Last modified: Thu Nov 4 11:28:26 2010 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 産廃業者に漏えい 千葉市2職員を書類送検 (毎日, 11/30)
》 関電社員が5人分 金融業者の依頼受け (毎日, 11/30)
》 年末年始のお問合わせ窓口について (シマンテック)
》 Black Hat 2005 Multimedia Archives (blackhat.com)。Black Hat Japan 2005 もあります。
》 『無買デー』運動の創始者にインタビュー (WIRED NEWS, 11/23)
無買デー関連で、サンタクロースについて Sugihara さんから (ありがとうございます):
コカ・コーラのページの「サンタクロースとは」にも解説があります。
http://www.cocacola.co.jp/corporate/gallery/santa/
Flash 多用のページですが、「ミュージアム」の「Art Gallery」の「Coca-Cola and Santa」にも同様の記述があります。
http://www.wocct.com/fla/top.html
モデルとなったのは、ルウ・プレンティスというコカ・コーラの社員です。米国風クリスマスのサンタの風貌に対するイメージは、35年間このイメージで広告が打たれた結果定着したようです。ただし、コカ・コーラ社は公式には「サンタのイメージはコカ・コーラの宣伝だ」といった趣旨の意見には賛意を示しません。ハッドン・サンドブロムの作品が皆に親しまれている事に関しては、誇りに思っているようです。
アメリカではやたらとプレゼントが強調されていて、オー・ヘンリーの「賢者の贈り物」にせよ、1947年の「34丁目の奇跡」の映画にせよ、そこまでして贈り物を買わせたいのかな、と個人的には感じます。
こちらにも由来に関して色々書かれています。
http://www.eigotown.com/culture/special/xmas/xmas_02.shtml
(中略)
ルウ・プレンティスは、コカコーラの配送をするトラック運転手だとしている資料と、営業担当者だとしている説があって、はっきりしません。最初にモデルになったときは既に定年後だったのか、まだ社員だったのかも良く判りません。
》 サポート終了予定製品のお知らせ(2005年12月〜2006年3月) (トレンドマイクロ)
》 東京国際セキュリティ・カンファレンス 2005 - RFIDセキュリティ (PC Watch, 11/29)
》 壊れたHDDのデータ復旧できるの知ってましたか? (ITmedia, 11/29)。 「Ontrack VeriFile Online Data Reports」サービス開始 -データ復旧の可否をWebで検索、短時間でデータ復旧決定可能に- (ワイ・イー・データ, 11/29) の話。
》 Amazonのウィッシュリストが子供を危険にさらす (ITmedia, 11/30)
》 中国大手検索サイトの著作権侵害裁判と中国ユーザーの反応 (ITmedia, 11/21)。フツー海賊版な世界……。
》 チェック・ポイント、本体価格5万円を切る中小向け統合セキュリティアプライアンス (Enterprise Watch, 11/29)。 Safe@Office 500 UTM (統合脅威管理)アプライアンス だそうです。
》 「Firefox 1.5」日本語版を含む各国語版が正式公開 (Internet Watch, 11/30)。ダウンロードは Download Firefox (mozilla.com) から。
》 【特選フリーソフト】自動学習型セキュアOS TOMOYO Linux---VMwareで実際に体験 (日経 IT Pro, 11/28)
》 ハイテク犯罪捜査入門 (東京法令出版)。「捜査実務編」が新たに登場しています。
なお,本書は,あくまで「捜査入門書」であり,技術的正確さを犠牲にしても分かりやすさを優先しているし(意訳すら用いている),捜査・公判には不要と思われる技術的事項は,大幅な割愛をしたり,大胆な取りまとめ(JavaとJavaスクリプトの明確な区別を意識していない等)をしている関係上,「技術入門書」としては適当ではない。この点は,本書の性格をご理解いただいて,セキュリティ業界関係者など理系社会の方のご容赦をお願いする。
さっそく発注。
「建物の構造計算に使う国土交通相認定の専用のプログラム」に欠陥があるという指摘。
市販の文書編集ソフトを使うと計算途中のデータの書き換えが可能で、不正なデータを入力しても「適合」との結果が出ることがわかったという。この場合、正しいプログラムを使ったことを示す認定番号も印刷できるという。
同社は「この専用プログラムは保護機能が甘い。これでは、通常の審査で改ざんを見破ることは難しい」と説明。近く検証内容を国交省に報告するという。
「建物の構造計算に使う国土交通相認定の専用のプログラム」というのは各社から出ているようだが (ぐぐってみるテスト)、どの会社のもののことなのかは不明。 また「建物の構造計算に使う国土交通相認定の専用のプログラム」は 電算プログラム審査 (財団法人日本建築センター) という手順に従って認定されるようなのだが、ここには「データの改ざん不可能性」などといった検査項目は全くなさげ。
なお、この指摘を行った日本 ERI は、日本ERIが4連騰、耐震検査厳格の優位性に評価高まる (asahi.com, 2005.11.22) なんて記事が出るほどの会社なのだそうだが、この会社ですら姉葉建築士による偽装を見抜けなかったケースがある (日本 ERI, 2005.11.29) そうで。 その偽装がこの指摘につながっているのだろうが、結局のところ、厳密なクロスチェックは行われていないということみたいですねえ。 日本 ERI の株価 (Yahoo)。
プログラム出力の真正性の確認をどう行っていたのか? (武田圭史, 2005.12.01)
[Full-disclosure] Panda Remote Heap Overflow。 詳細: Panda AntiVirus Library Remote Heap Overflow。 zoo アーカイブの取り扱いに欠陥があり、Heap Overflow するため任意のコードを実行可能となるそうだ。
Webmin miniserv.pl perl format string vulnerability (DYAD Security)。 Webmin < 1.250 / Usermin < 1.180 に欠陥。 miniserv.pl に format バグがあり、remote から任意のコードを実行可能。
Webmin >= 1.250 / Usermin >= 1.180 で修正されている。また Webmin miniserv.pl perl format string vulnerability で Webmin 1.220 / 1.230 / 1.240 用の patch が配布されている。
Linux カーネル方面:
[SA17780] Cisco IOS HTTP Server Script Insertion Vulnerability
SYM05-026: Symantec pcAnywhere Denial of Service (Symantec)。pcAnyware 11.0.1 / 11.5.1 に、remote から DoS 攻撃を受ける欠陥がある模様。patch が用意されている。 日本語版 pcAnyware に適用できるのかどうかはよくわからない。 日本語版 Advisory がまもなく出るだろうから、それを見てからの方がいいだろう。
[SA17763] PHP "mb_send_mail()" "To:" Header Injection Vulnerability。 PHP 5.1.0 で直っているそうな。
マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される (Microsoft) が更新されています。まだ patch はありません……が、
この調査の完了時に、マイクロソフトはマイクロソフトのお客様を保護する手助けとなる適切なアクションを行なう予定です。これには、マイクロソフトの月例のリリースプロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、月例のリリースプロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。
とつぜん出すかもしれないから驚くなよ、ということかな。
Mac OS X 10.3.9 / 10.4.3 用の新たなセキュリティ更新。
Sun Java 2 Platform, Standard Edition (J2SE) 1.3.x / 1.4.x / 5.x に欠陥。
Update 3 以前の J2SE 5.0 に欠陥。Java Runtime Environment (JRE) に欠陥があり、 アプレットが sandbox を突破して、ローカルファイルを読み書きしたり、ローカルアプリを実行したりできてしまう。
J2SE 5.0 Update 4 以降で修正されている。最新は Update 5。
SDK / JDK / JRE の 1.3.1_15 / 1.4.2_08 / 5.0 Update 3 以前に欠陥。 "reflection" API に 3 つの欠陥があり、アプレットが sandbox を突破して、ローカルファイルを読み書きしたり、ローカルアプリを実行したりできてしまう。
J2SE 1.3.1_16 以降 / 1.4.2_09 以降 / 5.0 Update 4 以降で修正されている。
Update 3 以前の J2SE 5.0 に欠陥。JRE に含まれる Java Management Extensions (JMX) に欠陥があり、 アプレットが sandbox を突破して、ローカルファイルを読み書きしたり、ローカルアプリを実行したりできてしまう。
J2SE 5.0 Update 4 以降で修正されている。最新は Update 5。
関連: SunのJava実行環境に致命的レベルの脆弱性 (slashdot.jp, 2005.11.30)
About the security content of J2SE 5.0 Release 3 (Apple)
攻略サイト事例が現れた模様: Javaのセキュリティ・ホールを突くWebサイトが出現,悪質なプログラムを実行される (日経 IT Pro, 2006.01.13)。
Cisco Security Agent 4.5.0 / 4.5.1 に欠陥。local user による権限上昇 (管理者権限の取得) が可能となる模様。 CSA 4.5.1.639 で修正されているそうだ。
》 「よいしょブログ」逃走か? (Walkman A シリーズについての噂をまとめてみる。)、 ソニーの自作自演力は世界一ィィィ! (Propeller-head ONLINE)。 また出た SONY ねた。「下には下がある、まだまだ堕ちられます」ということなのか。
》 「コードはセキュアになった。でも……」 (ITmedia, 11/28)。eEye の鵜飼さんによるお話。
》 JR西日本、旅行商品の利用者情報などがWinnyネットワークに流出 (Internet Watch, 11/28)
》 Yahoo!ニュースを偽装した記事の作者、著作権法違反の疑いで逮捕 (Internet Watch, 11/28)
》 政府のセキュリティ対策、今後は新たな法律制定にも踏み込む必要性: 内閣官房情報セキュリティ補佐官の山口英氏が講演 (Internet Watch, 11/28)。
「法律を作るのは非常に大変かつその効果が未知数なのに、いわゆる有識者の多くは『法律を作れ』と言いたがるなど、いわば法律に対する幻想が存在する」
「法律を作るのは非常に大変だが利権生成効果はすばらしく、いわゆる利権に群がるハエは『法律を作れ』と言いたがるなど、ごく一部の者だけは確実に得をするように使われている」という気がしないでもない。
》 InterScan Web Security Suite: WINDOWS:修正プログラム:Windows XP Service Pack2 ダウンロードの問題 (トレンドマイクロ)。
》 状況を検証するために Norton Internet Security 2006 の試用版をインストールしてみたのだが、例によって重いのはともかくとして、なんだか使いにくいなあ。 どうして「設定」と「オプション」が別の意味になるんだろう。
》 セキュリティの“ベンダー任せ”が危ない (日経 IT Pro, 11/25)
ワコールの場合で見てみよう。(中略) システム面でどのような対策をとっていたかについては,「よく分からないのでNECネクサソリューションズに問い合わせてほしい」(広報部)と,当事者としてきっちり説明できる状態ではなかった。2005年春にカカクコムなど複数の企業で個人情報を奪われるなどの被害が発生したときも,「(ワコールからNECネクサソリューションズに)改まって対策状況を確認したり,注意喚起したりした事実はない」(広報部)という。これで果たして,管理・監督責任を十分に果たしていると言い切れるのか。
》 ネット経由でデータ・バックアップ,ソフトバンクIDCなどが提供 (日経 IT Pro, 11/28)
IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響について (Tivoli-05-064) (IBM, 2005.11.25)。 「2006年3月頃」とか「2006年6月頃」とかいう文字列があって、なかなかあれです。
この問題に対する Norton Internet Security (NIS) の対応によって、2ch.net 方面でさわぎになっていた模様:
mailto:<body onload=window()> (本当は body onload じゃなくて body onload) に NIS が反応してしまうため、そういう書きこみがあると一定時間閲覧できなくなってしまっていた、ということでいいのかな。 (Hideck さん感謝)
》 どんなセキュリティソフトを使えばいいの? (slashdot.jp, 11/26)。ブルース・シュナイアー氏はつねづね「セキュリティはプロセスであって、製品ではない」と言ってますけどね……。
アンチウイルス系やパーソナルファイアウォール系の製品の名前を出す投稿が目立つようですが、どのような脅威が考えられて、どの脅威についてどのように考慮するのか (あるいはしないのか)、ということを考えつつ、 eEye Blink のようなもの (IPS 系?) とか、 Osiris のようなもの (file integrity checker) とか、ログ・統計関係とかいったものついてもちょっと考えてみると楽しいかもしれません。 でも適用対象のスキルレベルに期待できない場合は、あまり凝ったことはできませんし。「セキュリティするために PC 買ったわけじゃない」のも真実ですからねえ。
「システムの復元」が file integrity checker っぽく使えるようになると、いい感じになるような気がするのだけどなあ……。 動作が black box すぎるんだよなあ。
》 Little Birds - イラク戦火の家族たち - の無料上映会が、2005.12.09 (金) に龍大で開催されるようです (各地の上映スケジュールにも龍谷大学イベントカレンダー 2005.12.09にも記載されていないようなのですが)。 製作・編集担当の安岡卓治氏による講演つきです。
「一般来場歓迎」だそうなので、お時間のある方はぜひ。
》 Black Hat Japan 2005 - ISPの戦い、Episode I-IV - Antinnyのトラフィックは800Mbps (MYCOM PC WEB, 11/26)
》 Yahoo!ニュースを偽装した記事の作者、著作権法違反の疑いで逮捕 (Internet Watch, 11/28)
》 「ハッカー集団Titan Rainの背後に中国政府の影」--セキュリティ専門家が指摘 (CNET, 11/25)
》 デル1社では済まない--PCメーカーを揺るがす不良コンデンサ (CNET, 11/28)
》 平成17年度情報モラル啓発セミナー: 情報社会で企業が問われる社会的責任 個人情報保護への実践的な取り組み。 2005.12.20、大阪府大阪市、無料。 江原さん情報ありがとうございます。
》 セキュリティ・ホールと性能を改善したPHP 5.1リリース「5.0ユーザーは速やかにアップグレードを」 (日経 IT Pro, 11/25)。 PHP 4.x / 5.x に、致命的なものを含む複数の欠陥 の話も直ってる模様…… PHP 5 ChangeLog: Version 5.1.0 を見てもよくわからんけど。 Proposed 5.1 Release Announcement (php.net) がいちばんわかりやすいのかな。 移行を計画している場合は UPGRADE NOTES - PHP 5.1 を参照しておくべきらしい。
》 「サイバーテロは問題視されすぎ」:サイバー犯罪対策の重要性を訴える専門家 (CNET, 11/25)
ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか? (星澤裕二メモ, 2005.11.25)
「URLの妥当性の判断のためのみに使用」という部分が少々気になる。URLの妥当性って何だ?サーバに保持する必要はあるのだろうか?
ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである (高木浩光@自宅の日記, 2005.11.25)
トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思うし。
ちなみに手元のウイルスバスター 2006 なのだが、単に処理に時間がかかりすぎるという理由から、フィッシング詐欺対策ツールバーは無効にしてしまった。 リクエスト毎にいちいち WAN 経由で問いあわせするという仕様はなあ……。 ウイルスバスター2006のフィッシング詐欺対策ツールバー (星澤裕二メモ, 2005.11.02) には tis14-JP.url.trendmicro.com という名前が出てくるので調べてみると、
% host tis14-JP.url.trendmicro.com tis14-JP.url.trendmicro.com is a nickname for trendmicro.georedirector.akadns.net trendmicro.georedirector.akadns.net is a nickname for trendmicro.com.edgesuite.net trendmicro.com.edgesuite.net is a nickname for a151.g.akamai.net a151.g.akamai.net has address 60.254.129.103 a151.g.akamai.net has address 60.254.129.102
akamai 化されてはいるようですが……。
関連記事:
Amazon.co.jpがSONY BMGの「XCP」採用CD購入者に全額返金 (Internet Watch, 2005.11.24)
タワーレコードもSONY BMGの「XCP」採用CDの購入者に返金・交換 (Internet Watch, 2005.11.25)
山田祥平のRe:config.sys: そんなパッケージコンテンツなら、私は見ない、私は買わない (PC Watch, 2005.11.25)
元麻布春男の週刊PCホットライン: rootkit入り環境で各種セキュリティソフトを試す (PC Watch, 2005.11.25)。なかなか興味深いです。 アンチウイルス/アンチスパイウェア系のまとまったレビュー記事ってひさしぶりに読んだような気がするし。
エフ・セキュアは、F-Secure Internet Security 2006 の日本語版がまだ出ていないのが敗因なのかな。
それにしても、XCP って邪悪なんだなあ。
》 64ビットOSの実行やデュアルCPUに対応した「VMware Workstation」v5.5が公開 (窓の杜, 11/25)。 VMWare 5.0x は不安定だったと聞いているが、5.5 はどうですかね。
メモリを山ほど積んだ 64bit 環境ほしいなあ。
》 Internet Week 2005 の事前登録期間が 11/30 まで延長されています。
》 多層防御を目指すマイクロソフトのセキュリティ戦略の最新動向 (MYCOM PC WEB, 11/25)
》 ワコールECサイトの不正アクセス、新たに367名の顧客情報の流出を確認 (Internet Watch, 11/25)
》 「何がテレビ番組のインターネット配信を妨げているのか」JASRAC シンポジウム 2005より (日経 Tech On, 11/22)
》 今から備えるIE7.0とWindows Vistaの暗号通信 (日経 IT Pro, 11/22)。そろそろ勉強しはじめないとまずいかなあ。
》 「Sober」ウイルスの亜種が大量出現,対策ソフトで検出できない場合も (日経 IT Pro, 11/24)。手元にもちょこっと届くようになってきた。
Sober ワームの変種に関する注意喚起 (JPCERT/CC) も出ました。xSP 方面はたいへんみたいです。
》 韓国がMicrosoftへの裁定を延期 (日経 IT Pro, 11/25)。あら。
》 WORM_MYTOB.MX (トレンドマイクロ) がイエローアラートですか。
》 鳥インフルエンザのパンデミック・リスク(前編) (日経 BP, 11/22)
》 スパイウェア対策ソフト「Microsoft AntiSpyware」のBeta 1 build 1.0.701が公開 (窓の杜, 11/24)。旧版は 2005.12.31 で試用期限がきてしまうそうなので、AntiSpyware ユーザは入れかえておきましょう。
》 眞鍋かをり:スパイウェア撲滅隊長に就任 (毎日, 11/24)。CA認定のスパイウェア撲滅隊隊長は話題の「ブログの女王」眞鍋かをりさん (CA)。ふーん。
》 不正アクセスに関する届出について (IPA) にある 「届出・相談における個人情報の取扱いについて 」 というリンクにはアクセスできないようですね。おおかわさん情報ありがとうございます。 www-test.ipa.go.jp って何……。
……匿名の方から (ありがとうございます):
ファイヤウォール内(イントラネット内)にあるメールサーバーで、内側の一次WEBサーバーでもあります。
どうもWEBページを構築している人が、間違えて内側のサーバーをリンクしてしまうようです。もちろん、内側のマシンから内側のサーバーは見えるので、内部では気がつきにくいようです。
このリンクミスは2005年6月から直ってません。
……リンクは修正されたそうです。内山さん情報ありがとうございます。
》 キッズケータイ SA800i (NTT ドコモ)。うーん、どうしてこんなイケてない色しかないんだろう。 いまどきのコドモはプリキュアとかで鍛えているのに……。
》 元麻布春男の週刊PCホットライン: rootkit入り環境で各種セキュリティソフトを試す (PC Watch, 11/25)。なかなか興味深いです。 アンチウイルス/アンチスパイウェア系のまとまったレビュー記事ってひさしぶりに読んだような気がするし。
エフ・セキュアは、F-Secure Internet Security 2006 の日本語版がまだ出ていないのが敗因なのかな。
それにしても、XCP って邪悪なんだなあ。
》 ラック セキュリティ学園 (カカクコム)。 アライさん情報ありがとうございます。
つづきの記事:
そしてさきほど、以下のサポート情報が公開されました。
アクセス先 URL とアクセス先IPアドレスがトレンドマイクロに送られる仕様だそうです。
シマンテックも対応したようです (info from [memo:8871])。
Windows 2000 SP4 日本語版 + Norton AntiVirus 2005 で試したところ、検出はするもの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。
》 化学工場爆発で川が汚染 ハルビンで給水停止 (CNN, 11/24)
》 なぜSSL利用をケチるのか---入り口からのSSL利用が有効なフィッシング対策に (日経 IT Pro, 11/22)
》 eEye Security Forum〜米国におけるエンタープライズ脆弱性マネージメントの最新事情〜 (住商情報システム)。 2005.11.29、東京都中央区、無料。eEye の中の人による講演あり。 高橋さん情報ありがとうございます。
》 リネージュII、不正利用増加でダイナースカードの取り扱いを停止 (Internet Watch, 11/22)
》 「相次ぐWinnyによる情報漏えい,原因の一つは厳しすぎる社内ルール」---ISS (日経 IT Pro, 11/24)
》 Soberの新亜種が大暴れ--電子メールトラフィックに混乱のおそれも (CNET, 11/24)。 手元にはちょっとしか届いてないなあ。
》 「地球シミュレータ」は東京を長周期地震動から救えるか——地球シミュレータと耐震ビルがつながる未来 (ITmedia, 11/22)
》 「がんばれ!アドミンくん」 第2話 トラシューの基本 (@IT, 11/23)。物理層の確認は基本ですね。 半径 50m 以内でも、「抜けてました」「抜けかかってました」「HUB 壊れてました」は 3 大トラブル原因のような気が。
Secunia Research: Opera Command Line URL Shell Command Injection。Opera 8.x の UNIX / Linux 版に欠陥、Opera 8.51 で修正されている。 ana log さん情報ありがとうございます。
IEやOperaにステータス・バーを偽装できる問題 については直っていないようです。戸井さん情報ありがとうございます。
「Opera 8.51」リリース、Flash Playerの脆弱性修正など (Internet Watch) などを見ると、同梱の Flash Player が更新されていたりもするようですね。
[SA17670] Cisco PIX Spoofed TCP SYN Packets Denial of Service
マカフィーとトレンドマイクロが対応したようです。
Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i (DAT4635) で試したところ、JS/Exploit-BO.gen は検出されたものの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。
Windows 2000 SP4 日本語版 + ウイルスバスター 2006 (DAT 2.965.00) の場合は、JS_ONLOADXPLT.A を検出した上で、スクリプトも止まるみたい。
》 ウイルス定義(DAT)ファイル4629でのウイルス誤認について (マカフィー, 11/21)。DAT4630で解決されたそうな。
》 Telecom-ISAC Japan、マイクロソフトと共同し Malware対策で成果 〜 Antinnyワームによる攻撃数・攻撃トラフィックが大幅に減少 〜 (Telecom-ISAC Japan, 11/21)。 悪意のあるソフトウェアの削除ツール (Microsoft) を Antinny に対応させたことによって、誰も予想していなかった規模の成果が出た模様。
(1) Antinny感染PCからの攻撃数:約40%減少
(2) Antinny感染PCからの攻撃トラフィック:30%超減少
(3) Antinny駆除パソコン数:11万台(マイクロソフト社発表)
(4) Antinny駆除数:20万超(マイクロソフト社発表)
関連: ちょっとこの状況は・・・ (日本のセキュリティチームの Blog, 11/22)
関連報道:
マイクロソフト、ウイルス駆除ツールで20万以上の「Antinny」を駆除 (Internet Watch, 11/21)
ただし、攻撃元IPアドレスベースでは依然として約60%が攻撃を継続しており、駆除ツールが万能というわけではない。マイクロソフトが11万台のPCで Antinnyが駆除されたと発表したことと攻撃元IPアドレスが40%減少したことから、Telecom-ISAC Japanでは依然として17万台程度がAntinnyに感染していると推計している。なお、この17万台という推計は、ACCSサイトを攻撃したIPアドレスの減少率を根拠の1つにしている。ACCSを攻撃するAntinnyは亜種全体のうちの一部であることから、「実際の数字はさらに増える可能性もある」(小山氏)。
ACCSのサイトに「ようやく光明」、Antinny駆除でマイクロソフトに感謝状 (Internet Watch, 11/22)
Antinnyの大流行、異常事態はなぜ起こったのか (MYCOM PC WEB, 11/22)
「Winnyで広まるワームのまん延は異常事態」とテレコム アイザック ジャパン (日経 IT Pro, 11/21)
なお、今回の発表の元になった統計情報の一部は 悪意のあるソフトウェアの削除ツール (Microsoft) から得られたものだそうで、これについては EULA に明記されているそうです。
》 手口はまたもやSQLインジェクション,ワコールオンラインショップへの不正アクセス (日経 IT Pro, 11/22)
》 経産省が「情報セキュリティガバナンス」に関するシンポジウムを開催,先進企業の取り組みを紹介 (日経 IT Pro, 11/21)。これから開催する、という話。 情報セキュリティガバナンス シンポジウム。 2005.12.09、東京都港区、無料。
》 「脆弱性情報の公開はベンダーに圧力をかけるため」---米eEyeの鵜飼氏 (日経 IT Pro, 11/22)
》 インテルのハイパースレッディング技術でサーバ性能の低下が発生か (CNET, 11/22)
「まさに皮肉だ」とIbbotsonは述べる。「Intelは、マルチスレッドをサポートするソフトウェアで性能が向上すると、ハイパースレッディング技術を売り込んでいた。SQL Serverは、マルチスレッドをサポートしているが、Intelのチップ上でその効果を発揮できなかった。事実、ハイパースレッディング対応のサーバソフトウェアで、性能が向上したものを見たことがない。Citrixとわれわれのソフトウェアを同一サーバで動作させる場合には、同技術を無効にすることを顧客には勧めている」(Ibbotson)
うひー。
》 アイ・オー、ポータブルHDD「HDP-U」シリーズにウイルス混入の恐れ (Internet Watch, 11/22)
》 SANS Tokyo 2006 Spring。 2006.02.13〜18、東京都新宿区、すごい値段 (^^;;;;;)。
》 Buy Nothing Day(無買デー)、今年は 2005.11.26 です。 プレスリリースによると、 禅タクロースの冥想は京都の繁華街 (どこだろう) で行われるらしいっす。
「Buy Nothing Day」は、消費過多時代への警鐘です。サンタクロースですら「アメリカ生まれの近代的コマーシャリズムの産物」であることを明らかにしています。 持続可能な経済、環境問題、「心の公害」など、多様な問題の影に潜む商業主義にスポットをあて、さまざまなイベントを通じて、消費について深く考えようというメッセージを発信しています。
サンタクロースの起源 (キリスト教 マメ知識、Marie さん情報ありがとうございます) を見ると、
しかし、今のサンタクロースの赤い衣装を考え出し有名にしたのは、1931年、アメリカのコカ・コーラ社が冬のキャンペーン広告のキャラクターとして、サンタクロースを起用したことから、サンタクロースの名前が急に、世界中に知られるようになりました。 (下線: 小島)
サンタ vs ゼンタ (Buy Nothing Day Japan) で、このコカ・コーラの広告の1つとおぼしき画像を見れます。Buy Nothing Day Japan の言う『サンタクロースですら「アメリカ生まれの近代的コマーシャリズムの産物」であることを明らかにしています』というのは、多分この意味においてでしょう。
