)
どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる (高木浩光@自宅の日記, 2005.08.02)
》 総務省、迷惑メール対策の最終報告書をまとめる - 政策の進展に期待 (MYCOM PC WEB, 7/22)。元ねた: 「迷惑メールへの対応の在り方に関する研究会 最終報告書」の公表 (総務省, 7/22)
Internet Explorer における JPEG ファイルの取扱に欠陥があり、 IE がクラッシュしてしまう。場合によっては任意のコードの実行が可能かもしれないという (未確認)。公開されているサンプル JPEG ファイルを手元の Windows XP SP2 で試してみた:
| IE 6.0 SP2 | Firefox 1.0.6 | |
|---|---|---|
| mov_fencepost.jpg | クラッシュ | 問題なし[1] |
| cmp_fencepost.jpg | クラッシュ | 問題なし[1] |
| oom_dos.jpg | 問題なし[2] | 問題なし[3] |
| random.jpg | 問題なし[2] | 問題なし[3] |
註釈:
関連: IEに未パッチの脆弱性4種、実証コードあり (slashdot.jp, 2005.07.19)
Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038) (Microsoft) で修正されました。 CVE: CAN-2005-1988
元ねた: Secunia Research 21/07/2005 - avast! Antivirus ACE File Handling Two Vulnerabilities - (secunia)。avast! 4.x における ACE 形式ファイルの扱いに欠陥。 avast! 4.x に含まれる 3rd パーティライブラリ UNACEV2.DLL に欠陥があり、
修正版が出ている。
当該の UNACEV2.DLL は winace.com の Developers から入手できるもの (バージョン 2.5.0.0) と同じなのかなあ。
》 私物PCが感染、原発検査資料がネット上流出 (読売, 7/22)。例によって Winny ねたなのですが、
データが保存されていた保安院検査官の私物パソコンがコンピューターウイルスに感染し、流出が起きたとみられる。核物質防護に関連する重要データは含まれていなかったとしている。
よりにもよって保安院の検査官からダダ洩れしちゃってます。
この欠陥が修正された zlib 1.2.3 が出ていました。
fetchmail 6.2.5 以前に欠陥。POP3 機能に buffer overflow する欠陥があり、攻略サーバの長大な UID 出力によって任意のコードを実行可能。 6.2.5.1 において部分的に修正されたが、これに対しても DoS 攻撃が可能。 6.2.5.2 で修正された。 CVE: CAN-2005-2335
》 GTA開発元、わいせつシーン作成認める。レーティングは「成人のみ」に (ITmedia, 7/21)
》 どこでもセキュアに自分専用のPC環境を再現するソフトウェア 「シェアードPC」を発売 (NTT-IT, 7/21)
》 日本の「輸入差止申立制度」に欠陥---キヤノンの「ラッチレバー特許」の無効審決で露呈 (日経 Tech On, 7/20)
》 夏休み&長期休暇 (日本のセキュリティチームの Blog、 7/21)。 大学の中の人的にはむしろ、これからが勝負だったりするのですが。
》 米Microsoft,スパイウエア対策ソフト「Windows AntiSpyware」ベータ版をアップデート (日経 IT Pro, 7/21)。また更新されたそうです。
同リリースは,英語版のWindows OS以外には適用できない。
あれっ? そんなことないと思うけど……。 もちろん日本語対応はされてないので at your own risk だけど。って、もともとがβ版なんだし……。
》 米Microsoftが米Finjanに出資,セキュリティ特許のアイデアをライセンス取得 (日経 IT Pro, 7/21)
》 米Microsoft,セキュリティ・メッセージングの米FrontBridge買収で「Exchange Server」強化へ (日経 IT Pro, 7/21)。FrontBridge はこんな感じのことをやってるトコのようで: メッセージング・セキュリティ・サービスへの企業ニーズが高まる (ITmedia, 2003.08.22)
》 MicrosoftはClaria社の買収を断念 (日経 IT Pro, 7/20)
筆者が入手した情報によれば,Microsoftは既にClariaの買収を断念した。買収するといううわさの評判があまりに悪かったためだ。Microsoftがユーザーの行動をモニタリングする技術を求めているということに変わりはない。
うーん……。「Microsoftがユーザーの行動をモニタリングする技術を求めているということに変わりはない」というのがよくわからんなあ。 Microsoft には Curious Browser もあるわけで、なぜわざわざ Gator なんかがほしいという話になるのかがよくわからん。
》 米取材源秘匿:メディアを認める連邦法案に司法省が反対 (毎日, 7/21)
》 中国の「長期的脅威」を強調 国防総省年次報告 (CNN,7/20)
》 イラクの米兵士に精神的問題 (NHK, 7/21)。 ただでさえ正義がない上に、州兵とかが行ってるわけだし。 装備も不十分みたいだし。 現実問題、士気も技術も「民間軍事会社」の方がはるかに上なんでしょうね。
》 ミサイル防衛で岐阜にPAC3 防衛庁方針 (中日, 7/21)。埼玉、岐阜、福岡だそうです。 他は現状のままなのかな…… PAC1 相当でしたっけ?
》 前田会長記者会見 (全銀協, 7/19)。スパイウェア事件、個人情報紛失事件などについて。
全会員銀行に対して徹底した内容について一部申しあげると、偽造キャッシュカード問題の際に、被害届を誰が出すのかについて調整に手間取り、お客さまにご迷惑をおかけしたことを踏まえ、警察庁との間で調整のうえで、被害届の提出にあたっては、被害に遭った銀行から各都道府県の県警本部の「サイバー犯罪相談窓口」に相談することを周知徹底した。(中略)
個別の銀行の話で申しあげると、みずほの場合には、全てのインターネットバンキングのお客様に対し50万円まで、更にMMCのお客様には100万円まで、保険をかけさせていただいている。今回の被害に遭われたお客様の場合には、おひとりの方はこの保険金額の範囲内であるために、ある意味では備えが出来ていたとも言えるが、もうひと方の場合は、この金額を超えた被害が出ている。
世の中、すこしは進歩しているようです。
》 ビザ系カード、さらに1312人分の情報流出か (asahi.com, 7/20)
》 郵貯がATM大改修 約2万6千台、防犯機能高める (asahi.com, 7/13)。これからやります、という話みたい。
06年末までに数億円かけて入力データの暗号化などの対策を強化すると見られる。 (中略) 欧米のATMでは入力された暗証番号が外部から盗み取られないように高度な暗号化機能を備えているのに対し、郵貯ATMの対応が遅れていることが分かった。ビザやマスターは「提携を継続するためには安全性の向上が必要」と、昨年後半から公社に改善を求めていた。
もしかして、今がいちばんあぶないですか?
JCE1.2.1のHotFixについてのQA (マカフィー)。IntruShield 用 patch 出ました。
Nullsoft、任意のコードが実行される脆弱性を修正した「Winamp」v5.094を公開 (窓の杜, 2005.07.21)。[Full-disclosure] LSS Security Advisory: Winamp remote buffer overflow vulnerability の件が修正された模様。
Greasemonkey の 0.3.5 より前の版に欠陥。 少なくとも 1 つの UserScript にマッチする web サイトが、ユーザ PC 上のローカルファイルを読み取ることが可能。 Greasemonkey 0.3.5 で修正された……というか、0.3.5 では、欠陥が含まれているらしい GM* API が無効化されている。そのため、GM* API を利用している UserScript は 0.3.5 では動かない。将来の版で機能が復活する予定だそうだ。
Wiki 実装のひとつ Hiki の 0.8.0 〜 0.8.1 において、プラグイン書式内の文字列における " のエスケープがなされていないために XSS 欠陥が存在。 0.8.2 で修正されたそうです。かずひこさん情報ありがとうございます。
tDialy とはてなで CSRF 欠陥への対応がなされているようです。
tDiaryの脆弱性に関する報告(2005-07-20) (tdiary.org, 2005.07.20)、tDiary 2.0.2、2.1.2リリース (tdiary.org, 2005.07.21)
tDiary 2.0.1 以前と 2.1.1 に CSRF 欠陥があり、2.0.2 / 2.1.2 で修正されたそうです。
はてな各サービスの CSRF 脆弱性対策について (はてなダイアリー日記, 2005.07.15)
これに関連して、いろいろと不具合が発生している (いた?) ようです。
いずれも、CSRF 欠陥対応のために仕様が変更されているそうで。 注意しませう。tDiary の場合は tDiary 2.0.2、2.1.2リリース にいろいろと注意書きがあります。
》 スパイウェアによる被害の防止に向けた注意喚起 (IPA, 7/20)
》 ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第2四半期(4月〜6月)] (IPA, 7/19)
》 「4000万人分情報漏えい」カード決済会社、VisaとAMEXから契約切られる (ITmedia, 7/20)
》 海外向けに「リネージュII」用不正プロキシ設置、中国人留学生を逮捕 (Internet Watch, 7/20)
》 国産暗号アルゴリズム「Camellia」がインターネットの標準暗号規格に採用 (Internet Watch, 7/20)
》 OCNユーザーが2ちゃんねるに一時アクセスできない事態に (Internet Watch, 7/19)
2ちゃんねるでは「OCNに割り当てられているIPアドレスからDoS攻撃を受けており、すでに3台のサーバーが落ちている。すぐに攻撃を止めてほしい」と要請したが、OCNの電話窓口では「当社にはそういう窓口がないので承れない」と回答。これを受けて18日午前2時ごろ、2ちゃんねるではOCNの全アドレスからのアクセスを規制した。
「官製ハッカー」でサイバー攻撃演習 来年度から総務省 という話がありましたが、実際にやってみると、↑こういう話がごろごろ出てくるものと思われ。でもそれは、むしろ演習でごろごろ出てきてくれた方がよいのですけどね。 ↑このように、リアルで出てきてくれるとシャレにならないし。
あと、やっぱり今年からやらないと間にあわないのでは? と思ったけど、あと 1 か月弱で 8/15 だから、もう遅いか。
》 「Microsoft Windows Server 2003 Service Pack 1」への対応について (トレンドマイクロ)。あいかわらず「検証中」とか「次期バージョン」とかいった文字列が並んでますね。 2005.07.26 から SP1 を自動更新で配信するゼと息まいている企業が存在するのですが……。うーむ。関連:
》 JPCERT/CC 活動概要 [ 2005年4月1日〜 2005年6月30日 ] (JPCERT/CC)
》 第三回セキュリティもみじセミナー。 2005.08.20、広島県広島市、一般 2500 円。 はまもとさん情報ありがとうございます。
》 「ネットエージェントのフォレンジック・サービス、調査技術ゼミを開始」 --- 現場の調査員・捜査官に高度な技術を還元するゼミ --- (ネットエージェント, 7/20)。
第一回 ネットエージェント【調査技術ゼミ】開催のお知らせ (ネットエージェント)。 2005.08.17、東京都江東区、3000円。「参加条件:法人様のお申し込みに限ります」だそうです。
こんなのも:
フォレンジック・ナビゲートセミナー「コンピュータ・ネットワークのフォレンジック調査」 (ネットエージェント)。 2005.08.09、東京都新宿区、無料。 申込ページ。
》 [AML 2583] 『8/6靖国神社・遊就館見学会』のお知らせ。楽しそうですね。
FreeBSD 5.x の devfs(5) に欠陥。jail(2) 環境の内側から、隠蔽されているはずのデバイスにアクセスできてしまう。patch があるので、適用した上で kernel を再構築し、インストール後再起動すればよい。 関連:
IntruShieldで、JCE 1.2.1の証明書の期限切れの問題について (マカフィー)。IntruShield v1.8、v1.9、v2.1 で JCE 1.2.1 を使っており、 JCE 1.2.2 へ移行する patch が 2005.07.21 に提供される予定だそうだ。
Firefox と Thunderbird の 1.0.6 版が出ました。Firefox 1.0.6 については各国語ローカライズ版も同時リリースされています。残念ながら、Thunderbird 1.0.6 は今のところ英語版しかありません。
早田さん、上田さん情報ありがとうございます。
日本語版出ました: マイクロソフト セキュリティ アドバイザリ (904797): リモート デスクトップ プロトコル (RDP) の脆弱性によりサービス拒否が発生する (Microsoft)
関連として、WebBrowser Control を使う MUA に特大のセキュリティーホール を追加 (参照: [memo:8609])
(link fixed: 水野さん感謝)
》 怪しさが増すロンドンテロ事件 (tanakanews.com, 7/19)。うーむ。
》 http://ns.hyougo-net.com (= www.hyougo-net.com) (Netcraft) という「ひょうご卸売市場協働ネットワーク推進協議会」のサイトがあるそうなのですが、 「定期アゲ」のようにヤラれているようです (zone-h.org)。 x_kobe_x さん情報ありがとうございます。
》 Rgrey - S25R + postgrey パッチ (hakuba.jp)。 阻止率99%のスパム対策方式の研究報告 (gabacho-net.jp) における whitelist のメンテナンス方法として greylisting を使う話。 postgrey への patch として実装されている。
》 「安全なブラウザ」などもう存在しない (CNET, 7/15)。US-CERT の Art Manion 氏による解説。