改訂されて Version 6.0 になっています。プレスリリース。
Windows 用の Internet Explorer 5.x / 6.x に欠陥。 この話:
公開当初は DoS 話であると認識されていたが、実はもっと深刻で、任意のコードの実行が可能だった模様。PoC コードが公開されている。 手元でテストしてみたところ、
Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i では見事に電卓が起動された。
Windows XP SP2 日本語版 + VirusScan Enterprise 8.0i では暴走しているみたい。 XP 用のテストページは日本語 OS には対応していないのかも。
アクティブスクリプトを無効にすれば回避できる。 また snort で検出するためのルールが公開されている: Snort Rule released on BleedingSnort for the Windows Javascript vulnerability (SANS ISC)。
関連:
関連報道:
マカフィーとトレンドマイクロが対応したようです。
Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i (DAT4635) で試したところ、JS/Exploit-BO.gen は検出されたものの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。
Windows 2000 SP4 日本語版 + ウイルスバスター 2006 (DAT 2.965.00) の場合は、JS_ONLOADXPLT.A を検出した上で、スクリプトも止まるみたい。
シマンテックも対応したようです (info from [memo:8871])。
Windows 2000 SP4 日本語版 + Norton AntiVirus 2005 で試したところ、検出はするもの、スクリプト自体は動いてしまうようで、見事に電卓が表示されてしまった。
この問題に対する Norton Internet Security (NIS) の対応によって、2ch.net 方面でさわぎになっていた模様:
mailto:<body onload=window()> (本当は body onload じゃなくて body onload) に NIS が反応してしまうため、そういう書きこみがあると一定時間閲覧できなくなってしまっていた、ということでいいのかな。 (Hideck さん感謝)
マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される (Microsoft) が更新されています。まだ patch はありません……が、
この調査の完了時に、マイクロソフトはマイクロソフトのお客様を保護する手助けとなる適切なアクションを行なう予定です。これには、マイクロソフトの月例のリリースプロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、月例のリリースプロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。
とつぜん出すかもしれないから驚くなよ、ということかな。
NIS での誤検出ですが、手元で試した限りでは、現在は修正されているようです。
こちらは検出しますが、こちらは検出しませんでした。
NIS のルール「HTTP MSIE JavaScript OnLoad Rte CodeExec」を無効にして回避していた場合は、再び有効にしてみるといいかもしれません。
さて、この欠陥を利用するマルウェア TrojanDownloader:Win32/Delf.DH が登場したということで、各アンチウイルスベンダーからの情報も更新されているようです。
JS/Exploit-BO.gen (マカフィー)。
VirusScan Enterprise 8.0i / Managed VirusScan
Generic Buffer Overflow Protection protects against code execution that may result from exploiting this vulnerability.
McAfee Entercept
Entercept's Generic Buffer Overflow Protection protects against code execution that may result from exploiting this vulnerability.
McAfee IntruShield
Updated signatures are available for Trimble release with http response support.
McAfee Foundstone
Updated signatures have been released.
Bloodhound.Exploit.54 (シマンテック)
JS_WINDEXP.A、 JS_ONLOADXPLT.A (トレンドマイクロ)
Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i において、 JS/Exploit-BO.gen が検出されるものの電卓が表示されてしまう件ですが、 VSE 8.0i Patch 11 にすればスクリプトの実行がきちんと停止されるようです。 VSE 8.0i Patch 10 では電卓が表示されてしまいました。
IEのパッチ未公開セキュリティ・ホールを狙うWebサイトが増加中 (日経 IT Pro, 2005.12.05) だそうです。関連: Hackers exploit unpatched Internet Explorer bug to install malware (Sophos)。
TTFOXZの日記 で NIS の誤検出の件はまだ直ってないと指摘されていたので、 捨ててしまった NIS 2006 の環境をもういちどつくって試したところ…… こちら でも反応してしまいますね。うーん。2005.12.02 のテスト結果は何だったんだ…… orz。 とりあえず大嘘ついていたみたいですいません。
ド素人でも分かる事だろうに。
ド素人未満ですいませんねえ。
関連記事:
米テキサス州,ルートキット型コピー防止付きCDを巡ってソニーBMGを提訴 (日経 IT Pro, 2005.11.22)
電子フロンティア財団もSONY BMG相手取り集団訴訟 (ITmedia, 2005.11.22)
SONY BMGが犯した大きな罪とは? (ITmedia, 2005.11.22)
(なお、News.comの記事では当初、First 4 Internetが今回のrootkitをめぐりSymantecと協力したかのように報じられたが、この件についてはその後、両社はFirst 4 Internetのデジタル画像ソフトウェアをめぐり協力していたという内容に訂正されている。)
Most people don't even know what a t-shirt is (F-Secure blog, 2005.11.22)。 ちなみに音声はこちら: Once more on the Sony rootkit case (F-Secure blog, 2005.11.13)
Disabling an ActiveX (Microsoft Security Response Center Blog, 2005.11.17)。 kill bit をつけるべき CLSID。
》 マイクロソフト、クライアントPCの大量展開を容易にするツールキットをアピール (Enterprise Watch, 11/21)
》 掲示板やメールに続き、ブログにもスパム ---リンクをクリックすると、アダルトサイトが出現 (日経 IT Pro, 11/21)。たとえば rbl を参照して対抗するような blog 実装ってあるのかなあ。 あるいは blog 用の rbl とか。
……玉岡さんから (情報ありがとうございます):
標記の件については Movable Type 3.2 が標準で実装しています。 以下のようになっています。
--
設定: SpamLookup - Lookups
受け付けたすべてのコメント/トラックバックのIPアドレス/ドメインをチェックします。送信元のIPアドレス/ドメインがブラックリストに含まれている場合、「未公開」もしくは「迷惑コメント/トラックバック」として処理します。
アドレスのチェック:
* 設定しない
* ブラックリストに含まれるIPアドレスからの受信を「未公開」にする
● ブラックリストに含まれるIPアドレスからの受信を「迷惑コメント/トラックバック」にする (基準値の変更)
ブラックリスト:bsb.spamlookup.net, opm.blitzed.org
--
となっていてデフォルト設定では2つのブラックリストを参照することになっています。
やっぱりあるんですね。なるほど……。
》 鳥インフルエンザ発生国からの入国者に対する靴底消毒の協力依頼 (農林水産省, 11/21)。「成田国際空港、中部国際空港、関西国際空港及び福岡空港の検疫ブース」だそうです。
》 トルコ産マグロ「違法」ヨーカ堂が販売中止 (産経, 11/21)。
トルコは、国際的な資源管理機関「大西洋まぐろ類保存国際委員会(ICCAT)」の規制を無視して大量のマグロを漁獲、その多くを日本に輸出していることが、世界自然保護基金(WWF)の調査で指摘された。
イトーヨーカ堂は、この問題が明らかになった直後の今月14日でトルコ産マグロの販売を中止、今後もトルコ産のマグロは販売しないことを決めた。
関連: 大西洋まぐろ類保存国際委員会(ICCAT)第19回通常会合の結果の概要について ( 水産庁, 11/21)
(3)遵守問題
[1] トルコ
我が国より、トルコの蓄養場用のクロマグロの過剰漁獲の可能性を指摘し、トルコは、今後、我が国と協力して調査を行い、問題解決に取り組むことを表明した。
》 Internet Week 2005におけるBoF追加募集のお知らせ (JPNIC, 11/15)。明日 11/22 まで。
そういえば、C6 : Security DAY ここだけの話 〜あなたはどう考えますか?〜 の申込状況はどうなっているんだろうなあ。
》 姉歯建築設計事務所による構造計算書の偽造とその対応について (国土交通省)。まとめページできてます。 該当物件の公表について (国土交通省, 11/21) で今日さらに具体名が公開されています……が、これはあくまで「確認時物件名」で、ほんとうの名前は、 耐震偽造:「危険」完成済み建物13棟 国交省、再計算 (毎日, 11/21) などにあるもののようです。
で、この Qu/Qum というのはどう読めばいいんだろう。 耐震性偽装、倒壊の恐れ計16棟…国交省が再計算 (読売, 11/21) には
完成済みのうち、26%と最も悪かった東京都中央区のホテル「京王プレッソイン茅場町」と港区のマンション「STAGE大門」など13棟が26〜56%の耐震強度しか満たしておらず、「震度5強の地震で倒壊の恐れがある」と判定された。
とあるから、Qu/Qum は「耐震強度」で、1 以上でないとダメな数字なのかな。
》 検索エンジン VSAPI 8.000(Windows版/Linux版) 公開のお知らせ (トレンドマイクロ, 11/21)。 11/28 に web ページ上で公開されるそうです。
》 スパイウェアパターンファイル 0.309.00 における誤警告情報 (トレンドマイクロ, 11/18)。 昔の JWORD ですか。
》 InterScan Messaging Security Suite 5.18 Windows版 サービスパック 1 (Build_1058)の概要および適用方法 (トレンドマイクロ)。 不具合修正 + Trend Micro Network Reputation Services (トレンドマイクロ) 対応、だそうで。
》 ウイルスバスター2006: VIA テクノロジーズ社製ネットワークインターフェースをご利用の環境にウイルスバスター2006をインストール後、インターネットに接続できない (トレンドマイクロ)。Windows 98 / Me + ウイルスバスター2006 + VIA VT6105 で、ネットワークにつながらなくなったりブルーサンダーになったりする模様。Windows Xp / 2000 では問題ない。
ウイルスバスター2006 の各機能におけるモジュールの動作が直接の原因ではないことを確認しましたが、本現象に対する有効な回避策は見つかっておりません。 このため、該当するネットワークカードにつきましては、ウイルスバスター2006 の動作サポート対象外とさせていただきます。
うひゃあ。
トレンドマイクロは VIA VT6105 を利用しているカードとして Elecom LD-10100AL (NIC MANIA) を挙げているが、他にも corega FEther PCI-TXA (NIC MANIA) とか GREEN HOUSE GH-EL100VA (NIC MANIA) とかあるみたい。
……あーるさんから (ありがとうございます):
ウイルスバスター2006とVIAチップですが、以下のようにidが変わっているようです。(中略)
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=11886
あれっ? 確かに。さきほどまでは http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12456 が存在したはずなのに。しかも 最新のソリューション - 全製品 からも消えてるじゃないですか。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=11886 の最終更新は 2005.10.19 だし。
》 NTTコムが迷惑メール対策,OCNから携帯事業者網へOP25Bを実施 (日経 IT Pro, 11/18)。大手 ISP については出揃ってきたという感じなんだろうか。どこかにまとめページないかな。 …… 迷惑メール対策に関する技術交流会 の Wiki に Port25 Block という項目があるそうです……が、いまいち維持されてないっぽいですね。 まあ Wiki なんで、書けばいいんですが。 鈴木さん情報ありがとうございます。
関連: BIGLOBEも11月末から送信ドメイン認証を導入、迷惑メール対策を強化 (Internet Watch, 11/21)
》 Windows Live Safety Center (Beta) (Microsoft) というサイトができています。オンラインスキャンが可能な他、 Tune Up Center というコーナーもあります。
》 チェチェンで何が起こっているのか。 2005.12.05、京都府京都市 (同志社大学今出川校)、無料。 お、近いじゃん!
関連記事:
コピー防止ソフト「XCP」入りCDは52タイトル、SONY BMGがリスト公表 (Internet Watch, 2005.11.17)
SONY BMGが「XCP」入りCDの交換サービス開始、日本でも「対応を検討中」 (Internet Watch, 2005.11.18)
SONY BMGの「XCP」採用CD、国内でも約5万枚が販売〜SMJIが回収措置を発表 (Internet Watch, 2005.11.21)
元麻布春男の週刊PCホットライン: 交換に追い込まれたコピープロテクションCD問題 〜rootkit入りCDを試す (PC Watch, 2005.11.21)
想定される購入者の年齢層が比較的高いと思われること、いわゆる売れ筋のタイトルがほとんどないことを考えると、一部のCDにXCPを施した今回の施策は、本当に不正コピー、あるいはインターネットによるファイル交換を防止する、実効を期待してのものだったのか、疑問に感じないわけではない。言い換えれば、今回のタイトルは将来の本格展開を踏まえた実験だったのではないか、というのがリストを見ての筆者の率直な感想である。
rootkit入り音楽CD——それでもコピープロテクトはなくならない (ITmedia, 2005.11.21)
SONY BMG、「MediaMax」アンインストーラ問題でさらなる深みへ (ITmedia, 2005.11.21)。泥沼。
Safari 1.3.1 (v312.3.1) や iCab2.9.8 もだめだそうです。Ray さん情報ありがとうございます。
Norton シリーズの削除ツール SymUninst.exe を Windows 2000 で使用すると、SymUninst.exe が
1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost]キーの値"netsvcs"のデータから、「BITS」を削除する。
2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS]キーを削除する。
ために、Windows Update でのダウンロードができなくなってしまうそうです。 回復するには、以下を実行すればよいそうです。
1.文書番号:875562 に従い SvcHost プロセスに BITS サービスを追加する。
2.正常な Windows2000 システムから [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS]キーをインポートする。
また Windows XP で SymUninst.exe を使用した場合には、 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS] キーだけが削除されるそうです。
今では SymUninst.exe は存在しなくなっており、新しい Norton 削除ツール SymNRT.exe にはこの欠陥はないそうです。
》 耐震偽造:書類不備も素通り 民間検査「速い」と受注増 (毎日, 11/19)
こうした偽造について国交省や多くの設計関係者は「書類の番号部分がない場合、より詳細に検査しなければならない。見逃した検査機関の責任も重い」と指摘する。しかし、不正のあった完成済みの14棟のマンションやホテルに関する偽造書類を承認した検査機関の「イーホームズ」(東京都新宿区)は「書類に番号がない場合は他にもある。今回の偽造は巧妙だった」と主張する。
耐震計算偽造:施主が「姉歯」紹介 コスト削減、重荷に? (毎日, 11/18)
姉歯秀次建築士の手口は、入力シートで正規の外力などを入力したものを使いながら、出力シートで半分程度の外力しか入力していないものを使っていたという。このため、入・出力の認定番号が異なっており、「通常ならすぐに気づく単純で稚拙な方法」(国交省幹部)という。
また別の職員は「マンションは特別な建築物ではなく、建設業者も普段より柱が細い、などと気づくはずなのに」と首をかしげた。
関係者全員、どーでもいいと思ってたってことなんですかね。関連:
》 原子力空母:横須賀基地の配備はジョージ・ワシントン (毎日, 11/19)。USS George Washington (CVN 73) (navy.mil)。
》 ワコール:顧客情報4757人分流出 週明けにも被害届 (毎日, 11/19)
流出したカード情報のうち少なくとも255人分が有料のゲームサイトの決済に使われたが、カード会社が不正使用として処理したため、実害は出ていないという。
関連:
マスメディア報道は、「問いあわせのあった件数」と「実際に不正使用が試みられた件数」との区別がついていない事例があるみたいなので注意。
》 セキュリティアカデミー勉強会『 UNIX/Linux ファイルシステム 』。 2005.11.26、東京都大田区、3,000円。
》 iij.news vol.73 (IIJ)。例によって spam ねたあります。
》 セキュリティ情報 Live? (日本のセキュリティチームの Blog, 11/16)。とりあえず、ふつうの時間に放送してください。_o_
》 ウイルスバスター 2006 ねた (トレンドマイクロ)
》 「情報セキュリティは文化と技術の両面から」---政策会議の専門委員会が検討成果を発表 (日経 IT Pro, 11/17)。 まずは法執行機関の人に「文化と技術」を身につけてほしいよね。
Winnyによる道警の捜査情報流出、損害賠償訴訟で原告敗訴 (slashdot.jp, 11/17)。 なんと高裁で逆転敗訴。 これってつまり、「無知 + サイバーノーガード戦法 = 最強」ってコトですか?
警察官33人の個人情報流出 広島県警、ウィニーで (共同 / yahoo, 11/18)。ひろはろえさん情報ありがとうございます。
》 TRUSTe、「信用できるソフトウェア」だけを認定する制度を開始 (Internet Watch, 11/17)
》 「米国のネット管理独占」をめぐる論争 (WIRED NEWS, 11/17)
》 「$100ラップトップ」の最終デザイン公開、6カ国が導入に強い関心 (MYCOM PC WEB, 11/18)
また$100ラップトップが現実味を帯びてきたことで、もう1つの心配事が出てきた。転売である。たとえばナイジェリアの平均年収は1000ドルであり、子供たちにノートPCを配布すれば、それを現金に換えてしまう可能性が高い。そこで、数日間ネットワークにログインしなかったらマシンが動作しなくなるなど、二次的な市場取引への対策を検討している。
ふぅむ……。
》 オープンソース・ジャパンとRSAセキュリティ 「RSA SecurID(R) 」の展開で提携 (RSA セキュリティ, 11/18)
》 「感じる義手」は“ルークの義手”にどこまで近づけるか (ITmedia, 11/15)。 先日の NHK スペシャル・サイボーグ技術が人類を変える (NHK) でもやってましたね。 特集: NHKスペシャル補遺 (東京大学: サイ) と、NHKスペシャル「サイボーグ技術が人類を変える」を作りながら考えたこと、作ってから考えたこと (東京大学: サイ) も参照。
いやあしかし、ロボットスーツ HAL 最新鋭 全身タイプ HAL-5 (筑波大学 山海研究室)、カッコよすぎます。FAQ (CYBERDYNE)。
》 Kerberos 5 Release 1.4.3 (MIT) が出たそうです。
》 東証ダウン、真の原因はプログラムの破損 ---相次ぐ取引所システム障害で問われる現場の全体把握力 (日経 IT Pro, 11/18)
》 正念場のデジタルテレビ放送---録画機器に魅力を加えるのはメーカーの責任 (日経 IT Pro, 11/17)
ひさびさのステータスバー偽装ねた。 IE 5.01 / 6.x, Opera 8.x, Safari 2.x でひっかかる模様。Mozilla / Firefox はだいじょうぶみたい。テストページ。
関連: ステータスバー偽装系 (既出) (水無月ばけらのえび日記, 2005.11.18)。実は old news ?
Safari 1.3.1 (v312.3.1) や iCab2.9.8 もだめだそうです。Ray さん情報ありがとうございます。
RealPlayer CreateProcess() Security Vulnerability. (RealNetworks, 2005.11.17)
関連記事:
ソニーCDが明らかにしたセキュリティー業界の本質的問題(上) (WIRED NEWS, 2005.11.18)
ここで本当に眼を向けなければならないのは、われわれのコンピューター利用を支配しようとしている大手メディア企業と、われわれを守ってくれるはずのセキュリティー企業とが、なれ合っているのではないかということだ。
ソニーBMGのアンインストール・ツールを悪用するWebサイトが出現 (日経 IT Pro, 2005.11.18)
各社の IPSec 関連製品における ISAKMP 実装に欠陥。IKEv1 において誤った / 異常なパケットを含ませると、DoS になったり任意のコードの実行が可能となったりする場合がある模様。影響の度合はベンダーにより異なる (DoS の事例が多いようだ)。 また IKEv2 についてはテストしていないそうだ。
何がどこで問題になるのか、NISCC Vulnerability Advisory 273756/NISCC/ISAKMP や Multiple Vulnerability Issues in Implementations of ISAKMP Protocol (NISCC) を眺めてもいまいちよくわからないのだが、 In response to ISAKMP 'vulnerabilities' (bugtraq) にはこんな記述が:
The scope was further narrowed to IKE phase 1 with pre-shared secret authentication. Rationale behind this selection was:
IKE phase 1 does not require any special preconditions as phase 2 does. Additionally, phase 1 aggressive mode allows sending several payloads in the first packet.
IKE phase 1 authentication with pre-shared secret is required from all ISAKMP/IKE implementations.
Potential IKE vulnerabilites in above scope can be roughly categorised based on the on the IKE identity and shared secret:
A. Vulnerability does not require a valid identity nor a shared secret (greatest impact).
B. Vulnerability requires a valid identity but not the shared secret.
C. Vulnerability requires both a valid identity and the corresponding shared secret (smallest impact).
そういうわけなのかどうかよくわからないが、NISCC Vulnerability Advisory 273756/NISCC/ISAKMP では緩和策としてこう書かれている。
- If possible, use packet filters and accept ISAKMP negotiations only from trusted IP-addresses
- Avoid using "aggressive mode*" in phase 1
関連アドバイザリ:
書く気が失せるほど影響が多岐にわたっているので、影響する製品については上記の関連アドバイザリを参照。 Openswan については JVN に Advisory がリンクされているけど、 IPsec Tools (racoon) についてはこちらを:
関連情報:
》 私的録音補償金、制度改革に権利者の理解も得られつつある〜JEITA会長 (Internet Watch, 11/17)
》 システム障害相次ぐ楽天証券、金融庁が業務改善命令 (Internet Watch, 11/17)
》 お客さま情報の流出について (ボーダフォン, 11/17)
》 「ハンゲーム」のID・パスワード163件が漏洩、元アルバイトを逮捕 (Internet Watch, 11/17)
》 Trend Micro Network Reputation Services (トレンドマイクロ) というものがあるんですね。
》 ニフティのセキュリティ・サービスに不具合,利用者1518名が「Sasser」に感染 (日経 IT Pro, 11/15)。そういうこともあるので多層防御が必要だ、ということで。
》 総務省 ネット安全利用を啓発するため全国キャラバンを実施 (毎日, 11/15)。
衛生省は当初、湖南省の男児が入院し、姉が「原因不明の肺炎」で死亡した後も、鳥インフルエンザ感染を否定した。しかし、後に「感染の可能性を排除できない」と改め、WHOとともに症例の調査を進めていた。
》 米軍、イラクで「白リン爆弾」使用認める 「通常兵器」と (CNN, 11/17)。 まあ、気化爆弾だって「通常兵器」だしなあ。
》 100ドルのノートPC、世界情報社会サミットで披露 (ITmedia, 11/17)
》 HDE・NEC・日本ジオトラストの3社、S/MIME電子署名メールシステムを共同開発 (Enterprise Watch, 11/16)
》 北海道職員3,544人分の共済組合情報などがWinnyで流出 (Internet Watch, 11/16) だそうです。
》 運用するセキュリティシステムを“公開中”−松下ネットワークオペレーションズ (Enterprise Watch, 11/11)。 ご好評につき 12 月まで延長だそうです。
》 タミフルの話題2題 (slashdot.jp, 11/15)、 中外は2002年10月に自主改定 (slashdot.jp, 11/15)。
》 トレンドマイクロ『ウイルスバスター2006 インターネット セキュリティ』 ファミリーマート、ファミマ・ドット・コム、トレンドマイクロが新しい販売方法を提案 (トレンドマイクロ, 11/14)
決済はファミリーマート店舗で前払いし、そして製品プログラムはオンライン上でダウンロードするという新しい販売方法により、インターネット上でのクレジットカード決済に抵抗があるお客様にも安心してご利用いただけます。
》 特集「携帯・家電に忍び寄るネット・セキュリティの闇」 (日経 IT Pro)。組込系ですか……。 (fixed: nmaeda さん感謝)
》 【続々報】サイボウズのWebサイト停止はツールの誤検知が原因 (日経 IT Pro, 11/16)
同社はオープンソースのrootkit検出ツールである「chkrootkit」を使用している。10日18時ごろ、同ツールがrootkitがある可能性が極めて高いと検出したため、サイトを停止した。
chkrootkit の誤検知って日常的に発生するけどなあ……。 関連: 弊社サイトへのアクセス障害について (調査結果) (サイボウズ, 11/15)
》 キーロガー:05年は65%増、フィッシングに代わって台頭 (毎日, 11/16)
》 東証システム障害:バックアップ施設建設 再発防止策に盛る (毎日, 11/16)
》 掲示板スクリプト「mimicboard2」利用サイトで *いたずら* 多発 (izumino.jp セキュリティBlog, 11/16)。おおかわさん情報ありがとうございます。 Mimicboard2 自身は、$Arrow_tags = 0; とすればタグ無効になるようです。 デフォルトでは有効なのですが。
これのことでしょうか: memory leak and eventual DOS when calling UPNP getdevicelist on windows 2000 server と、訂正記事。
GTK+ 2.4.0 (以前?) に欠陥。 GTK+ における XPM 画像の処理に欠陥があり、攻略 XPM ファイルによって任意のコードを実行可能。CVE: CAN-2005-3186
いくつかの著名なアプリにおいて、CreateProcess() や CreateProcessAsUser() を不安全なやり方で使っている、という話。挙げられているのは:
このうち
Apple iTunes は iTunes 6 で修正された: APPLE-SA-2005-11-15 iTunes 6 for Windows
Kaspersky は修正作業中
Microsoft は Antispyware (Windows Defender) Beta 2 で対応予定
だそうです。
RealPlayer CreateProcess() Security Vulnerability. (RealNetworks, 2005.11.17)
アクセスしたWebサイトのURLをトレンドマイクロに送信していることは間違いない。この仕様にケチをつけるつもりはない。問題は、多くのユーザがこの仕様について知らないということだ。前回も書いたが、このことについてマニュアルに明確な記述はないし、インストール時に説明もない。これではスパイウェアやアドウェアと同じではないか。
普段は新しいウイルスバスターは 3 か月は寝かせるのですが、上記を確認したかったのでインストールしてみました。……確かに、説明されませんね。
つづきの記事:
そしてさきほど、以下のサポート情報が公開されました。
アクセス先 URL とアクセス先IPアドレスがトレンドマイクロに送られる仕様だそうです。
ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか? (星澤裕二メモ, 2005.11.25)
「URLの妥当性の判断のためのみに使用」という部分が少々気になる。URLの妥当性って何だ?サーバに保持する必要はあるのだろうか?
ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである (高木浩光@自宅の日記, 2005.11.25)
トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思うし。
ちなみに手元のウイルスバスター 2006 なのだが、単に処理に時間がかかりすぎるという理由から、フィッシング詐欺対策ツールバーは無効にしてしまった。 リクエスト毎にいちいち WAN 経由で問いあわせするという仕様はなあ……。 ウイルスバスター2006のフィッシング詐欺対策ツールバー (星澤裕二メモ, 2005.11.02) には tis14-JP.url.trendmicro.com という名前が出てくるので調べてみると、
% host tis14-JP.url.trendmicro.com tis14-JP.url.trendmicro.com is a nickname for trendmicro.georedirector.akadns.net trendmicro.georedirector.akadns.net is a nickname for trendmicro.com.edgesuite.net trendmicro.com.edgesuite.net is a nickname for a151.g.akamai.net a151.g.akamai.net has address 60.254.129.103 a151.g.akamai.net has address 60.254.129.102
akamai 化されてはいるようですが……。
TTFOXZの日記 というページが、星澤氏や高木氏の指摘に対して言及しているが、正直に言って、よけいな事を書きすぎているように思う。
今回の問題の根本をもういちど見てみよう。 ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか? (星澤裕二メモ, 2005.11.16) より:
アクセスしたWebサイトのURLをトレンドマイクロに送信していることは間違いない。この仕様にケチをつけるつもりはない。問題は、多くのユーザがこの仕様について知らないということだ。前回も書いたが、このことについてマニュアルに明確な記述はないし、インストール時に説明もない。これではスパイウェアやアドウェアと同じではないか。
ユーザのアクセス先 URL 情報を第三者 (トレンドマイクロ) に無断で送信しているのは「スパイウェアやアドウェアと同じではないか」という指摘だ。こういうことを行うのであれば、通常は、製品のインストール時や実行時に同意を求めるものだ。たとえば最近 Antinny 方面で話題になった、Microsoft の悪意のあるソフトウェアの削除ツールの EULA にはこうある (画像。実際に見たい場合は、IE でアクセスし、削除ツールを web 上で実行すればよい):
プライバシーに関する通知 本ソフトウェアがお客様のデバイスで悪意のあるプログラムの存在を確認するとき、お客様のデバイスで悪意のあるプログラムが発見および除去されたかどうかをお客様に報告するためにのみ、お客様のデバイスから情報が収集されます。しかし、マイクロソフトは、本ソフトウェアの使用に関する統計データを収集、公開する場合があります。お客様のご希望により、本ソフトウェアの報告機能を http://go.microsoft.com/fwlink/?LinkID=39987 の指示に従って無効にすることができます。
同意を求め、また Microsoft への情報提供を無効にする方法も提供している (実際に無効にする方法を発見するにはリンクを何度もたどった上に中身をよく読まなければならないのがアレではあるが……。KB891716 の FAQ の Q3 がそれ)。
繰り返しになるが、トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思う。 サポート情報が出ているものの、ほとんどのユーザは気がついていないのが現状だろう。 最低でも、このサポート情報の存在を全登録ユーザにメールで知らせる、くらいのことはした方がいいと思う。
TTFOXZの日記 では、2005-11-28 に
ねぇ星澤さん。PhishWallではどんな情報を送信しているんですか?
私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた(今後、改良更新されるかもしれないが・・)。
と書いているが、セキュアブレインホームページ のPhishWall をたどると現れるページの左メニューにある PhishWall サーバ にある説明を見る限りでは、何をどこに送っているかは明確だし、第三者たるセキュアブレインにユーザの情報が送られるようにもなっていない。 このページは昨日今日できたものではないはずだが、 どのあたりを見ると「私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた」という記述が生まれるのか、私にはよくわからない。
ちなみに、PhishWall のダウンロードページは ここ (kddi.ne.jp)、 EULA はここ (kddi.ne.jp) にある。ダウンロードページも EULA も securebrain.co.jp にはない……というあたりはツッコミどころのように思うのだが、TTFOXZ 氏はそういうところには興味はないようだ。
関連情報:
ウイルスバスター2006は存在しないサーバ名もトレンドマイクロに送信する (高木浩光@自宅の日記, 2005.11.27)
存在しないサーバ名も送信しても別にいいとは思うが、問題は、ここで示されている、送信しているものの中身である。 トレンドマイクロ曰く 「暗号化処理をしてい」るというそのデータ……これはまともな暗号化手法なのか?
ウイルスバスター2006はHTTPSサイトのURLもトレンドマイクロに送信する (高木浩光@自宅の日記, 2005.11.27)
HTTPSサイトのURLも送信しても別にいいとは思うが、 ここでは、https:// URL に含まれるセッション情報が http:// 手法で送られていることを問題にしている。 さらに、上記の「暗号化処理」の事を考えると、……。
ウイルスバスター2006: [URLフィルタ]ならびに[フィッシング対策ツールバー]によってトレンドマイクロへ送信される情報と扱いについて (トレンドマイクロ) は 11/28 付で改訂されているが、
上記機能に伴い、弊社サーバに送信された情報の扱いに関しましては、アクセス先URLのパラメータ部分を除くURL情報(*注1)のみ弊社サーバに蓄積され、お客様に関する各種情報(アクセス元IPアドレスやアクセス時間、ブラウザの種類など)につきましては本機能によって弊社サーバへ送信されることはありません。(中略)
(*注1)
例:http://www.trendmicro.co.jp/virusbuster/2006.asp?name=trend_taro の場合 サーバに保持される情報は、http://www.trendmicro.co.jp/virusbuster/ のみです。
? 以降も含めた形で送信しているのは明らかなようですね。 また、アクセス元IPアドレスやアクセス時間については、明に送信しなくても自動的にわかってしまうことなのだから、「即座に破棄しています」などと表現した方がより適切だろう。そう書かれてはいないことから、「自動的にわかってしまうことはそのまま保存している」と理解すべきなのかもしれない。
関連記事:
さて、ウイルスバスタークラブ会員宛に、2005.12.21 付で「ウイルスバスタークラブニュース2005年 12月」が届いた。登録ユーザ宛のニュースレターなのだから、今回のような事案に関する案内にはもってこいのはずだ。だから何が書かれているか (書かれていないか) には興味が湧いた。その中身は……
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ 【1】ウイルスバスター2006の新機能:フィッシング詐欺対策/スパイウェア対策 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ■手口が多様化・巧妙化し、総合的な対策を求められるフィッシング詐欺。 ウイルスバスター2006では、新たに「フィッシング詐欺対策」機能を搭載 しました。 http://www.trendmicro.co.jp/consumer/products/vb/goodnews/security/phishing/ ★フィッシング詐欺とは? 金融機関やショッピングサイトなどを装ったメールを送り、そこにリンクを 貼り付けてニセのサイトに誘い出し、クレジットカード番号やパスワード などをだまし取るという詐欺行為です。 http://www.trendmicro.com/jp/support/vbc/monthly/sclass/backnumber/sclass0502.htm
まず第一に機能の宣伝 (だけ) ですか……。 ここで solutionId=12478 に触れるという手段もあったと思うのだが。
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ 【7】ウイルスバスター よくあるご質問(製品Q&A) ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ トレンドマイクロでは、製品に関する情報や、トラブル発生時に参考となる 情報、ウイルスバスタークラブセンターに多く寄せられるお問い合わせを 「製品Q&A」として公開しています。情報は常に更新されています。 最近追加された製品Q&Aの中から、特にお問い合わせの多いものをご紹介 します。 ◆手動スパイウェア検索にて手動検索実行後、「次回から放置」を設定した 場合に、元の設定に戻すには http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12470 ◆[URLフィルタ]ならびに[フィッシング対策ツールバー]によってトレンド マイクロへ送信される情報と扱いについて http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12478
これでは、ふつうのユーザは見逃してしまうだろう。 せっかくきちんと告知するチャンスだったのに。 solutionId=12478 を独立させて大項目にすれば、多くの人に気づいてもらえるはずなのになあ。
閲覧しているページのURLを送信するツールバー類のリスクとその機能説明 (高木浩光@自宅の日記, 2006.02.05) のうしろの方に、関連情報がある。 ウイルスバスター 2006 に、いつのまにか、記述が少し追加されたようだ。 しかしこれでは、販売当初から使っている人には伝わらないし……。
ウイルスバスター2007 ファースト・インプレッション (MYCOM ジャーナル, 2006.09.02)。ウイルスバスター2007 では、きちんと説明されるようになっているようです。
JVN#25106961: Kent Web PostMail におけるメール第三者中継の脆弱性 (JVN) の件だが、匿名希望さん (情報ありがとうございます) によると、 2.x なども含む 3.1 以前には、開発元が 3.3 で対応したものとは別の欠陥があるそうだ。 PostMail のページでは Ver: 2.41 【旧版】が配布されているが、これは使わず、最新の 3.3 を使うのがよい模様。 JVN では確かに「影響を受けるシステム - Kent Web PostMail 3.2 及びそれ以前」となっているが、そういうことだったのか。
関連記事:
「穴」を広げるSONY BMGのXCPアンインストーラ (ITmedia, 2005.11.16)。アンインストーラは ActiveX コントロール (CodeSupport.ocx) として実装されており、アンインストール後も居座る。ところが、この ActiveX コントロール自身に欠陥があり、remote からの任意のコードの実行を許してしまう模様。
[SA17610] Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability (Secunia)
ソニーBMGの「rootkit」CD修正用プログラム、さっそく攻撃の的に (CNET, 2005.11.17)
SONY BMGのXCP削除ツール、批判受け配布中止 (ITmedia, 2005.11.16)
ソニーBMG社CD:感染は50万以上のネットワークに? (WIRED NEWS, 2005.11.16)
XCP「rootkit」組み込みマシン、日本は最多の21万台?——専門家が指摘 (ITmedia, 2005.11.16)
SONY BMG、XCP付きCDを交換へ (ITmedia, 2005.11.16)
SONY BMG、コピー防止ソフト「XCP」入りの音楽CDを交換・回収へ (Internet Watch, 2005.11.16)
元麻布春男の週刊PCホットライン: 続・コピープロテクションCDが招く災い (PC Watch, 2005.11.16)
ワイアード・コラムニスト「ソニー製品ボイコットを」 (WIRED NEWS, 2005.11.14)
Sony BMG のバンドルソフトウェアに存在する脆弱点 (ISSKK, 2005.11.15)
SecurityRisk.First4DRM (シマンテック)。駆除ツールあります。
SONY BMGが加速した、セキュリティベンダーのrootkit対策 (ITmedia, 2005.11.17)。Kaspersky 6 にも rootkit 検出技術が塔載されるそうで。 F-Secure や Kaspersky といった中堅ベンダーが rootkit 検出技術を実装する一方で、大手 3 社からはまだ何も聞こえてきませんね……。
》 MD4 / MD5 Collision Generators (Stach & Liu) だそうです。 1.6GHz Pentium 4 で 45 分 (MD5) / 5 秒 (MD4) でよいそうです。
最近再び脚光を浴びつつある (?) UNICODE バグに関する、佐名木さんのまとめ。 こういうのは見逃されやすいと思うので注意が必要。一読しておきましょう。
》 [connect24h:10029] ■第4回セキュリティもみじセミナー 告知文。 2005.12.03、広島県広島市、一般2500円。
》 ウイルスバスター2006: IPv6環境での動作について (トレンドマイクロ, 11/14)
ウイルスバスター2006 のパーソナルファイアウォール機能は、IPv6 環境に対応しています。
IPv6 に対応したアンチウイルス・パーソナルファイアウォールの一覧ってどこかにないかなあ。ウイルス定義ファイルの更新が IPv4 でしかできないとか、そういう話も世の中にはあるっぽいのだけど。
》 バイオメトリクスと連携するICカード (日経 IT Pro, 11/14)
関連記事:
Sony DRM Rootkit (Microsoft Anti-Malware Engineering Team, November 12, 2005 11:56 AM)
We use a set of objective criteria for both Windows Defender and the Malicious Software Removal Tool to determine what software will be classified for detection and removal by our anti-malware technology.