》 Firefoxのプロモーションサイトに何者かが侵入--データ流出の可能性 (CNET, 7/19)。いろいろ出ますねえ。
》 米VeriSign、米iDEFENSEを4,000万ドルで買収 (Internet Watch, 7/15)。
》 パターンファイル問題で9億円、トレンドマイクロ業績予想を下方修正 (Internet Watch, 7/15)。9 億円で済んでよかったですねえ。 平日だったら桁が 1 つか 2 つ違っていたでしょうから。
》 「Sender IDやSPFを逆手にとったスパムが増加」,米MX Logicの調査 (日経 IT Pro, 7/16)
Windows 上で NOD32 のバージョン 2.50.23 より前の版を利用している場合に、Windows Update や Microsoft Update が 0x8007041D エラーを出して失敗することがある模様。2.50.23 以降で解決されている模様。
キヤノンソリューションにも Microsoft Update(Windows Update)ができない (canon-sol.jp) として情報が出ているが、なぜか KB 902322 (Microsoft) ほど明確な内容ではない。 ちなみに 本家のダウンロードページを見ると、最新バージョンは 2.50.25 の模様。 手元の Windows 2000 に入れてある NOD32 日本語版を見てみると、バージョンは 2.12.3 だった。 この環境でついさきほど Windows Update してみたが、問題なく実行できた。あらゆる環境で発生する、というわけではないようだ。
おおかわさん情報ありがとうございます。
なお、Windows Update のトラブルについては、まずは 884101 - Windows Update に関する技術情報 (Microsoft) を見てみると吉なようです。
Firefox と Thunderbird の 1.0.5 版には API の変更に伴う互換性の問題が発生しており、
ことが決定された模様。 この状況に対して、各国のローカライズ版利用者・開発者達が悲鳴を上げている模様。 日本語訳 #768544 (slashdot.jp) より:
「頼むから、そんなに曖昧な態度はやめてくれ! 何が問題なのかきちんと説明をしてくれ!」とポーランド語のローカライゼーションを担当する Marek Stepien は Firefox 1.0.5 ローカライゼーションの状況に関する netscape.public.mozilla.l10n ニュースグループへのメッセージの中で悲痛の声を上げている。「ポーランドの Firefox ユーザから Firefox 1.0.5 がなぜポーランド語で利用できないのかを尋ねる電子メールを山のように受け取っているんだ(で、僕らローカライゼーション担当チームは、この遅れの責めを受けている)ジャーナリストも同じ質問をしてくる・・・ もう数日遅れたら、合衆国外での Firefox の悲惨な状況を知らしめる大々的な宣伝になってしまう。」
既に十分宣伝になっているような気が。
#768544 は slashdot.jp の関連スレ 「Firefox/Thunderbird 1.0.5日本語版は見送り」(見送られたのは日本語版だけではないのでこのタイトルは誤解を招いているようだが……) からのもの。他にもいくつか:
#768380: Stableってなんだろう (slashdot.jp)。 安易な変更を無警告で行ってしまったのかなあ。
#768444 (slashdot.jp)。
自分の環境だとローカライズセンター [mozilla-japan.org]にある「Mozilla Firefox 1.0+ 日本語版 Win/Linux 用 XPI パッケージ」で日本語化は(たぶん)大丈夫なんですよね
件のものは「Firefox 1.0 リリース後に次のリリースへ向けての準備として作成した開発リリースです。動作確認などは殆どしておりませんので、ご利用になる場合には十分にご注意ください」とされているので、ふつうの人に推奨するのは困難だと思いますが……。
ともあれ、make the switch today (Firefox ホームページでの表現) と本気で言っているのなら、「英語版とローカライズ版のリリース日がズレている = ローカライズ版利用者に対する時差攻撃が可能」という「Microsoft 1999」な状況を解決する、のが根本的な対策だろう。 0day exploit に早急に対応する必要があるので仕方なく……という状況ならともかく、1.0.5 で行われた修正はそうではないのでしょう?
早田さん情報ありがとうございます。
Firefox と Thunderbird の 1.0.6 版が出ました。Firefox 1.0.6 については各国語ローカライズ版も同時リリースされています。残念ながら、Thunderbird 1.0.6 は今のところ英語版しかありません。
早田さん、上田さん情報ありがとうございます。
》 鳥インフルエンザで父子死亡か 「人から人」感染の恐れも (CNN, 7/15)
》 アチェ独立派、武装解除と和平に合意 (CNN, 7/17)
》 胸部X線:健康診断で廃止検討、有効性に疑問 厚労省 (毎日, 7/17)
一方、連合会 (小島注: 全国労働衛生団体連合会) 副会長の柚木孝士委員は、検討会に出した資料で「(個々の病気の発見法としては)優れた検査法とする根拠は乏しい」と認めながら「有効性が低いとする根拠は確立されていない」と存続を訴えている。
こういうのを「屁理屈」と言うのでは。
職場健診の費用は全国で年間3000億円から4000億円と推定される。連合会の梶川清専務理事は「廃止は健診料金の大幅値下げや受診者の急減につながりかねず、死活問題だ」と言う。
こういうのを「手段が目的と化している」と言うのでは。
Thunderbird 1.0.5がリリース (ITmedia, 7/14)。 Fixed in Thunderbird 1.0.5 (mozilla.org)。 現時点では英語版のみのようです。
[Full-disclosure] LSS Security Advisory: Winamp remote buffer overflow vulnerability。 Winamp 5.03a, 5.09, 5.091 において、MP3 の ID3v2 タグの処理に buffer overflow する欠陥を確認した、という話。 修正版がまもなく登場する予定だという。デモ MP3 ファイルが公開されている。
APPLE-SA-2005-07-12 Darwin Streaming Server 5.5.1。 Version 5.5 for Windows 2000/2003 Server に DoS 欠陥。5.5.1 で fix されている。 Mac OS X / Linux 版にはこの欠陥はない。
MIT Krb5 方面。 MIT krb5 1.4.1 以前に欠陥。
MIT krb5 1.4.1 用の patch が提供されている。
MPSB05-05 - Security Patch available for JRun 4.0 token collision (Macromedia)。 JRun 4.0, ColdFusion MX 6.1 Enterprise with JRun, ColdFusion MX 7.0 Enterprise Multi-Server Edition に影響。patch があるので適用すればよい。
[Full-disclosure] Stack-Based Buffer Overflow in Sybase EAServer 4.2.5 to 5.2
RHSA-2005:571-06: cups security update。 STR #700: Location and printer name case sensitivity (cups.org)。 CVE: CAN-2004-2154。
[ GLSA 200507-12 ] Bugzilla: Unauthorized access and information disclosure。 Bugzilla 2.18.1, 2.19.3 Security Advisory (bugzilla.org)。 2.18.2 および 2.20rc1 で修正されているそうで。
[SA16065] Windows Network Connections Service Denial of Service、 exploit。
SSH Tectia Server Private Key Permission Vulnerability in Windows (ssh.com)。 Windows 版の SSH / SSH Tectia Server の話。
[ GLSA 200507-13 ] pam_ldap and nss_ldap: Plain text authentication leak。 TLS 利用時の話みたい。SSL だと問題なし。
[Full-disclosure] [ZH2005-16SA] Insecure temporary file creation in Skype for Linux
Nullsoft、任意のコードが実行される脆弱性を修正した「Winamp」v5.094を公開 (窓の杜, 2005.07.21)。[Full-disclosure] LSS Security Advisory: Winamp remote buffer overflow vulnerability の件が修正された模様。
「システムをシャットダウンするのにログオンを必要としない」ポリシーを 有効に、じゃなくて無効に、でした。Mattun さん感謝。
Microsoft Security Advisory (904797): Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service (Microsoft, 2005.07.16)。 RDP に DoS 攻撃を食らう欠陥があることが確認された模様。 Windows 2000 Server / Server 2003 のターミナルサービス、 Windows XP のリモートデスクトップ / リモートアシスタンスが該当。 特に Windows XP Media Center Edition ではリモートデスクトップがデフォルトで有効になっているそうだ。
》 今のところトラブルなし——パターンファイル日次更新を再開したトレンドマイクロ (ITmedia, 7/14)。まずはなにより。 日本での市場シェアを考えると、トレンドマイクロはコケてもらっては困る企業だからなあ。
》 istrings 0.2 が出たそうです。
》 小学3年生〜5年生20名対象 「夏休み自由研究体験教室」参加者募集 (トレンドマイクロ, 7/15)。2005.08.18、東京都渋谷区、無料。
》 「一太郎」ヘルプボタン事件の判決は9月30日 (CNET, 7/15)
》 政府の情報セキュリティ対策会議が掲げる5つの緊急施策 (ITmedia, 7/15)
》 米軍が開発進める「指向性エネルギー兵器」 (WIRED NEWS, 7/14)。原文タイトルはスタートレックねたになってますね。
》 竹島:外務省HPの位置 国土地理院地図と11キロズレ (毎日, 7/16)
地図製作会社「昭文社」(東京都千代田区)によると、この食い違いは業界ではよく知られており、「ほとんどの会社が国土地理院が正しいと判断し、それを採用している」と話す。
誰もが知っていたけど誰も教えてあげなかったんですね。
Windows 2000 Service Pack 4 対応の更新プログラム ロールアップ 1 を適用すると Outlook からパスワード変更が出来なくなる (Microsoft)
これは更新プログラム ロールアップ1 を適用することにより、Windows 2000 Server が認証に使用するアルゴリズムが変更されるためです。
なかなか楽しそうな仕様ですね。当面の対策としては、コメントにあるように、ローカルセキュリティポリシーで「システムをシャットダウンするのにログオンを必要としない」ポリシーを有効 無効にしておくくらいでしょうか。
(fixed: Mattun さん感謝)
これをネタにして 脆弱性をただ公表すればいいのか?リンクする側も責任を持とう (japan.zdnet.com) という記事が書かれているっぽい。 その内容については 極楽せきゅあ日記 や Lucrezia Borgia の Room Cantarella でつっこまれているが、 それ以前の問題として、著者の呉井譲二氏は、 なぜ登氏が 「IBM ThinkPad X41 が外部から誰でもシャットダウンできる仕様について」としているのかを考えるべきだったのでは、と思う。
ThinkVantage指紋認証ユーティリテイ− (Windows 2000/XP) - ThinkPad T42/T42p/T43/T43p/X41/X41 Tablet (IBM) の Ver.4.6.0 Build 1153 が出ています。水野さん情報ありがとうございます。 リリースレターより:
<4.6.0 Build 1153> -(修) リモートデスクトップ接続でシャットダウンボタンを無効化した。
Microsoft Security Advisory (903144): A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit の件。修正内容も、Advisory で示されていたのと同じ、View プロファイラ (Javaprxy.dll) COM オブジェクト (CID: 03D9F3F2-B0E3-11D2-B081-006008039BF0) に対する Kill Bit の設定。
Windows 98 / 98 SE / Me / 2000 / XP / Server 2003 に欠陥。 カラー管理モジュールにおける、ICC プロファイルフォーマットのタグの検証処理に欠陥がある。 そのため、カラープロファイルとして ICC プロファイルを埋め込んだ攻略画像ファイルにより、Windows 2000 / XP / Server 2003 では任意のコードを実行可能。 Windows 98 / 98 SE / Me にも同じ欠陥があるが、「重大な攻撃ベクタで悪用できない」「現在知られている攻撃のベクタがこの脆弱性を悪用するには、ユーザーの操作が必要」だそうで、深刻度は「重要」と判定されている。 CVE: CAN-2005-1219
ICC プロファイルフォーマットのタグの検証処理、というのは、たとえば Specification ICC.1:2004-10 (Profile version 4.2.0.0) の p.14 における「Tag Table」と「Tagged Element Data」との関係の処理を言うのかな。
Windows 2000 / XP / Server 2003 については修正プログラムがあるので適用すればよい。
発見者 Shih-hao Weng 氏の所属する ICST というのは、台湾の組織なんですね。
Microsoft Word 2000 (Office 2000) / Word 2002 (Office XP) に欠陥。 フォントの処理において buffer overflow が発生するため、攻略 Word ドキュメントによって任意のコードを実行可能。
修正プログラムが用意されているので適用すればよい。 Word 2002 (Office XP) を利用している場合は Microsoft Update からも適用できるが、Word 2000 (Office 2000) の場合は Office アップデートを行うか、あるいは MS05-035 ページから個別に修正プログラムを入手し適用する。
関連:
》 米サン:シングル・サインオン技術をオープンソース化 (毎日, 7/15)
》 White Paper: Macromedia Flash Player 7 Client-Side Security (Macromedia) なんて文書があったのね。
》 TCP 1433番ポートへのスキャンの増加に関する注意喚起 (JPCERT/CC, 7/14) (link fixed: 藤井さん、さすらう者さん、西井さん感謝)
05_07_14-bitdefender_malicious_content_bypass
BitDefender for Linux & FreeBSDメールサーバ話。 いまいちよくわからないなあ。複数の uuencode な「添付」を行うと、最初の 1 つだけしか検査されない、ということかなあ。 いずれにせよ、自動アップデートにより対応されている模様。
Sophos AntiVirus に欠陥。 BZIP2 圧縮されたファイルの処理における 'Extra field length' 値の扱いに欠陥があり、大きな値を設定することで無限ループが発生、CPU を食いつくす。 この欠陥は「圧縮ファイル内を検索する」オプションが有効な場合 (デフォルト: 無効) に発症する。
最新の Sophos AntiVirus (3.95.0 / 5.0.4 / 4.5.3) で修正されているそうだ。
MSN サーチ ツールバー with Windows デスクトップ サーチ (MSN) の「Windows デスクトップ サーチ」を有効にすると、鶴亀メールで、ふつうのメールがウイルスと判定されてしまう、送信済みメールが未送信フォルダに残ってしまう、などといった不具合が発生する模様。このような不具合は他のソフトでも発生する恐れがあるようだ。 秀まるお氏は回避策として以下を挙げている:
- 「インデックスの作成を優先する」オプションは必ずOFFにする。
- 鶴亀側の「全般的な設定・ウィルス対策・アンチウィルスソフトのリアルタイム検索に対応させる」をOFFにする。
- 出来れば、鶴亀メールのデータ用フォルダは検索対象とならないように設定する。(デフォルトでは検索対象とならないはずだけども)
- 出来れば鶴亀メール側の定期受信をOFFにする。
不具合のうち、鶴亀メールで対応できるものについては Version4.18 で対応される予定だそうだ。しかしそれで全てが解決されるはずもなく、……。
Windows XP のリモートアシスタンス機能 (標準で有効、Windows ファイアウォールでも例外設定されて解放されている) に欠陥があり、 外部から Windows XP 自体をクラッシュ (ブルー画面) させることが可能らしい。 詳細不明。RDP (3389/tcp) をフィルタすれば回避できるらしい。
Microsoft Security Advisory (904797): Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service (Microsoft, 2005.07.16)。 RDP に DoS 攻撃を食らう欠陥があることが確認された模様。 Windows 2000 Server / Server 2003 のターミナルサービス、 Windows XP のリモートデスクトップ / リモートアシスタンスが該当。 特に Windows XP Media Center Edition ではリモートデスクトップがデフォルトで有効になっているそうだ。
日本語版出ました: マイクロソフト セキュリティ アドバイザリ (904797): リモート デスクトップ プロトコル (RDP) の脆弱性によりサービス拒否が発生する (Microsoft)
patch: リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる (899591) (MS05-041) (Microsoft)
関連:
[SM-ANNOUNCE] Patch available for CAN-2005-2095。 1.4.4 用の patch が出たそうです。 って、http://www.squirrelmail.org/security/issue/2005-07-13 にアクセスできなくなってるっぽいのですが……。
SquirrelMail Arbitrary Variable Overwriting Vulnerability。 発見者によるレポート。
》 今夜わかるメールプロトコルの p.188:
とやまさんから
うえのへ
あへあへ
あへあへですかそうですか……。
》 BSE牛:日本で発見の20頭中の9頭、米なら検査対象外 (毎日, 7/15)。約半分はすり抜けてる、と。US ビーフ、さすがです。
》 中国のハッカーグループ、韓国サーバー経由し日本攻撃へ (東亜日報, 7/14)。中の人は眠れない日々を過ごすことになるんだろうか。
》 WindowsやOfficeの更新プログラムを一括提供するサービス Microsoft Updateを提供開始 (Microsoft,, 7/14)。 Windows Update すると、移行しましょう〜と出ますね。
》 通信機器(SOHO向け電話システム)における 不具合および今後の対応について (NTT 西日本, 7/14)
緊急機関から「呼び返し」※1を行なう必要があった際に、お客様の電話機が鳴らないことが判明いたしました。(中略)
(1)対象機器
<1>レカム・マルチメディアホームシステム FX
<2>レカム・マルチメディアホームシステム FXII
<3>ROUTER PHONE PACSIAII(NTT東日本)
SOHO ROUTER SYSTEM PACSIAII(NTT西日本)
<4>Netcommunity SYSTEM AX
<5>Netcommunity SYSTEM X7000
》 KGB Keylogger (refog.com)。多分 KGB とは関係ないんだろうけど。
》 Firefoxの市場シェアが減少〜セキュリティーホール発見が原因か? (Internet Watch, 7/14)。なんだかなあ。
》 「スパム送信用“ボットネット”のレンタル料は1時間で300ドル」——米MX LogicのCTO (日経 IT Pro, 7/13)。なかなかビミョーな価格設定だなあ。 そういえば、iij.news vol.70 MAY/JUNE 2005 に Scott Chasin氏による記事が出てます。フィッシング / ファーミングねたですが。あと、「spam からメールを守れ」シリーズのつづきも。
》 Googleと共謀罪 (崎山伸夫のBlog, 7/14)
共謀罪が導入された後、Googleでも別の会社でもいいのだが、同様の事業を日本でやる、と発表したらどうなるのだろう?デジタル化作業をまだ行っていない段階でも、その会社のなかの関係者に関して著作権侵害の共謀罪が成立しそうだ。しかも、「大量の無断複製」。
さて、上記に、「共謀罪」衆院で実質審議開始 与野党の修正要求相次ぐ (asahi.com, 7/12) の以下の部分を加えるとどうなるか。
「ある集団が殺人の共謀を重ね、でも最後には話し合ってやめた。それでも共謀罪の対象か」。民主の津川祥吾議員が尋ねた。その答弁は「対象になる」。
実は「同様の事業を日本でやる、と発表」することすら不要で、社内会議で議論しただけで、その結論がどうなろうとも、法律案の文面上はタイーホ可能な気が。個人的には憲法違反だとしか思えないのだが、
共謀罪を設ける根拠の「国境を越えた(越境的)組織犯罪の防止に関する条約」では、同罪の要件に「組織的犯罪集団が関与するもの」という制限をかけられるとしているが、法案では明文化されていない。
これに対し法務省は「一般の市民団体や労働組合、会社には適用されない」と繰り返した。
「ならば懸念をぬぐうために、組織的犯罪集団の行為に限定すると直したらどうか。その方が安心する」と公明の漆原良夫議員
最低でも、厳格適用の明文化は必要でしょう。
PowerChute Business Edition v6.x.x の問題に関する Q&A集 (APC) ができていました。
JVN#93926203: Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題 (JVN) に多くの情報が集積されていますので、一読をおすすめします。まっちゃさん情報ありがとうございます。
904392 - Windows Update や Microsoft Update サイトにアクセスすると 0x800700C1 エラーが表示される (Microsoft)。いくつかの掲示板等で事例が示されていた、Update Rollup 1 を適用すると msxml3.dll と msxml3r.dll が 0 バイトにされてしまう話。こうなった場合の対応としては、以下のいずれかだそうだ。
msxml3.dll と msxml3r.dll の名前を変更する。 変更すると、System File Protection 機能 が msxml3.dll と msxml3r.dll を再生成してくれるのだろう。 Update Rollup 1 では msxml3.dll と msxml3r.dll は System File Protection 機能の対象になっている。
XML Parser (MSXML) 3.0 SP5 を個別にインストールする。
ちなみに、Windows 2000 SP4 ロールアップ 1不具合情報 (HotFix Report BBS) によると、MSXML 3.0 SP7 がインストールされた環境に Update Rollup 1 を適用すると、MSXML 3.0 SP5 に黙ってダウングレードされてしまうことがある、と報告されている。
【重要】秘文シリーズ Symantec AntiVirus Corporate Edition 10.0をインストールすると、暗号ファイルが扱えなくなる問題についてのお知らせ(続報) (日立ソフト) によると、同様の問題が Symantec Client Security 3.0 でも発生するそうだ。 秘文で暗号化したファイルを開けない (シマンテック) によると、
そうだ。
SquirrelMail 1.4.0〜1.4.5-RC1 に欠陥。options_identities.php における $_POST 変数の扱いに欠陥があり、他ユーザの設定を読み書きしたり、クロスサイトスクリプティング欠陥が発生したり、web サーバ動作権限において書き込み許可が存在するファイルを改ざんしたりできる模様。 CVE: CAN-2005-2095
SquirrelMail 1.4.5 で修正されている。
関連:
[SM-ANNOUNCE] Patch available for CAN-2005-2095。 1.4.4 用の patch が出たそうです。 って、http://www.squirrelmail.org/security/issue/2005-07-13 にアクセスできなくなってるっぽいのですが……。
SquirrelMail Arbitrary Variable Overwriting Vulnerability。 発見者によるレポート。
Wiki クローン Hiki 0.8.0 に CSRF 攻撃を受ける欠陥があり、0.8.1 で修正されたそうです。 かずひこさん情報ありがとうございます。
》 PacSec/core05 Call For Papers。 今年もあるみたいですよ。
》 Windows Server 2003 SP1の自動更新による配信開始について (Microsoft)。2005.07.26 から自動更新で配信だそうです。ヤな人は Blocker Toolkit で止めましょう。
しかし、Windows Server 2003 SP1 への各ヘンダの対応って、驚くほど進んでいないと思うのですが。たとえばアンチウイルス方面とか。
》 [memo:8604] Download.com で配布された DAEMON Tools にトロイだそうです。
Win32.Qrap というのは W32.Gregcenter (SARC) のことみたいです。
》 帝人ペットボトル再生事業が映す「容リ法」の綻び、“100億円工場”操業停止に (日経 BP, 7/13)
RFC 4127 - Russian Dolls Bandwidth Constraints Model for Diffserv-aware MPLS Traffic Engineering というのも出てますね。マトリョーシカ人形ですか……。
》 今夜わかるメールプロトコル (うさぎ文学日記, 7/1) をようやく読んだ。 例によってよくまとまっているのだが、ちょっと誤植が目立つのが玉にキズ。 ここにあるものの他にも、p.43 は UCS-2 なのか USC-2 なのかとか。p.29 の「封筒 (ヘッダ) と中身 (ボディ) の書き方は、決まっているんだっテ」は、文脈的には「宛名 (ヘッダ) と中身 (ボディ) 」とかの方がいいだろうし。
》 7 月のセキュリティ情報 (日本のセキュリティチームの Blog, 7/13)
今月から Windows 2000 Service Pack 3 (SP3) のセキュリティ更新を提供していません。これは、2005/06/30 に SP3 のサポートライフサイクルが満了したためです。
SP3 終了、ということで。
》 897341: ホットパッチを使用して Windows Server 2003 Service Pack 1 用のセキュリティ更新プログラムをインストールする方法 (Microsoft)
》 MSのスパイウェア対策ソフトは「スパイウェア賛成ソフト」と呼ぶべき (ITmedia, 7/13)。オトナの事情という奴ですかねえ……。 「そんなこともあろうかと」、フリーなツールが手放せないわけですね。
》 米国ホームランドセキュリティの動向 (日立セキュリティソリューション Secureplaza)
Microsoft ねた
NULL sessions vulnerabilities using alternate named pipes。Windows NT 4.0 / 2000 の話。Update Rollup 1 for Windows 2000 SP4 で修正されているという。 CVE: CAN-2005-2150
Cisco ねた
Cisco Security Advisory: Cisco CallManager Memory Handling Vulnerabilities (Cisco)