Windows Defender (旧名 Microsoft AntiSpyware) と、 来月版の悪意のあるソフトウェアの削除ツール (Microsoft) の削除対象となったそうです。
SONY BMG 一部コピーコントロール CD に Macintosh 対応 DRM 組込みの可能性 (Macintosh トラブルニュース, 2005.11.13)
Macintosh についても,Sunncomm 社製の Macintosh 対応プログラムが組み込まれていることが分かった.
「Start.app」アプリケーションを実行すると,カーネル機能拡張に,「PhoenixNub1.kext」と「PhoenixNub12.kext」を組み込んでくる.
Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反? (武田圭史, 2005.11.14)。オォゥ。
》 フィッシング詐欺に失敗、スパイウエアに手口変更 (asahi.com, 11/12)
》 日本の WEB 改ざん状況 を見ていて知ったのですが、 国立感染症研究所の健康栄養学情報探索サイト とか 京都新聞社の京菓子小町 とかもヤラれていたんですね。
》 トラブル報告: WinFixer2005 ポップアップ表示について (システム管理な雑記, 11/8)、 ポップアップの件、報告 (てくてく糸巻き, 11/11)。スパイウェアはどこから入ってくるかわかりませんね。itochan さん情報ありがとうございます。
》 関電美浜原発復旧で配管ミス、部品番号削る 三菱重工 (asahi.com, 11/10)
復旧工事を請け負った三菱重工業高砂製作所(兵庫県高砂市)で今年2月、配管を仮接続していた作業員が、同じ形状、材質で製造番号の異なる配管を誤って接続した。上司は「(取り違えた配管を)直すように」と指示を出したが、作業員は「刻印を直す」ととらえ、刻印された製造番号をやすりで削り、つじつまが合うように番号を打ち直していた、という。
企業風土としか言いようがないよなあ。
》 インフルエンザ薬:タミフルで異常行動死 少年2人 (毎日, 11/12)。 タミフルってそんな危険な薬だったのか。 もちろん、ほとんどの場合には問題ないのだろうが、……。
インフルエンザ薬:タミフル問題、学会でも論議 (毎日, 11/12):
愛知県の医師は、タミフルの年間販売量のうち、日本が世界の8割以上を占めている現状から「日本だけがタミフルを多用している現状はおかしい」と発言した。
タミフルに安易に頼りすぎているってことなのかなあ。
関連記事:
Sony to stop making "rootkit" CDs (securityfocus, 2005.11.11)
「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止 (ITmedia, 2005.11.12)
SONY BMG製CCCDにLAMEのソースコードを盗用した疑い (slashdot.jp, 2005.11.12)
ソニーBMG製CDの「rootkit」、ウイルス対策企業が検出ツールをリリース (CNET, 2005.11.10)
Computer Associatesによると、ソニーのソフトウェアは、インストールされると自身をデフォルトのメディアプレーヤにしてしまい、ユーザーのインターネットアドレスを通知し、そのコンピュータ上で再生されているCDを特定する。さらに、意図的かどうかは不明だが、そのコンピュータでは、コピープロテクトされていないCDを「リッピング」する場合、きれいな音質でMP3化できなくなってしまうようだと、同社は語っている。
Computer AssociatesのバイスプレジデントSam Curryは、「事実上、ファイルに擬似ランダムノイズが挿入され、音質が悪くなる。気になるのは、説明がないこと、同意を求めないこと、そして簡単に削除できるツールが用意されていないことだ」と語っている。
マイクロソフト セキュリティ アドバイザリ (910550): Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性 (Microsoft, 2005.11.10)。
》 ファイルにゾーン情報をつけたりする (水無月ばけらのえび日記, 11/10)。右クリックで設定できたりすると便利かなあ。
》 海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など) (IPA ISEC) に「ITシステムのための緊急時対応計画ガイド」が増えました。
》 PacSec/core05 が来週 (11/14〜16) 開催されます。layer9 さん情報ありがとうございます。
今年からトレーニングコース (セキュリティ・マスターズ道場) があるそうなのです。 Snort-users-jp のスレッドを見ても、 道場に入門したい人はけっこういるっぽいのですが、なにしろ16万円ですからねえ……。内容自体はすごくよさそうなのですよね。
……と書いていたら、PacSec 方面からこんなメールが:
「セキュリティー マスターズ 道場」 ※25%引き
この特別プロモーションを利用してのお申込みは、
https://www.pacsec.jp/courses_memo.html?LANG=JAPANESE
にて行なっていただけます。
11月13日(日曜日)迄にお申込みをされる道場の参加者は、更にPacSecコンファレンスの参加費より50%の特別料金にてPacSecコンファレンスのお申込みをしていただけます。
限定期間ではありますが、PacSecの特別割引登録が用意されています。特別割引席は限られており、コースが満席になった場合の特別割引は不可能となりますので、こちらのアドレスよりの
https://www.pacsec.jp/reg2.html?language=JAPANESE
お早目のご登録をお薦めいたします。
特別割引コード:"SECURITYMEMO"と入力してください。
……だそうです。(^^;;;)
》 【速報】サイボウズのWebサイトが全面停止、不正アクセスの可能性 (日経 IT Pro, 11/10)。現在はある程度復旧しているようです。 弊社サイトへのアクセス障害について (サイボウズ, 11/11) より:
なお、本件は弊社ソフトウエア製品とは無関係であり、引き続きご利用いただいても問題はございません。
【続報】サイボウズのWebサイト停止、原因はrootkitによる攻撃 (日経 IT Pro, 11/11)。rootkit は結果であって原因ではないと思うのですが……。rootkit がインストールされた「原因」はどこに?
》 TOMOYO Linux が遂に公開されました (おめでとうございます)。TOMOYO Linux については、 はてなキーワードはなんだかあれになってるっぽいので、 使いこなせて安全なLinuxを目指して や TOMOYO Linuxへの道 -使いこなせて安全なLinuxを目指して- を参照。SELinux に挫折した人にも使えるんじゃないかな。 from README.ccs:
This project was very inspired by the comic "Card Captor SAKURA", one of the CLAMP's masterworks.
The names SAKURA and TOMOYO and SYAORAN were borrowed from the comic with the heartfelt thanks to CLAMP.
そうだったのか…… (^^;)。
はてなキーワードですが、http://d.hatena.ne.jp/keyworddiary/TOMOYO%20Linux#keyword を参照するとよいそうです。匿名希望さん情報ありがとうございます。
関連: NTTデータが独自開発オープンソース・セキュアOS「TOMOYO Linux」を公開,ポリシーの自動学習機能を備える (日経 IT Pro, 11/11)
》 SIMを上手に使いこなす[後編] 不審な通信や無許可ホストを見逃さない (@IT, 11/11)
》 [速報]iPod課金問題、2007年まで見送りへ (CNET, 11/11)
》 携帯電話の紛失時、情報流出が心配なのは「送受信のメール内容」 (CNET, 11/10)
紛失した携帯電話のデータを通信事業者経由で消去するサービスについて、「今後登録したい」が11.9%、「今後登録を検討したい」が57.5%と約7割が前向きだが、その一方で「すでに利用している」と答えたのはわずか1%と、情報流出を不安に思いながらも万全な対策をとっているユーザーはそれほど多くないという結果が出た。
》 「数千台の感染PCで100万ドルの利益」 - Eugene Kaspersky氏が講演 (MYCOM PC WEB, 11/10)
》 山田祥平のRe:config.sys - CD-ROMとCD-Rを見分けるリテラシー (PC Watch, 11/11)
郵送で届くCD-ROMやCD-Rよりも、確かなURLからダウンロードしたプログラムの方がずっと安全であることを世の中に知らしめて欲しいものだ。
その「確かなURL」も、たとえば hosts ファイルの改変や DNS キャッシュ汚染などの手法でだまされることがあるわけですから、当該プログラムにはコードサイニング証明書を使った電子署名をつけてほしいなあ。
》 「ITは内部統制に不可欠な要素」、金融庁が日本版SOX法の修正案作成 (日経 IT Pro, 11/10)
JVN#79314822: Tomcat におけるリクエスト処理に関する脆弱性 (JVN)。Tomcat 4.1.31 以前 + AJP 1.3 Connector 話。 もはやメンテナンスされていないが、IPA が patch を書いて配布している。
JVN#25106961: Kent Web PostMail におけるメール第三者中継の脆弱性 (JVN)。 Kent Web PostMail 3.1〜3.2 は spam 発射台になってしまう模様。 3.3 で修正されている。
JVNVU#102014: TCP プロトコルに Optimistic TCP acknowledgements による DoS が可能な脆弱性 (JVN)。 仕様話なので、広く影響するみたい。 古河電工のアドバイザリに詳しく説明されている。
[SA17226] Linux Kernel Console Keyboard Mapping Shell Command Injection。 2.4.32-rc2 / 2.6.14-git12 で修正されているそうだ。
Tikiwiki ねた
どちらも Tikiwiki 1.9.1 で修正されている。最新は 1.9.2。
JVN#25106961: Kent Web PostMail におけるメール第三者中継の脆弱性 (JVN) の件だが、匿名希望さん (情報ありがとうございます) によると、 2.x なども含む 3.1 以前には別の欠陥があるそうだ。 PostMail のページでは Ver: 2.41 【旧版】が配布されているが、これは使わず、最新の 3.3 を使うのがよい模様。 JVN では確かに「影響を受けるシステム - Kent Web PostMail 3.2 及びそれ以前」となっているが、そういうことだったのか。
RealPlayer 8 / 10 / 10.5, RealOne Player v1 / v2, RealPlayer Enterprise, Helix Player に欠陥。
RealPlayerデータパケットスタックオーバーフロー (eEye / SCS)。
攻略 .rm ファイルによって任意のコードを実行可能。 CVE: CAN-2005-2629
RealPlayer圧縮されたスキンファイルバッファオーバーフローII (eEye / SCS)。
攻略スキンファイルによって任意のコードを実行可能。 CVE: CAN-2005-2630
RealPlayer 10.5 / Mac OS X 用 RealPlayer 10 / Linux 用 RealPlayer 10 / Linux 用 Helix Player / RealPlayer Enterprise については修正版が用意されているようだ。その他のバージョンについては、最新版の RealPlayer に移行する必要があるようだ。
関連記事:
マルウェアまとめ:
関連記事:
》 [AML 4449] FW: イラクでの米軍による化学兵器使用を証明するドキュメンタリー、 [AML 4462] ファルージャの化学兵器。
》 Yahoo!オークションの評価メール装う日本語のフィッシングメール (ITmedia, 11/10)
》 個人情報保護法への「過剰反応」が被害者救済の壁に〜国民生活センター (Internet Watch, 11/10)。まあ、容易に予想でき4た状況ではあるのだが。
》 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)に関する意見の募集 (内閣官房情報セキュリティセンター, 10/17)。締切は 11/11 (って明日じゃん)。 匿名希望さん情報ありがとうございます (紹介が遅くてすいません)。
》 ウイルス定義(DAT)ファイル4623でのウイルス誤認について (マカフィー)
》 仏検察、暴動を扇動した疑いでブロガー数人を逮捕 (WIRED NEWS, 11/10)
》 MSのディレクタが語る,企業向けセキュリティ製品の全容 (日経 IT Pro, 11/3)
》 知的財産戦略本部 コンテンツ専門調査会 デジタルコンテンツ・ワーキンググループにおける意見募集 (首相官邸, 11/2)。11/15 まで。
》 アップル、Intel Mac用に「改ざんに強いコード」を計画 (CNET, 11/10)
》 テレビゲームで集中力増進--米で始まった「逆バリ」療法 (CNET, 11/10)
関連記事:
SONY BMG、DRMソフトのrootkit問題で新パッチ、批判は収まらず (ITmedia, 2005.11.09)
「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」とSONY BMGのグローバルデジタルビジネス担当社長トーマス・ヘス氏は4日、National Public Radio(NPR)の取材に対して語った。
火に油を注いでいるようにしか聞こえないのだが、何が問題とされているのか、この人は理解しているのだろうか……。
SONY BMGは、まずCDにrootkit機能を搭載してしくじり、このプログラムに対する批判への対応で傷口を広げたと、CAのeTrust Security Management担当副社長サム・カリー氏は語る。
「いい加減に目を覚ましてもらいたい。SONY BMGは個人ユーザーと企業ユーザーの権利に対する理解が一貫して欠けている」(同氏)
SONY の中の人には聞こえているのだろうか。
SONY BMG、rootkit的DRMめぐり訴えられる (ITmedia, 2005.11.10)
ついに、SONY rootkit を利用するマルウェアが登場したようです。
2005.11.10 10:45 AM 現在、まだ直ってないですね…… orz。 関連:
マイクロソフトによると,11月9日公開された (中略) パッチは,公開と同時に同社サーバーへ置かれたものの,新しいパッチがあることをSUSに知らせる情報などに問題があったために,SUSが新しいパッチをダウンロードできない状況が続いているという。
2005.11.10 21:00 現在、まだ直ってないですね…… orz。
に関する説明が必要だよなあ。いや、直ってからでいいけど。
2005.11.10 21:55、ついに直ったようです。SUS で patch が流れてきています。(^^)
[Full-disclosure] Multiple security issues in TikiWiki 1.9.x。 修正版はまだないようです。
TikiWiki って日本では使われてるのかなあと思ってぐぐってみたら、 こんなページをみつけました。
SYM05-023: VERITAS Cluster Server for UNIX :ローカル・アクセスにバッファ・オーバーフローの脆弱性 (シマンテック)
[SA17226] Linux Kernel Console Keyboard Mapping Shell Command Injection。 2.6.14-git12 で直っているそうです。
[SA17484] IBM Tivoli Directory Server Unspecified Security Bypass Vulnerability。 patch があるそうです。
Windows 2000 / XP / Server 2003 に 3 つの欠陥。
Graphics Rendering Engine の脆弱性 - CAN-2005-2123
対象: Windows 2000 / XP / Server 2003
GDI32.DLL における Windows メタファイル (WMF) および拡張メタファイル (EMF) 形式画像のレンダリング処理に buffer overflow する欠陥があり、攻略 WMF / EMF ファイルによって任意のコードを実行可能。 詳細: Windowsメタファイル SetPaletteエントリヒープオーバーフロー脆弱性 (画像描画エンジン脆弱性) (eEye / SCS)。
Windows メタファイルの脆弱性 - CAN-2005-2124
対象: Windows 2000 / XP SP 1 / Server 2003 gold。 Windows XP SP2 / Server 2003 SP1 にはこの欠陥はない。
GDI32.DLL における Windows メタファイル (WMF) 形式画像のレンダリング処理に buffer overflow する欠陥があり、攻略 WMF ファイルによって任意のコードを実行可能。 詳細: Windowsメタファイル複数のヒープオーバーフロー脆弱性 (eEye / SCS)。
拡張メタファイルの脆弱性 - CAN-2005-0803。
対象: Windows 2000 / XP SP 1 / Server 2003 gold。 Windows XP SP2 / Server 2003 SP1 にはこの欠陥はない。
いろいろ (2005.03.19) の Windows 2000 GDI32.DLL GetEnhMetaFilePaletteEntries() API specially crafted EMF file DOS vulnerability の話。攻略 EMF ファイルによって DoS が発生する。
修正プログラムがあるので適用すればよい。ただし SUS では今だに配布されていないようなので注意。関連:
Problems with Bloodhound.Exploit.45 pattern in Symantec AV (SANS ISC, 2005.11.09)。 Bloodhound.Exploit.45 が EMF ファイルに対して誤検出を起こすみたい。 回避するには、EMF ファイルを検査対象から外せばよい。
Exploit-MS05-053 (マカフィー)
TROJ_EMFSPLOIT.A (トレンドマイクロ)
》 パソコンの守るための 3 つの手順 リニューアル (Microsoft) だそうです。
》 「Interop Tokyo 2005」の主催者、会場で個人情報入りサーバー紛失 (Internet Watch, 11/9)。 撤収作業時は混乱するからなあ……。
》 SIMを上手に使いこなす[前編] 業務中にSkypeやIMを使っているのは誰だ? (@IT, 11/8)
》 第4回重要インフラ専門委員会 (2005.11.01) (内閣官房情報セキュリティセンター) の資料が公開されています。
》 オープンソースSPAM対策ソフト「SMTPGuard」をVAリナックスが公開 (日経 IT Pro, 11/8)。 from smtpguard_design.txt:
● 本機能の目的
SMTPセッション中に得られる情報をもとに、あらかじめ定められたルールによってポイントの計算を行い、qmail-smtpd が受信拒否などの適切なアクションを行うことを可能とする。
》 「セキュアなアプリはこう作る」、シマンテックがコンサル・サービス開始 (日経 IT Pro, 11/8)。そんなことしている暇があったら、Veritas 方面もなんとかしてください。
》 フランス、非常事態宣言 自治体の権限強化開始 (CNN, 11/9)。これで当面収まったとしても、根本原因がいきなり解決するわけでもなし……。
》 活動実績(セキュリティ部会) (Linux コンソーシアム, 10/19)。「セキュアOS評価項目Ver1.0」 「セキュアOS評価例」が公開されているそうです。才所さん情報ありがとうございます。(紹介が遅くてすいません)
》 Oracle DBMS_ASSERT and the October 2005 CPU (NGSSoftware)
》 Windows XP 知らないと怖い「プロの常識」(全4回) (日経 IT Pro)
》 ウィニー公判:金子被告 自白書面は「検事の作文」と反論 (毎日, 11/9)
》 クラゲ被害拡大、ハタハタやサケの水揚げ激減? (読売, 11/9)。関連:
》 セキュリティの大御所が集まり、代替暗号法を話し合う (japan.linux.com, 11/8)
》 「大音響兵器」で海賊撃退、ソマリア沖で米豪華客船 (CNN, 11/8)、海賊に襲われたクルーズ船が非殺傷兵器で応戦 (slashdot.jp, 11/9)。 American Technology の web ページを見ると、 LRAD は 政府・軍用に含まれていて、民生品として出ているのは Medium Range Acoustic Device (MRAD) のようです。 関連:
》 IIJ ネットワーク環境で選べる検疫ソリューションを提供 (毎日, 11/7)。個人向けじゃないのか。 from ネットワークのセキュリティ管理を自動的に実施:IIJ検疫ネットワークソリューション (IIJ)。
タイプAでは、(株)ソリトンシステムズ社製のゲートウェイ型アプライアンス製品 = Net'Attest Security Filter を利用し、(中略)
タイプBでは、(株)ネットケアと協同開発した"IIJ独自の検疫システム"を利用し、「認証DHCPによるネットワーク制御」を提供。
SUS にはなぜか KB896424 (MS05-053) patch が流れてきていないようです。 何度同期をかけても「Software Update Services は最新の状態です。同期中に変更する必要はありません。」と言われてしまいます (匿名希望さん情報ありがとうございます)。♪なんでだろ〜
WSUS には問題なく流れてきていることを確認しています。うーむむむ……。
……この件ですが、信頼できる筋からの情報によると、Microsoft でも状況を把握しており、現在対応作業中のようです。 (信頼できる筋の方、情報ありがとうございます)
2005.11.10 10:45 AM 現在、まだ直ってないですね…… orz。 関連:
マイクロソフトによると,11月9日公開された (中略) パッチは,公開と同時に同社サーバーへ置かれたものの,新しいパッチがあることをSUSに知らせる情報などに問題があったために,SUSが新しいパッチをダウンロードできない状況が続いているという。
2005.11.10 21:00 現在、まだ直ってないですね…… orz。
に関する説明が必要だよなあ。いや、直ってからでいいけど。
2005.11.10 21:55、ついに直ったようです。SUS で patch が流れてきています。(^^)
関連記事:
セキュリティ関係:
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)
対象: Windows 2000 / XP / Server 2003
悪意のあるソフトウェアの削除ツール 2005.11 版
「セキュリティ以外の優先度の高い 2 つの更新プログラム」はこれか?