Cisco Security Advisory: Cisco ONS 15216 OADM Telnet Denial-of-Service Vulnerability (Cisco)
Cisco Security Advisory: Cisco Security Agent Vulnerable to Crafted IP Attack (Cisco)。 Windows XP を除く Windows OS 上の CSA 4.5 の欠陥だそうで。
Turbolinux の状況を追記。
Discovering copies of zlib (enyo.de)。zlib 利用アプリを ClamAV を利用して検出する方法。
とりあえずめも。
2005 年 7 月のセキュリティ情報 (Microsoft)。いずれも「緊急」です。
あと、Telnet クライアントの脆弱性により、情報漏えいが起こる (896428) (MS05-033) の SFU 2.0 / 2.1 用の修正プログラムが公開されたそうで。 そういえば、MS05-032〜034 はこのページで紹介してなかったな。
Firefox 1.0.5 が出ています。セキュリティ fix は 12 件。大山さん情報ありがとうございます。
About the security content of the Mac OS X 10.4.2 update (Apple)。Mac OS X 10.4.2 が登場。2 件のセキュリティ fix が含まれています。
Critical Patch Update - July 2005 (Oracle)。12 件のセキュリティ fix が記載されています。
EEYEB-20050329 は今月も直りませんでした。orz
》 【写真】 大洋海軍の旗艦「独島艦」が進水 (中央日報, 7/12)
》 「逮捕は異常事態」 出版関係者らに危機感 (神戸新聞, 7/12)、 出版社社長を逮捕 名誉棄損容疑で神戸地検 (神戸新聞, 7/12)。鹿砦社社長が「名誉棄損容疑で」逮捕。鹿砦社ホームページでは「断固戦います」としている。
》 スパイウエア被害、約1千万円に 情報を外部に不正送信 (asahi.com, 7/12)
》 UPnPScanner (cqure.net)
》 「プロマネ残酷物語」を終わらせるために (日経 IT Pro, 7/12)。
》 ヤフー:利用者からの通報無視、不正出品オークション (毎日, 7/12)、 ヤフー:ネット競売詐欺出品の被害女性に誓約書要求 (毎日, 7/12)。いやはや、すごい対応ですなあ。
》 情報セキュリティ人材育成 公開講座・情報セキュリティ確保のための PDC (中央大学)。2005.08.26〜31、東京都文京区、無料 (先着 150 人)。 「全24講義のうち80%以上に出席し、指定の課題小論文を提出することが必要」だそうです。集中講議 1 週間、という感じ? ひたすら座学のように見えるので、けっこう辛いかも。 根津さん情報ありがとうございます。
》 サーバー管理者のためのイベントログ運用の基本 (cbook24.com)。なかなかおもしろそうだなあ。
》 75 Years of IRS Criminal Investigation History (The Memory Hole)。
》 IMSS 5.11 / 5.1: 修正モジュール:ウイルス検出時の通知メールにオリジナルメールが添付されない (トレンドマイクロ)。サポートに言うと fix もらえるそうです。
》 WSDigger (Foundstone) is a free open source tool designed by Foundstone to automate black-box web services security testing (also known as penetration testing) だそうです。
》 クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか (高木浩光@自宅の日記, 7/3)。7/10 に加筆されています。
》 宮城県がセキュリティアップデートの中止を推奨中 (高木浩光@自宅の日記, 7/11)。まあしかし、特定 (の古い) バージョン / リビジョンの Java でしか動作を保障していない、という状況はそこらじゅうにあるような気がします。 それは結局「バージョンアップ禁止」と同じ意味なわけで。
宮城県と熊本県の電子申請ユーザが誤って実在する第三者プロキシを設定するおそれ (高木浩光@自宅の日記, 7/11)。例として使うドメインには example.com とか example.jp とか example.co.jp とかを使いましょうということで。
》 BIGLOBEが迷惑メール対策を強化,自営サーバーからの大量メール送信を防ぐ (日経 IT Pro, 7/11)。
同一ユーザー(IPアドレス)から外部のメール・サーバーへ同時に張れるSMTP接続数を制限し,大量のメールを送ろうとすると長時間かかるようにする。(中略) 同社によると,自営サーバーからの直接送信をブロックする(外向きの25番ポートをふさぐ)予定はないという。
あら、完全に塞ぐわけではないんですね。 BIGLOBEから送信される迷惑メールの9割削減を実現 〜迷惑メール総合対策基盤「SMBA」を構築〜 (NEC, 7/11) から:
このたび実施する迷惑メールの送信対策は、直接送信を悪用した迷惑メール送信者を対象とするものであり、同一IPアドレスから直接送信で大量に送信されるメール送信者の、一定時間内における送信可能流量を制御するものであります。これにより従来の全ての直接送信をブロックする方法では困難であった、大量メール送信者のみを対象とした送信対策が可能となります。
》 グアンタナモ基地の調査に『ウィキ』を活用 (WIRED NEWS, 6/28)
》 米最高裁、PtoPベンダーに著作権侵害の責任がある (日経 IT Pro, 6/28)、 連邦最高裁「違法ダウンロードはP2P企業にも責任あり」 (WIRED NEWS, 6/28)
IE コンポーネントを利用した web 表示を行っている製品のいくつかにおいて、 本来インターネットゾーン権限で行うべき web 表示を、マイコンピュータゾーンなど権限の高いゾーンで行ってしまっているそうだ。具体的には、そのような製品として以下が明らかとなっている。
富士通のひらがなナビィ、 翻訳サーフィン、ATLAS翻訳パーソナル、ATLAS、 BizLingo、ATLAS翻訳サーバ、 らくらくブラウザ、らくらくメール (詳細と対応)。これとあわせて「自動更新機能に関する脆弱性」も修正されているそうだ。
日立の詳細不明な製品
日本標準の詳細不明な製品
ユミルリンクの紙copi、紙2001 (詳細と対応)
対応方法としては、fix があるものについては適用すればよい。 また開発者としての対応方法については、ユミルリンクでの対応が一例となるだろう。
<新規取り込み時への対応>
* WebページからHTMLファイル形式もしくはMHTファイル形式で取り込む場合、取り込みHTMLのヘッダ部分に「Webのマーク」("saved from url")コメントを追加します。
この処理によって、取り込んだHTMLファイルは[ローカルコンピュータ]ゾーンではなく[インターネット]ゾーンにおいて表示されます。
<既存HTMLファイルへの対応>
* 既存HTMLファイルの表示ゾーンを[インターネット]ゾーンへと変換する「セキュリティゾーン変換機能」を搭載しました。
本機能を使用することによって、任意の既存HTMLファイルの表示ゾーンを[インターネット]ゾーンへ変換することが出来ます(「セキュリティゾーン変換機能」の使用方法は、次項をご覧下さい。)。
関連:
富士通の JVN#257C6F28 への対応 (JVN) に参照リンクが明記されたので、富士通の項を書き直した。
関連: として JVN#257C6F28 (JVN) を追加した。
関連として、WebBrowser Control を使う MUA に特大のセキュリティーホール を追加 (参照: [memo:8609])
富士通の SIMPLIA/TF-WebTest にもこの欠陥があったそうだ: WEBアプリケーションテスト支援ツール「SIMPLIA/TF-WebTest」の セキュリティの脆弱性への対応について (富士通, 2005.09.09)
NetBSD の状況を追記。
元ねた: JP1/秘文環境にSymantec AntiVirus Corporate Edition 10.0をインストールすると、暗号ファイルが扱えなくなる問題 (日立)。現時点では「秘文フォーマット済みのドライブ、または、共有機密フォルダ内の暗号ファイルを操作しない」か「Symantec AntiVirus Corporate Edition 10.0 のアンインストール」しか回避方法がない模様。
SAVCE9 でも何かあったような……これか: 【重要】秘文Advanced EditionとSymantec AntiVirus Corporate Edition 9.0 同居時に発生する問題に関して(続報) (日立ソフト)。 SymEvent コンポーネント 11.6.0.24 以降のバージョンに更新することで改善 (シマンテック) されるそうで。 SAVCE10 をアンインストールして SAVCE9 + 「SymEvent コンポーネント 11.6.0.24 以降」にダウングレードするのがいいんですかねえ。
【重要】秘文シリーズ Symantec AntiVirus Corporate Edition 10.0をインストールすると、暗号ファイルが扱えなくなる問題についてのお知らせ(続報) (日立ソフト) によると、同様の問題が Symantec Client Security 3.0 でも発生するそうだ。 秘文で暗号化したファイルを開けない (シマンテック) によると、
そうだ。
シマンテックから回避ツールが公開されました: 秘文で暗号化したファイルを開けない (シマンテック)。
以下のコマンドを実行する。
* SAVCE クライアントの場合:
C:\Program Files\Symantec AntiVirus\SAVRTICFG.exe ICFG:OpenScanningMode 0
* SCS クライアントの場合:
C:\Program Files\Symantec Client Security\Symantec AntiVirus\SAVRTICFG.exe ICFG:OpenScanningMode 0
なんだか SAVCE や SCS の機能の一部を無効化している感じですね……。 SAVRTICFG.exe を使うと、もっといろいろ設定できるのかなあ。
シマンテックの文書 http://service1.symantec.com/support/INTER/entsecurityjapanesekb.nsf/jp_docid/20050712145310949?OpenDocument&dtype=corp (シマンテック) のタイトルが、「秘文で暗号化したファイルを開けない」から「データ暗号化プログラムで暗号化したファイルを開けない」に変化しています。またその対象として、秘文に加えて
が挙げられています。回避方法は同じです。 富士通からもこんな文書が:
JP1/秘文環境にSymantec AntiVirus Corporate Edition 10.0をインストールすると、暗号ファイルが扱えなくなる問題(第4報) (日立) 出ました。 Symantec AntiVirus Corporate Edition10.0.2 MR2 MP2以降、 Symantec AntiVirus Corporate Edition 10.1.0 で対応されているそうです。 ただし Symantec AntiVirus Corporate Edition 10.1.0 では JP1/秘文 シマンテック社製ソフトウェア同居時に発生する問題 が発生するので注意、だそうです。
》 Process Stalker (iDEFENSE Labs) が出ています。 IDA Pro の plug-in だそうです。
》 Sophos Anti-Virus for Windows NT/2000/XP/2003: problems when upgrading from version 3.93 to 3.94 (Sophos)。 Sophos AntiVirus というのは毎月アップグレードするものなのですが、 NT 系 OS での Sophos AntiVirus の 3.93 → 3.94 へのアップグレードでアレな状況が発生していたそうで。3.95 S037 で修正されたそうで。 匿名希望さん情報ありがとうございます。
手元の Sophos は特に問題を起こしてなさげでしたが、そもそも Windows 版はほとんど使ってないしなあ……。
》 BIGLOBEが25番ポートからのメール送信を制御、迷惑メールの9割に効果 (Internet Watch, 7/11)。BIGLOBE が outbound port 25 blocking に対応だそうです。
》 Debianセキュリティチームが人材不足 (slashdot.jp, 7/10)。Debian でなくとも人材不足は深刻なのですけどね。
日本語情報の翻訳タイミング (日本のセキュリティチームの Blog, 2005.07.11)。
当初このアドバイザリを公開する際に回避策がいくつか公開されたのですが、脆弱性のある機能を無効化するためのツールが出揃っていなかったために、日本語情報の提供をそれらのツールができあがるまで見合わせておりました。(中略)
ということで、いまだに情報が確定してから日本語化すべきか、常に日本語情報をタイムリーに出すかの判断がついていません。
個人的には「タイムリー」に 1 票ですが、Microsoft は大量の「一般ユーザ」をかかえる立場なので、なかなかむつかしいですよねえ。
関連:
[VulnWatch] zlib prior to 1.2.2-r1 contains buffer overflow。zlib を使っている (static link している) アプリケーションの一例と、Debian からという zlib 1.2.2 の patch。
zlib ホームページに、今回の件の案内が掲載された。新版はまだ出ていない。
》 JANOG16 プログラムのページで、いくつかの資料が事前公開されています。 うぉぅ、 Infection Network 内での仮想インターネットの構築 (資料) なんて話が。
ロンドンテロのおかげでチェチェン方面にはまた逆風が吹いている感じですが、ロンドンテロについてのリトビネンコインタビュー (ChechenWatch) から:
チェチェンプレスは、7月9日、ロンドン在住のFSB元中佐、アレクサンドル・リトビネンコ氏へのインタビュー記事を掲載した。この中でリトビネンコは、アルカイダ組織のNo2であるアイマン・ザワヒリが古くからのソ連KGBとロシアFSBのエージェントであると指摘している。
関連: ロンドンテロで誰が得をしたのか? (ChechenWatch)
》 ロンドンテロ:国際協調派のための911 (tanakanews.com, 7/8)
》 情報セキュリティ早期警戒パートナーシップガイドラインの改訂について (IPA, 7/8)
》 情報システム等の脆弱性情報の取扱いに関する研究会 (IPA) のページに「報告書 (概要版)」が掲載されています。
》 松下、「Let'snote」のセキュリティチップ使用法を警告 〜特定フォルダを暗号化するとOSが起動不能に (PC Watch, 7/8)。 「TPM (Trusted Platform Module) セキュリティチップ」 を使っている他の PC でも同様なのか、それとも Let'snote 固有の問題なのか。
》 Microsoft Security Bulletin Advance Notification (Microsoft)。 7 月の Windows Update の日は 7/13 です。
また、セキュリティ関連ではないが優先度の高い Office の修正が 1 つ予定されているそうです。Microsoft Update と WSUS で配布されるそうです。
……日本語版出ました: マイクロソフト セキュリティ情報の事前通知 (Microsoft)。
》 “落ちる”のはOSだけじゃない──ネットワーク時代に増大する雷リスク (ITmedia, 7/8)。昨日の雷では 2 回ほど瞬断したっぽい。
》 高病原性鳥インフルエンザに関する全国一斉サーベイランスの実施について (農林水産省, 7/8)。福島・茨城・栃木・群馬・埼玉・千葉県については 6 割、他は 3 割をカバー。対象農場は無作為抽出。
》 情報流出:多重債務書類など1万件以上 消費者金融会社 (毎日, 7/7)。反応: 重要なお知らせ (クレディア, 7/7)。 反応であって元ねたではない、というところがなんとも。
》 警察庁:ネット有害情報への対応協議−−有識者会議 (毎日, 7/7)。ログはまだないみたい。
》 ロンドン同時テロ:米国にも衝撃 テロ警戒レベル引き上げ (毎日, 7/8)。 Chronology of Changes to the Homeland Security Advisory System (US DHS) によると
July 7, 2005 (11:45 EDT) - The United States government is raising the threat level from Code Yellow --or Elevated-- to Code Orange--or High--for the mass transit portion of the transportation sector. This only includes regional and inter-city passenger rail, subways and metropolitan bus systems.
だそうで、US 全土 (全 Sector) が Code Orange になっているわけではありません。どんな Sector があるかについては、たとえば DHS/IAIP Daily Open Source Infrastructure Report を参照するとわかるようです (もっといい資料ないですかね)。どの Sector がどの色かが一覧できるページとか、ないのかなあ。
ロンドン同時テロ:交通機能終日マヒ 首都の足を直撃 (毎日, 7/8)。地下鉄はまだ止まったままみたいですね。 理工学部にも現在ロンドンに滞在中の人がいるのですが、移動にはかなり苦労しているようです。
英のテロ認識に誤算、警戒レベル引き下げていた…英紙 (読売, 7/8)。油断ですか。
http://www.dhs.gov/dhspublic/display?theme=... はリンク切れになっているので、 http://www.dhs.gov/homeland-security-advisory-system や http://www.dhs.gov/dhs-daily-open-source-infrastructure-report に変更しました。
》 Windows HotFix Briefings (2005年7月8日版) (@IT, 7/8)
》 シン・クライアントの操作も監視できるツール,MBSDが7月20日に出荷 (日経 IT Pro, 7/7)
》 891861: Windows 2000 Service Pack 4 対応の更新プログラム ロールアップ 1 (Microsoft)。個人的な注目点:
この更新プログラム ロールアップには、Windows 2000 SP4 のリリース日から 2005 年 4 月 30 日までに Windows 2000 用に作成されたセキュリティ関連の更新プログラムが含まれています。2005 年 4 月 30 日は、更新プログラム ロールアップ 1 の内容が、マイクロソフト、外部ベータ テスト サイト、およびカスタマ サイトによる最終テストのためにロックダウンされた日付です。
時期的には、MS05-023 までですね。
Q4 : Windows 2000 SP4 対応の更新プログラム ロールアップ 1 は自動更新で配布されますか。
A4 : 初期の段階では、この更新プログラム ロールアップは自動更新では配布されません。これは、2005 年 7 月に予定されている、Windows Update v4 から v6 へのインフラストラクチャの移行のためです。この更新プログラム ロールアップは、v4 のインフラストラクチャではなく、v6 のインフラストラクチャを使用して自動更新と連携するように設計されています。2005 年 7 月上旬に予定されている、v6 のインフラストラクチャへの移行が完了すると、この更新プログラムロールアップが自動更新で配布されるようになります。
(7/8 改訂): さきほど確認したら、既に Windows Update にも上がってました。
Windows 2000 SP4 対応の更新プログラム ロールアップ 1 では、テレフォニー サーバーおよびクライアント コンピュータでの TAPI (Telephony Application Programming Interface) を使用した通信方法が変更されます。
ふぅん。
Windows 2000 SP4 対応の更新プログラム ロールアップ 1 のインストール時に発生する可能性のある既知の問題の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
901159 セキュリティ更新プログラム MS05-019 の改訂版を Windows 2000 ベースのコンピュータにインストールした後、一部の Internet Security Systems 製品が動作を停止する
ISS 製品用の patch が出ているので、該当者は適用しませう。
関連: 900345: Problems that are fixed in the Update Rollup 1 for Microsoft Windows 2000 Service Pack 4 that is dated June 28, 2005 (Microsoft)。Update Rollup 1 での非セキュリティ fix の一覧。
それにしても、「更新プログラム ロールアップ」という単語はどうにかならないのか。言いにくすぎ。
》 欧州議会がソフトウェア特許を否決 (japan.linux.com, 7/6)、 欧州ソフトウェア特許を巡る狂騒 (八田 真行氏 / japan.linux.com, 7/8)。 95% が反対、ですか……。
日本語版出た: マイクロソフト セキュリティ アドバイザリ (903144): COM オブジェクト (Javaprxy.dll) により、Internet Explorer が異常終了する (Microsoft)
DeleGate 8.11.5 がリリースされました。 DeleGate 利用者はアップグレードしましょう。
Fedora Core 3 / 4, Turbolinux, VineLinux, OpenBSD について追記。
JCE 1.2.1 の証明書期限切れ によって、Cosminexus Web Contents Generator 01-02 (その実態は Macromedia JRun 3.1) に含まれる JCE 1.2.1 も影響を受ける。 Cosminexus Web Contents Generator 01-00 (JRun 2.3.3) や Cosminexus Web Contents Generator 01-01 (JRun 3.0 Service Pack 2a) にはこの問題はない。
対応として Java Cryptography Extension (JCE) 1.2.2 へのアップグレードが指示されている。
Sun の Java Cryptography Extension (JCE) の 1.2.1 版に含まれる証明書が 2005.07.28 06:43 に期限切れになる話……というと、重要: PowerChute Business Edition v6.x.x 修正対応のご案内 ですな。
対応としては 2 種類あるそうで:
この欠陥が修正された Java Cryptography Extension (JCE) 1.2.2 にアップグレードする。 しかし JCE 1.2.2 は 2006 年 3 月末でサポート終了 (EOL) なのだそうで、1 年弱の延命にしかならない。
対応済の JCE が標準で含まれる J2SE 1.4.2 / 1.5.0 に移行する。
JVN#93926203: Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題 (JVN) に多くの情報が集積されていますので、一読をおすすめします。まっちゃさん情報ありがとうございます。
IntruShieldで、JCE 1.2.1の証明書の期限切れの問題について (マカフィー)。IntruShield v1.8、v1.9、v2.1 で JCE 1.2.1 を使っており、 JCE 1.2.2 へ移行する patch が 2005.07.21 に提供される予定だそうだ。
JCE1.2.1のHotFixについてのQA (マカフィー)。IntruShield 用 patch 出ました。
IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響について (Tivoli-05-064) (IBM, 2005.11.25)。 「2006年3月頃」とか「2006年6月頃」とかいう文字列があって、なかなかあれです。
891861: Windows 2000 Service Pack 4 対応の更新プログラム ロールアップ 1 (Microsoft) をインストールすると、ブルー画面になるなど Windows 2000 が不安定になる事例が散見されるようです。skitazawa さん情報ありがとうございます。
なんだか SCSI / RAID まわりの不具合が多い気が。
不具合が出た場合はここにあるような手順で Update Rollup 1 をアンインストールすればよいようです。 回復コンソールについては KB 229716 を参照。
904130: Windows 2000 SP4 対応の更新プログラム ロールアップ 1 (KB891861) の適用後に Excel や Word でフロッピーディスクにアクセスすると応答を停止する場合がある (Microsoft)。なんじゃそれー。
904392 - Windows Update や Microsoft Update サイトにアクセスすると 0x800700C1 エラーが表示される (Microsoft)。いくつかの掲示板等で事例が示されていた、Update Rollup 1 を適用すると msxml3.dll と msxml3r.dll が 0 バイトにされてしまう話。こうなった場合の対応としては、以下のいずれかだそうだ。
msxml3.dll と msxml3r.dll の名前を変更する。 変更すると、System File Protection 機能 が msxml3.dll と msxml3r.dll を再生成してくれるのだろう。 Update Rollup 1 では msxml3.dll と msxml3r.dll は System File Protection 機能の対象になっている。
XML Parser (MSXML) 3.0 SP5 を個別にインストールする。
ちなみに、Windows 2000 SP4 ロールアップ 1不具合情報 (HotFix Report BBS) によると、MSXML 3.0 SP7 がインストールされた環境に Update Rollup 1 を適用すると、MSXML 3.0 SP5 に黙ってダウングレードされてしまうことがある、と報告されている。
Windows 2000 Service Pack 4 対応の更新プログラム ロールアップ 1 を適用すると Outlook からパスワード変更が出来なくなる (Microsoft)
これは更新プログラム ロールアップ1 を適用することにより、Windows 2000 Server が認証に使用するアルゴリズムが変更されるためです。
Update Rollup 1 for Windows 2000 SP4 の再リリースが計画されているそうです。 KB891861: Update Rollup 1 for Windows 2000 SP4 and known issues (Microsoft) Revision:10.0 より:
Known issues
After the release of Update Rollup 1 for Windows 2000 SP4, we identified several issues that may occur when you install this update rollup. These issues are isolated, and affect few customers. These issues are described in this article. This article also explains how to resolve these issues. If you are affected by these issues, we suggest that you do not install Update Rollup 1 for Windows 2000 SP4 until the corresponding hotfix is available. We plan to reissue Update Rollup 1 for Windows 2000 SP4 soon. Several hotfixes will be integrated into the new version of Update Rollup 1 for Windows 2000 SP4.
ふつうの人は、再リリース版を待った方がよさそうですね。
891861: Update Rollup 1 for Windows 2000 SP4 and known issues (Microsoft) が改訂されて revision 18.0 になっています。 今日、Update Rollup 1 の新版 (v2) がリリースされたようです。 v1 にあった問題のうち、次の件については v2 で修正されたそうです。
》 次世代IPインフラ研究会 第二次報告書の公表: 「情報セキュリティ政策2005」の提言 (総務省, 7/7)
》 鳥インフルエンザ、中国の渡り鳥繁殖地で大量死 (読売, 7/7)。うーむ。
》 NYタイムズ記者、収監 CIA工作員名漏えい問題で (CNN, 7/7)。
》 ロンドンの地下鉄・バスで同時爆発、50人死亡の情報も (asahi.com, 7/7)、ロンドン同時テロ:地下鉄、バスで 死傷者90人以上か (毎日, 7/8)。うひゃあ。 匿名希望さん情報ありがとうございます。 というか、オリンピックできるの?
》 カカクコムのサイト攻撃、中国からも (asahi.com, 7/7)。先日の「ガイアの夜明け」では「なぜこんなことになってしまったのか」については一切語られていなかったわけですが、
旅行会社「クラブツーリズム」のサイトへの不正侵入事件で逮捕された中国人留学生もカカクコムから会員のメールアドレス約9万件を抜き取っていたが、同庁は、この件については不正アクセス禁止法違反容疑での立件は困難と判断した。
(中略)
一方、中国人留学生の郁華容疑者(27)はカカクコムが集中攻撃される前の4月中旬と5月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
「最高レベルのセキュリティ」の実態は、不正アクセス禁止法違反容疑では立件できないほどボロボロな状況だったということなんですかねえ。しかし、これが立件できなくて、ASKACCS 事件は立件できる、というのは理解しづらいのですが。
》 OpenSSL 0.9.8 リリース (slashdot.jp, 7/7) だそうです。
》 ウイルスバスター コーポレートエディション: ウイルス検出時の処置が設定した内容と異なる(システム領域感染型ウイルスの処理法について) (トレンドマイクロ)。放置プレイですか。
》 不正アクセス用プログラム、中国語サイトにはんらん (日経, 7/7)。ちょっとぐぐってみたのですが、http://www.hack58.com/ みたいなサイトがいっぱい出てきますね。 なんだか割れものっぽいものもあるので注意。注入工具はたとえばこのへん。
関連: 不正アクセス 偽装手段使用か (NHK, 7/7)
》 アダルトサイトを訪問したらデスクトップ上に「ご請求書.txt」が出現 〜国民生活センター、新たなクリック詐欺の手口を警告 (Internet Watch, 7/6)
》 Critical Patch Updates and Security Alerts (Oracle)。次のまとめ patch は 2005.07.12 (US 時間かな) に出るそうな。
Solaris もの:
Solaris Runtime Linker Security Vulnerability。Solaris 8〜10 の話。 patch をこまめに適用している人こそ欠陥の影響を受ける罠。
関連: 0110-02 概要:Solaris runtime linker (ld.so.1(1)) のセキュリティ脆弱性について (CTC)。正式 patch はまだなのですが、IDR (Interim Diagnostic Relief) というものが出ているそうです。当面はそれをインストールし、正式 patch が出た時点で入れかえるのでしょう。
NetBSD もの:
[Full-disclosure] iDEFENSE Security Advisory 07.05.05: Adobe Acrobat Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability。UNIX 版の Acrobat Reader 5.0.9 / 5.0.10 話。 UNIX 版 Acrobat Reader 5.0.11 で修正されている。 また UNIX 版 Adobe Reader 7.0 にはこの欠陥はない。 CVE: CAN-2005-1625
関連: Unix/Linux版Acrobat Readerに危険なセキュリティ・ホール (日経 IT Pro)
新しい攻撃手法 HTTP Request Smuggling の解説と、ファイアウォールや各種 cache/proxy での状況。 細工した、Keep-Alive が有効な HTTP 1.1 リクエストを送った場合に、中間機器 (cache/proxy サーバやファイアウォール) と終端機器 (web サーバ) とでその解釈が異なることにより問題が発生するみたい。 HTTP Response Splitting とは似て非なる話だそうだ。 CVE-2005-2090
これを利用すると、cache/proxy サーバの cache 汚染、ファイアウォール上の防衛機構の無効化、セッションハイジャックや XSS 攻撃が可能になるという。 中間機器と終端機器との組みあわせで問題が発生したりしなかったりするが、Apache は、Apache 自身が中間機器でない限りは安全だとされている。
論文中では、squid は 2.5.STABLE9 で (最新は 2.5.STABLE10)、CheckPoint FW-1 は R55W で修正されていると解説されている。また DeleGate については、8.11.5-pre1 / 9.0.3-pre28 で修正されている [DeleGate:13051]。その他の登場人物 -- IIS 5.0 / 6.0, ISA 2000, WebLogic 8.1 SP1, Apache 2.0.45 / 1.3.29, WebSphere 5.0 / 5.1, Oracle9iAS web server 9.0.2, SunONE web server 6.1 SP4, SunONE proxy server 3.6 SP4, Tomcat 5.0.19 / 4.1.24, 匿名の cache アプライアンス -- については状況不明。
DeleGate 8.11.5 がリリースされました。 DeleGate 利用者はアップグレードしましょう。
[SA14530] Apache HTTP Request Smuggling Vulnerability (secunia)。Apache 2.0.55 で修正される予定だそうです。
Tomcatのセキュリティアップデートがリリースに - 4系ユーザは更新を (マイコミジャーナル, 2007.04.09)。Tomcat 4.1.36 で修正されたそうです。
Net-SNMP 5.x に欠陥。 TCP のようなストリームベースプロトコルを利用している場合 (デフォルトでは使用しない) に、DoS 攻撃を受ける。Net-SNMP 5.2.1.2, 5.1.3, 5.0.10.2 で修正されている。 5.2.1.2 を見てみたところ、snmp_api.c への変更がそれだそうで。
CVE: CAN-2005-2177
1.2.2 以前の zlib 1.2.x に欠陥。 壊れた圧縮データストリームの扱いにおいて buffer overflow する欠陥があり、 処理が停止したり任意のコードを実行できたりする (かもしれない) 模様。 オフィシャル patch はまだ出ていない。
Fedora Core 3 / 4, Turbolinux, VineLinux, OpenBSD について追記。
関連:
[VulnWatch] zlib prior to 1.2.2-r1 contains buffer overflow。zlib を使っている (static link している) アプリケーションの一例と、Debian からという zlib 1.2.2 の patch。
zlib ホームページに、今回の件の案内が掲載された。新版はまだ出ていない。
NetBSD の状況を追記。
Turbolinux の状況を追記。
Discovering copies of zlib (enyo.de)。zlib 利用アプリを ClamAV を利用して検出する方法。
この欠陥が修正された zlib 1.2.3 が出ていました。
》 【デスク安井晴海が詠む!】 やっと出た 発番偽装の 対応策 でも非公開 それで意味ある? (日経 IT Pro, 7/6)。公開すると回避されてしまう (回避する手段がある) ような「対策の中身」ってことなんですかねえ。
》 なぜ共謀罪に反対するのか (jca.apc.org)。審議入りしたらしいです。
》 ソフト開発会社社長ら逮捕、ワンクリック詐欺で全国初 (日経, 7/6)
》 無許可操業取締り、海保と水産庁が連携 (TBS, 7/6)。関連: 海上保安庁及び水産庁による外国漁船取締対策会議の結果について (海上保安庁, 7/5)
》 住基ネット訴訟で東京・国立市長が出廷 住民側証人に (asahi.com, 7/6)
》 「マルウェア作成はますます『犯罪のプロ』の仕事に」:英セキュリティ会社 (CNET, 7/6)。元ネタとおぼしき「ソフォス、『2005年上半期ウイルスチャート』を発表」 (sophos) (英語原文) には「底知れず無知な大衆」(the great unwashed public) という言葉はないみたいなんだけど……。
》 スパイウエア被害拡大、複数銀行で不正振り込み (asahi.com, 7/6)
》 深刻化するボット対策に総務省と経産省が本腰 (日経 BP, 7/6)。 Telecom-ISAC Japan ベースでハニーポットを運用して bot 検体を収集し、民間セキュリティベンダーで駆除ツールを開発、というストーリーの模様。
》 不正侵入容疑で留学生逮捕 (武田圭史さん, 7/6)、旅行会社のサーバーに不正侵入容疑で留学生逮捕・警視庁 (日経, 7/6)。どういう種類の「特殊な指令」なのかは公開してほしいなあ。
関連:
旅行サイトに侵入、顧客情報盗んだ疑い 中国人学生逮捕 (asahi.com, 7/6)
サイトの欠陥をついて、外部から不正な命令を入力してデータベースを直接操作する「SQL インジェクション」という手法を使用。攻撃に使ったソフトは、中国語のインターネットサイトから入手したという。調べに対し、「学費を稼ぐためにやった」と供述しているという。
クラブツーリズムの不正アクセス事件、容疑者が逮捕--価格.com事件にも関与か (CNET, 7/6)
【緊急インタビュー】 SQLインジェクション攻撃に気づかない企業は山のようにある (日経 IT Pro, 7/6)
Webサーバーのアクセスログをこまめにチェックしていれば、SQLインジェクション攻撃の兆候はつかめるはずだ。この攻撃を受けると、SQL関連のアクセス量が一気に跳ね上がる。データベース名やテーブル名を直接指定したアクセスも急増しているはずだ。Webサイト運営者は、昨年秋以降のアクセスログをもう一度検査してほしい。
情報52万件入手、中国人留学生逮捕 (TBS, 7/6)。國學院ですか……。
》 ガイアの夜明け (武田圭史さん, 7/5)。「最高レベルのセキュリティ」の実態は明らかにならなかったようですね。(見逃した…… (T_T))
ISS が任意のコードの実行が可能であることを確認しました: Microsoft Java Virtual Machine におけるリモートからのセキュリティ侵害 (ISSKK, 2005.07.06)。 しかし……
Buffer Overflow Exploit Prevention (BOEP) をお使いの場合は、この問題から保護されています。この技術は Proventia Desktop (日本国内未リリース)、Server Sensor SR 4.2(日本国内未リリース) および 4.3 (日本国内未リリース) に備わっています。
インターネット セキュリティ システムズ、アンチウィルスソフトの シグネチャやパターンファイル更新の前に既知・未知のウィルスを 駆除する次世代VPS塔載「Proventia Desktop」を発表 (ISSKK, 2004.12.15) によると、Proventia Desktop は 2005.03.01 に販売開始されることになっているのですが、実はまだ出ていないんでしょうか……。
また Microsoft Security Advisory (903144) が改訂され、javaprxy.dll を無効化 (kill bit を設定) するプログラムが配布されています。Workarounds の Disable the Javaprxy.dll COM object from running in Internet Explorer を参照。森田さん情報ありがとうございます。
》 たまに「広告を載せてみませんか」と言ってくる人がいるのですが、 ここは .ac.jp ドメインなので無理です。 もちろんアフィリエイトも無理です。
》 早く改訂してほしい「Windows XPの寿命」 (日経 IT Pro, 7/4)。あれっ? と思ったのですが、 Windows デスクトップ製品のライフサイクル (Microsoft) によると、メインストリーム フェーズは確かに
となってますね。ふむん。
》 静脈認証も安心できない? 大根で作った偽造指で認証に成功 (日経 IT Pro, 7/1)。大根指による静脈認証 (日立ソフトの静紋) への登録と認証が可能、という話。 大根指が任意の誰かの指のかわりになるわけでは (今のところは) ないが、静脈認証デバイスにおける「生体検知機能」(生きている指かそうでないかの判別) は (単体では) 十分ではないと言える。
詳細: 金融取引における生体認証について (松本勉委員説明資料) (金融庁・偽造キャッシュカード問題に関するスタディグループ、第9回 (17.4.15開催))。偽造キャッシュカード問題に関するスタディグループ、興味深いなあ。
》 ACCSの不正アクセス裁判で有罪判決が確定、元京大研究員が控訴取り下げ (Internet Watch, 7/5)。確定ですか……。
》 MBSA 2.0 を手元のテスト環境に入れてスキャンしてみたところ、「このコンピュータは SUS 1.0 サーバーに割り当てられています。スキャンを実行するには、割り当てるサーバーを Update Services サーバーにする必要があります」と言われてしまった。すいませんねぇまだ SUS 1.0 で。
》 モバイルPCの管理ルール、個人情報保護法施行でも進展なし (日経 BP, 7/5)
》 浜岡原発:確認前に「放射能漏れなし」の情報流す (毎日, 7/5)。中部電力さすがです。
》 論文データの捏造や盗用、113学会で 学術会議調査 (asahi.com, 7/4)
》 Smitfraud meets Nsag: return of the file infector (Analyst's Diary, 2005.07.04)。ファイル感染型のアドウェアの話。
「最近の泥棒は凶暴だし、警備員だけでは何もできないからね。」と親切なお巡りさん。
セコムの中の人も、 ADVANCED TASER M26 みたいなのを装着する日がくるのかなあ。
》 日経スペシャル「ガイアの夜明け」 7月5日放送 第168回 サイバー攻撃との闘い 〜IT犯罪から会社を守れ〜 (TV 東京)。「最高レベルのセキュリティ」の実態は明らかになるのかなあ。
》 CMU-EXPOブースへのご来場ありがとうございました (武田圭史さん, 7/2)。
CMUは良く知っているが、日本校の事は会場に来て初めて知ったという方が多く、まだまだ広報が足りていないということを実感しました。
あらら、そうなのですか……。
》 ウイルスパターンファイルの更新サイクル変更のお知らせ (トレンドマイクロ, 7/4)
》 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 (内閣官房情報セキュリティセンター, 7/1)
》 Microsoft Baseline Security Analyzer v2.0 (for IT Professionals) - 日本語 (Microsoft) が出ています。藤井さん情報ありがとうございます。 関連: MS,セキュリティ診断ツールの新版MBSA 2.0を提供開始 (日経 IT Pro, 7/3)
》 LZW圧縮の復活 (japan.linux.com, 6/30)。そういえば、失効していたんですね: Unisysの“GIF特許”、日本でも6月20日で失効 (Internet Watch, 2004.06.21)
》 パケット・フィルタリング機能を持つウイルス出現,パッチやパターンファイルのダウンロードを妨害 (日経 IT Pro, 7/1)。hosts 書きかえもそうなのだが、「そういうことができるような権限でログオンしている (しないと作業効率が落ちる and/or 作業できない)」ことこそが本質的な問題なわけで。そういったあたりは、longhorn ではかなり改善されるらしいです。
Mac OS 版 Acrobat / Adobe Reader 7.0, 7.0.1 に欠陥。 PDF ファイルに仕掛けた攻略 JavaScript によって、既知パス・アプリケーション名のアプリケーションを起動させることが可能となる。
Mac OS 版 Acrobat / Adobe Reader 7.0.2 で修正されている。7.0.2 へのアップデータが公開されているので適用すればよい。
FreeBSD に 3 つの SA (5 つの欠陥)
FreeBSD-SA-05:13.ipfw - ipfw packet matching errors with address tables
FreeBSD 5.4-RELEASE に欠陥。 SMP または PREEMPTION オプションつきの単一 CPU システムにおいて、ipfw の lookup table を利用している場合に、ごく稀に、パケットが誤って lookup table にマッチしてしまい、本来フィルタされるはずなのに通り抜けてしまったりする模様。 CVE: CAN-2005-2019
最新の RELENG_5_4 では修正されている。また、lookup table を使わない、/boot/loader.conf で debug.mpsafenet=0 を設定する、といった回避策もある。
FreeBSD-SA-05:14.bzip2 - bzip2 denial of service and permission race vulnerabilities
FreeBSD-SA-05:11.gzip と同様の話 (CVE: CAN-2005-0953) と、 特殊な bzip2 圧縮ファイルによって圧縮解除コードが無限ループに陥る欠陥 (CAN-2005-1260) の修正。
FreeBSD-SA-05:15.tcp - TCP connection stall denial of service
Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value (CVE: CAN-2005-0356) と、確立済みのセッションに対して SYN フラグつきの TCP パケットを送ると、攻撃者が一部の TCP フラグを上書きできてしまう欠陥 (CVE: CAN-2005-2068) の修正。
Mac OS 版 Acrobat 7.0.2 / Adobe Reader 7.0.2 アップデートが登場。 XML 外部エンティティに関するセキュリティ情報(Adobe Reader/Acrobat 7.0-7.0.1) (Adobe) も改訂され、Mac OS 版アップデートファイルへのリンクが掲載されている。
古田氏によるコードが除去された SoftEther VPN 2.0 Beta 3.2 が登場しました。参照: SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について (softether.com, 2005.07.04)。なお、Beta 3.2 にはその他にもいろいろな機能向上がなされています。
Vocal Cancelがウイルスな件について。が改訂されている。古田氏から「スパイウェアは正式なシリアルナンバー・ パスワードでは展開・実行されません」というメールがきたそうだ。 またスパイウェアが収集している情報は以下だそうだ。
利用シリアルナンバー・パスワード
ユーザーアカウントの情報(SID等)
メールアカウントの情報
アドレス帳
ダイヤルアップアカウントの情報
Vocal Cancel 5.05 の README.TXT にはこんな記述がある。
・不正使用について
不正使用には厳しく対処させていただきます。
この文書では「不正使用」とは、パスワードを不正な手段を用いて入手又は作成し、使用することを意味します。
この文書では「無許可配布」とは、作者の許可なく配布することを意味します。
不正使用のおよびパスワードの無許可配布の際は、個人情報について調査させていただく場合がございます。
不正使用の際は、登録料金の十倍以下の調査費用を請求させていただく場合がございます。
また、パスワードの無許可配布の際には、最大損害額を請求させていただく場合がございます。
悪質な不正使用およびパスワードの無許可配布の際には、保秘契約のもとに情報を第三者に提供させていただく場合がございます。
この文面だと、「アドレス帳」の収集については範囲を越えているように思えるなあ。
日立ソフトの秘文シリーズに 2 つの欠陥。
いずれについても対策版があるのでアップグレードすればよい。 なお秘文ビューアについては「本対策で一部秘文ビューアの動作が変更になって」いるそうなので注意。
日立セキュリティ情報にこの話がないのは、「日立ソフトは別会社だから」ということなのかなあ。
(日立セキュリティ情報にもちゃんとありました。小出さん情報ありがとうございます)
》 セキュア・プログラミングのすすめ (日経 IT Pro, 7/4)。
》 許可していない通信を遮断するサービス,ぷららが個人・法人向けに開始 (日経 IT Pro, 7/1)
》 イーバンク銀行の顧客がスパイウエアにより13万円の不正振り込み被害 (日経 IT Pro, 7/2)
》 [memo:8546] McAfee DAT4525 で誤検出。 DAT4526 は大丈夫みたいです。
》 [AML 2276] チラシで逮捕に異議あり7・4シンポ。 2005.07.04、東京都文京区、500円。
Internet Explorer (IE) 5.01 SP[34] / 5.5 SP2 / 6 SP[12] に影響する欠陥。 IE において、Microsoft Java VM に含まれる javaprxy.dll COM オブジェクトのインスタンスを作成することにより、メモリ破壊が発生。 これを利用すると、攻略 web ページや HTML メールから任意のコードを実行できる。
修正プログラムはまだない。回避するには、管理者権限のあるアカウントで、スタートメニューの「ファイル名を指定して実行」から regsvr32 /u javaprxy.dll を実行する、などがある。詳細は Microsoft Security Advisory (903144) を参照。
すでに exploit が公開されており、すこぶる危険。今すぐ対応されたい。関連:
SEC-CONSULT SA-20050629-0 にはこんな記述も:
on the contrary, we found that at least 20 of the objects available on an average XP system either lead to an instant crash or an exception after a few reloads.
問題のトリガは javaprxy.dll に止まらない可能性がある。
ISS が任意のコードの実行が可能であることを確認しました: Microsoft Java Virtual Machine におけるリモートからのセキュリティ侵害 (ISSKK, 2005.07.06)。 しかし……
Buffer Overflow Exploit Prevention (BOEP) をお使いの場合は、この問題から保護されています。この技術は Proventia Desktop (日本国内未リリース)、Server Sensor SR 4.2(日本国内未リリース) および 4.3 (日本国内未リリース) に備わっています。
インターネット セキュリティ システムズ、アンチウィルスソフトの シグネチャやパターンファイル更新の前に既知・未知のウィルスを 駆除する次世代VPS塔載「Proventia Desktop」を発表 (ISSKK, 2004.12.15) によると、Proventia Desktop は 2005.03.01 に販売開始されることになっているのですが、実はまだ出ていないんでしょうか……。
また Microsoft Security Advisory (903144) が改訂され、javaprxy.dll を無効化 (kill bit を設定) するプログラムが配布されています。Workarounds の Disable the Javaprxy.dll COM object from running in Internet Explorer を参照。森田さん情報ありがとうございます。
日本語版出た: マイクロソフト セキュリティ アドバイザリ (903144): COM オブジェクト (Javaprxy.dll) により、Internet Explorer が異常終了する (Microsoft)
日本語情報の翻訳タイミング (日本のセキュリティチームの Blog, 2005.07.11)。
当初このアドバイザリを公開する際に回避策がいくつか公開されたのですが、脆弱性のある機能を無効化するためのツールが出揃っていなかったために、日本語情報の提供をそれらのツールができあがるまで見合わせておりました。(中略)
ということで、いまだに情報が確定してから日本語化すべきか、常に日本語情報をタイムリーに出すかの判断がついていません。
個人的には「タイムリー」に 1 票ですが、Microsoft は大量の「一般ユーザ」をかかえる立場なので、なかなかむつかしいですよねえ。
JView プロファイラの脆弱性によりリモートでコードが実行される (903235) (MS05-037) 出ました。修正内容は、Advisory で示されていたのと同じ、View プロファイラ (Javaprxy.dll) COM オブジェクト (CID: 03D9F3F2-B0E3-11D2-B081-006008039BF0) に対する Kill Bit の設定。
Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038) の「COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990」 で、他の問題含みの .dll についても対応されたようです。
攻略プログラム (完全版): http://www.frsirt.com/exploits/20050809.MS05-038.pl.php
古田泰大氏作のシェアウェア Vocal Cancel (での配布は中止されているが http://hp.vector.co.jp/authors/VA013315/SOFTWARE.HTM から入手できる) にはスパイウェアコードが含まれており、不正なシリアル・パスワードで (正式なシリアル・パスワードでも?!) スパイウェアコードが有効化されてしまう、という話があるらしい。 トレンドマイクロでは TROJ_HIROFU.A として検出するという。
古田氏が SoftEther にも関係している関係でか、 SoftEther VPN 2.0 のサポートおよびバグ報告について (softether.com) にはこんな記述が:
Yasuhiro Furuta 問題について
いわゆる Yasuhiro Furuta 問題につきましては、ソフトイーサ株式会社内でソースコードの精査、および外注先への問い合わせなどを行っており、調査中となっております。調査結果は随時公表いたします。
……調査結果速報出ました: SoftEther VPN 2.0 ベータ版プログラムの安全性について(速報) (softether.com, 2005.07.03)。SoftEther に組み込まれたコードに問題はないものの、今後もそのコードを使い続けるかどうかについては検討中だそうです。
Vocal Cancelがウイルスな件について。が改訂されている。古田氏から「スパイウェアは正式なシリアルナンバー・ パスワードでは展開・実行されません」というメールがきたそうだ。 またスパイウェアが収集している情報は以下だそうだ。
利用シリアルナンバー・パスワード
ユーザーアカウントの情報(SID等)
メールアカウントの情報
アドレス帳
ダイヤルアップアカウントの情報
Vocal Cancel 5.05 の README.TXT にはこんな記述がある。
・不正使用について
不正使用には厳しく対処させていただきます。
この文書では「不正使用」とは、パスワードを不正な手段を用いて入手又は作成し、使用することを意味します。
この文書では「無許可配布」とは、作者の許可なく配布することを意味します。
不正使用のおよびパスワードの無許可配布の際は、個人情報について調査させていただく場合がございます。
不正使用の際は、登録料金の十倍以下の調査費用を請求させていただく場合がございます。
また、パスワードの無許可配布の際には、最大損害額を請求させていただく場合がございます。
悪質な不正使用およびパスワードの無許可配布の際には、保秘契約のもとに情報を第三者に提供させていただく場合がございます。
この文面だと、「アドレス帳」の収集については範囲を越えているように思えるなあ。
古田氏によるコードが除去された SoftEther VPN 2.0 Beta 3.2 が登場しました。参照: SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について (softether.com, 2005.07.04)。なお、Beta 3.2 にはその他にもいろいろな機能向上がなされています。
》 住民基本台帳、杉並区が大量閲覧禁止 (TBS, 7/1)。 広報すぎなみ7月1日号NO.1724(PDF版) (杉並区) の 8 ページ目も参照。
》 情通部「10月までインターネット実名制案まとめる」 (中央日報, 7/1)。韓国の話。
》 Spybot-S&D 1.4正式リリース (アダ被の部屋, 6/1)。さきほどようやくまじめに見てみたのですが、
First native multi-installation scanner
On PE boot CDs as well as on any system with multiple installations of Windows 2000 or later, Spybot-S&D 1.4 is able to scan the other installations as well, including the registry. From what we know, Spybot-S&D is the first anti-spyware solution that offers inactive registry scanning as a native feature.
というあたりがうれしい人はどのくらいいるのかな。
》 悪質な住宅リフォーム訪問販売等(点検商法)への対策について (経済産業省, 7/1)
》 Windows Server Update Services — 機能を大幅に強化した企業向け無償パッチ管理ソフトの最新版 — (@IT, 6/30)
》 マイクロソフト、アドウェアメーカーの買収を検討か (CNET, 7/1)。なんと Gator を買う話があるそうで。まじですか?
》 Note on History of TEMPEST (cryptome.org, 6/30)
》 @random presents: マイクロソフトの中の人と考える、Windows のセキュリティ (葉っぱ日記, 6/26)。はせがわさんによるレポート。
》 マイクロソフトやLinuxベンダーらが「OSのセキュリティ徹底討論」 (Internet Watch, 7/1)
》 マイクロソフト、Windows Updateの効率化を目的とした更新プログラムを公開 (Internet Watch, 6/30)
》 日本狙い大規模ハッカー攻撃を計画 (ニッカンスポーツ, 7/1)。 あらら紅客さん、またぞろ復活していたんですか。 新 web ページは http://www.chinahonker.com/ なんだそうだ。http://news.xinhuanet.com/newmedia/2005-04/21/content_2857269.htm とか。
関連: 中国ハッカー組織 日本の「反中国的サイト」を攻撃計画 (毎日, 7/1)
》 ルートサーバの支配権を離さない米国 (ITmedia, 7/1)
》 [FreeBSD-users-jp 85684] Re: FreeBSD 開発者へのインタビュー from OSnews。 Interview: Looking at FreeBSD 6 and Beyond (osnews.com) の邦訳版。セキュリティ話もいろいろあります。
》 JPCERT/CC & Telecom-ISAC Japan セミナー というのが 2005.07.27 に開催されるようなのだが、 JPCERT/CC にも Telecom-ISAC Japan にも e-side.co.jp にも情報がない。
……「ご招待の方のみのセミナー」なのだそうだ。はにー (声: はに丸)。
》 891861 - Update Rollup 1 for Windows 2000 SP4 (Microsoft) だそうです。 ダウンロード: Windows 2000 SP4 用の更新プログラム ロールアップ 1。
マイクロソフト セキュリティ アドバイザリ (891861): Windows 2000 Service Pack 4 (SP4) 用更新プログラムのロールアップ 1 のリリース (Microsoft) も出ていました。
》 IETF:「どちらにも肩入れしない」--Sender IDとSPF両技術の実験的RFCを公開 (CNET, 6/30)。Experimental 扱いだそうです。
》 警察庁とマイクロソフト、技術協力協定を締結 (Microsoft, 6/28)
》 宮城県警の報償費停止、警察庁長官「言語道断」と批判 (asahi.com, 6/30)。
》 訃報: 奥崎謙三さん85歳=「ゆきゆきて、神軍」に出演 (毎日, 6/26)
》 インターネット上における違法・有害情報対策について (IT 戦略本部 IT 安心会議, 6/30)
》 iPod課金で結論出ず 文化審議会 (asahi.com, 6/30)、 私的録音録画補償金、見直し機運高まるも慎重論が大半 (ITmedia, 6/30)
》 米国BSE: 2頭目は初の米国産 「安全」の根拠崩れる (毎日, 6/30)
》 四国渇水: 松山市の6月降水量は1890年以来最少 (毎日, 6/30)。愛知の主要水源である牧尾ダムもたいへんな状況のようで: 牧尾ダム貯水運用曲線。ちょっとだけ持ち直したのかな。
》 厚労省、クボタ聴取へ アスベスト被害 尼崎市が相談窓口 (神戸新聞, 6/30)
》 金融機関の顧客情報紛失82万件超 (産経, 6/30)
VERITAS Backup Exec for NetWare 9.0, 9.1 / Backup Exec for Windows Servers 10.0, 9.0, 9.1 に欠陥いっぱいな話。
patch があるので適用すればよい。
この欠陥をスキャンする動きがある模様:
Backup Exec が外からまるみえというサイトは多くはないと思うけど……。
Serendipity 0.8.2 以前に欠陥。Serendipity が利用している PEAR XMLRPC にも XML-RPC for PHP と同様の欠陥があり、remote からのコード実行を許してしまうという。 CVE: CAN-2005-1921
PEAR XMLRPC 1.3.1 で修正されている模様。
XML-RPC for PHP 1.1.0 以前に欠陥。remote からのコードの実行を許してしまう模様。 1.1.1 版で修正されている。XML-RPC for PHP を利用しているアプリの開発元からも advisory が出ている:
CVE: CAN-2005-1921
広く利用されているコンテンツ管理システム XOOPS 2.0.11 以前に、XSS や SQL インジェクションが可能となる欠陥があるそうだ。 詳細: XOOPS 2.0.11 & Earlier Multiple Vulnerabilities (gulftech.org)
対応は以下のとおり:
英語版 XOOPS は 2.0.12a にアップグレードする。
日本語版 XOOPS は、 セキュリティパッチ patch-2005063001 を適用するか、 2.0.10.2 JP にアップグレードする。
phpBB 2.0.15 以前に新たな欠陥が発見され、2.0.16 で修正されたそうです。str_replace('\\', '\\\\', $highlight_match) が str_replace('\\', '\\\\', addslashes($highlight_match)) になったみたい。
関連: Lucreziaのプログラムチェック phpBB編 (Lucrezia Borgia の Room Cantarella, 2005.06.29)
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について