Office 2003 の アップデート (Microsoft) を見ると、 「Microsoft IME 2003 最新語辞書更新 2005 年 11 月版」 とか 「Content Management Server 2002 Service Pack 2」 とかも出てますね。
あと、.NET Framework 2.0 とか WMDRM 対応 Media Player 用の更新プログラム (KB891122) も出ているようですね。
関連記事:
VERITAS NetBackup 5.0 / 5.1 に欠陥。 NetBackup 5.0 / 5.1 の volume manager daemon (vmd) に buffer overflow する欠陥があり、 任意のコードを実行可能。NetBackup 4.5 / 6.0 にこの欠陥はない。
NetBackup 5.0 / 5.1 用の次期 Maintenance Pack (MP) (5.0 MP6 / 5.1 MP4) ではこの欠陥は修正されている。また最新の MP (5.0 MP5 / 5.1 MP3A) 用の Cumulative Security Pack (NB_50_5S2 / NB_51_3AS2) でも修正されている。
……日本語版出ました: SYM05-024: VERITAS NetBackup 5.x : Volume Manager Daemon が使用する共有ライブラリにバッファ・オーバーフローの脆弱性 (シマンテック)。
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? (@IT, 2005.11.09)。Mark Russinovich 氏による Sony, Rootkits and Digital Rights Management Gone Too Far (Mark's Sysinternals Blog, 2005.10.31) の翻訳版。
Oracle 8.1.7.4 に対して Critical Patch Update - October 2005 を適用しても、インストールスクリプトの不備のために、Oracle Text (CTXSYS) コンポーネントに対してうまく patch があたらない、という話がある模様。
Sylpheed 0.6.4 以降に欠陥。 LDIFファイルをインポートする際に buffer overflow が発生する。 山崎さん情報ありがとうございます。
Sylpheed 2.0.4, 2.1.6, 1.0.6 において修正されている。 関連:
》 [AML 4427] フランス郊外の騒動。コリン・コバヤシ氏による分析。
》 講演資料 (NetAgent) で、「調査技術ゼミ」の資料が公開されています。また伊原さんの blog に資料の解説があります。
》 Windows rootkits in 2005, part one (securityfocus)。
》 実用 Apache 2.0運用・管理術: 第5回 Poundで作るロードバランサとSSLラッパ (@IT, 11/8)
》 2005 年秋のSELinux勉強会 発表資料公開 (selinux.gr.jp)
》 [AML 4388] イラク:クリスチャン平和構築チームからの要請
ここ数カ月、CPTは、新たに設置されたイラク治安部隊による拘留、殺人、拷問の報告をますます多く受け取るようになっています。この治安部隊は、米軍から訓練を受け、現在イラクの「治安」を任されています。拷問を生き延びた人々や拷問犠牲者の家族たちが語るところでは、拷問の手段として、ケーブルで殴る、電気ショック、電気ドリル、食べ物や睡眠の剥奪、足を殴る、無理な姿勢を取らせ続ける、天井から吊り下げるなどです。CPTは、イラク軍とイラク警察および「オオカミ旅団」や「サソリ旅団」といった新たな突撃隊が特定のコミュニティを標的としているという直接の目撃証言を受け取っています。標的とされているコミュニティは、イラクのスンニ派地域や、イラクで生まれたパレスチナ人が暮らしている地域などです。
》 日本語エラー・メッセージに対応する英語表記を調べる (@IT, 11/5)。どこかに web インターフェイスとかないんですかね。
》 [AML 4424] [Fwd: 木津上人状況]。 警察って本当にすばらしいですね。いやはや。
》 Windows XP 知らないと怖い「プロの常識」(第1回):スパイウエアは管理者権限がなくても忍び込む (日経 IT Pro, 11/7)
》 東証システム障害の真相、富士通の指示ミスでプログラムが呼び出し不能に (日経 IT Pro, 11/7)
【続々報】名証のシステム障害、バックアップで復旧するも原因究明はこれから (日経 IT Pro, 11/4)
》 重要インフラ運営企業に未公開の脆弱性対策情報の提供も〜JPCERT/CC (Internet Watch, 11/7)
2005年9月から正式に開始したという「早期警戒」事業では、重要なシステムを運用している管理者に対して「脅威度の高い未公開の脆弱性情報に関する既知の回避策がある場合、条件によっては共有する」ほか、大規模な範囲を対象とした攻撃予告や一般に公開された脆弱性情報に関する注意喚起と対策情報の共有を目的としている。
ふぅん……。
》 国産キムチ16の製品から寄生虫の卵が検出 (東亜日報, 11/4)。韓国産 502 品目中 16 品目から検出だそうで。 原材料である白菜からも、165 件中 8 件から検出だそうで。 韓国の食品医薬品安全庁がそう言っているのだから間違いない模様。
関連記事:
SONY BMGのrootkit問題対策パッチに新たな問題 (slashdot.jp, 2005.11.07)
SONY BMGのコピー防止CD問題に新たな指摘 (ITmedia, 2005.11.07)
Winternals Softwareのチーフソフトウェアアーキテクト、マーク・ルシノビッチ氏 (中略) によると、SONY BMGのパッチの設計上のミスにより、理論上、このパッチをインストールした時にコンピュータがクラッシュする可能性がある。クラッシュが起きる危険性は低いが、この問題はSONY BMGの評判をさらに損なうものだと同氏は言う。
SONY BMGのrootkit的手法、集団訴訟の可能性 (ITmedia, 2005.11.08)
イタリアのプライバシー保護団体であるElectronic Frontiers Italy(ALCEI)は11月4日、SONY BMGがイタリア国内において「違法行為」を犯したとして、同社が消費者のコンピュータに秘密裏にソフトウェアを侵入させていることに対する刑事告発を求める文書を当局に提出した。
Macromedia Player Licensing (macromedia.com) でライセンスを取得すると、イントラネット等に再配布できる MSI 形式の Flash Player などを入手できます。(info from Handler's Diary November 8th 2005)
伊原さんから (情報ありがとうございます):
Mycom が Unicode 制御文字と勘違いして、タイトルの付け方を間違えているのはさておき、"考案者”な Hasegawa さんが解説されていますので下記 URL を付記していただくとわかりやすいのではないかと思いご一報です。
http://d.hatena.ne.jp/hasegawayosuke/20051108#1131410804
OLE2 unpacker で DoS になる欠陥 CAN-2005-3239 も修正されているそうです。ただし、ClamAV のデフォルト設定ではこの欠陥は発現しないそうです。
[Full-disclosure] Advisory 21/2005: Multiple vulnerabilities in PHPKIT
Cisco:
関連: Cisco IOSにセキュリティ・ホール,「Black Hat」で公表されたホールに関連 (日経 IT Pro, 2005.11.04)
NetBSD:
[SA17416] Apache Tomcat Directory Listing Denial of Service。 5.5.0〜5.5.11 で影響があり、5.5.12 では部分的に改善されているそうだ。
[SA17384] Linux Kernel Potential Buffer Overflow Vulnerabilities。 2.6.14-git4 で修正されているそうです。
[SA17370] Ethereal IRC Protocol Dissector Denial of Service。 Ethereal 0.10.13 (最新) に IRC 関連の DoS 話があるそうで、 GLSA 200510-25 / Ethereal では修正されているそうな。 CVE: CVE-2005-3313
OpenVPN 2.0.4 でいくつかのセキュリティ修正がされているようです。 最新は 2.0.5。
OpenVPN 2.0 HOWTO 日本語訳 も出ているそうです。谷口さん情報ありがとうございます。
[SA17478] Sun Java JRE Deserialization Denial of Service Vulnerability。
F-Secure
[ TZO-012005 ] F-Prot/Frisk Anti Virus bypass - ZIP Version Header
Work in Progress: FileZilla Server Terminal V0.9.4d Buffer Overflow
lm_sensors 2.9.2 で Program pwmconfig: Fix unsafe temporary file use だそうです。
関連: [SECURITY] Fedora Core 4 Update: lm_sensors-2.9.1-3.FC4.1
》 仏暴動:初めての死者 独、ベルギーにも飛び火 (毎日, 11/7)。ついに死者ですか……。 そのうち戒厳令が出たりするんだろうか。
》 新人工衛星:MTSAT−2公開 ひまわり6号と併用へ (毎日, 11/7)
》 東証のシステム障害、「富士通の作業指示書に誤り」 (asahi.com, 11/7)
》 フジモリ氏、チリ警察が身柄拘束 22の容疑で逮捕命令 (asahi.com, 11/7)
》 Windows Defender 参上! (日本のセキュリティチームの Blog, 11/7)。 What's in a name?? A lot!! Announcing Windows Defender! (Anti-Malware Engineering Team) のコメントには 「なんか Hacker Defender みたいだなあ」というのもあるみたいだけど、そもそも Microsoft Windows AntiSpyware (Beta) のイメージキャラは黒メガネの男だし……。
しかし、まだまだかなり変わるっぽいですねえ。
》 ワンクリック詐欺、容疑のネットジャーナリストら逮捕 (asahi.com, 11/7)。 森一矢氏ですか……。
》 「ワンクリック詐欺の相談が急増,月間100件を超える」---IPA (日経 IT Pro, 11/4)
》 勧告:Mac OS X バージョン 10.4.3 のリリース (ソフォス)。Mac OS 10.4.x で Sophos を使う場合は 10.4.3 にアップデートすると幸せになれるようです。
》 《ESPIO!》 鬼畜AVバッキー追及活動に対する緊急メッセージ、 《ESPIO!》 バッキー被害女性「本人」と面談
次いで筆者が「(被害女性が)告訴しようとしたけれども受理されなかったというのは事実なんですか」と聞くと、坂本巡査部長は「被害届は新宿署のほうで受けていたかもしれない・・・現実問題として係りの人数も限られているのに、100人からいる関係者全員について事件を立件することなどできない。3年かけても、それをやれってことですか。他にも山ほど事件があるんですよ。検事が捜査方針を決めるので我々でどうすることもできない。(「こんなこと言っていいのかなあ」と言いつつ)今後の公判で(バッキーを重く罰するための)情状面で協力してもらうことはあるかもしれない。その際には調書の作成を依頼するかもしれないので待っていてもらいたい」などと、被害女性本人が語るのとほぼ同趣旨の応答をした。
続けて坂本巡査部長は「事件については辛いことだろうが嫌なことは早く忘れてこれからのことを考えたほうがいい」「2ちゃんねる等での個人情報暴露は別途名誉毀損等の犯罪に当たる」などと言い、あらためて被害女性本人に代わるように筆者に促した。
世の中きびしい。
》 NTTドコモ中国,13万件以上の個人情報を収めたハードディスクを紛失 (日経 IT Pro, 11/5)。「支払先の口座情報等が含まれている外付型ハードディスク」って「紛失」するものなのか?
先日の JVN#18282718: Hyper Estraier におけるディレクトリトラバーサル/サービス不能の脆弱性 のような事例はごろごろ転がっているってことなのかな……。
伊原さんから (情報ありがとうございます):
Mycom が Unicode 制御文字と勘違いして、タイトルの付け方を間違えているのはさておき、"考案者”な Hasegawa さんが解説されていますので下記 URL を付記していただくとわかりやすいのではないかと思いご一報です。
http://d.hatena.ne.jp/hasegawayosuke/20051108#1131410804
ClamAV に複数の欠陥。
[Full-disclosure] ZDI-05-002: Clam Antivirus Remote Code Execution
ClamAV 0.80〜0.87 に欠陥。FSV 1.33 で圧縮された実行ファイルを伸張するコードに欠陥があり、メモリ破壊が発生、攻略ファイルによって任意のコードを実行可能。 CVE: CAN-2005-3303
tnef.c の tnef_attachment 関数に欠陥があり、攻略 TNEF ファイルによって無限ループに陥らせることが可能。 指摘者は ClamAV 0.86.1 で確認している。
mspack/cabd.c の cabd_find 関数に欠陥があり、攻略 CAB ファイルによって無限ループに陥らせることが可能。 指摘者は ClamAV 0.86.1 で確認している。
いずれも ClamAV 0.87.1 で修正されている。
OLE2 unpacker で DoS になる欠陥 CAN-2005-3239 も修正されているそうです。ただし、ClamAV のデフォルト設定ではこの欠陥は発現しないそうです。
QuickTime 7.0.2 以前に 4 つの欠陥。
Advisory: Apple QuickTime Player Remote Integer Overflow (1)
QuickTime Player に欠陥。 攻略 MOV ファイルによって remote から任意のコードを実行可能。 CVE: CVE-2005-2753
Advisory: Apple QuickTime Player Remote Integer Overflow (2)
QuickTime Player に欠陥。 攻略 MOV ファイルによって remote から任意のコードを実行可能。 CVE: CVE-2005-2754
Advisory: Apple QuickTime Player Remote Denial Of Service
QuickTime Player に欠陥。 remote から DoS 攻撃を実行可能。 CVE: CVE-2005-2755
Advisory: Apple QuickTime PICT Remote Memory Overwrite
QuickTime PictureViewer に欠陥があり、攻略 PICT ファイルによって remote から任意のコードを実行可能。 CVE: CVE-2005-2756
最新の QuickTime 7.0.3 で修正されている。ダウンロードページから入手できる。
Macromedia Flash Player 6, Flash Player 7 に欠陥。 攻略 swf ファイルによって任意のコードを実行可能。 CVE: CAN-2005-2628。高橋さん情報ありがとうございます。 eEye ではあくまで「Windows 版 Flash Player」の欠陥としているが、 対応する MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability (Macromedia) では、そのような制限事項は記されていないため、他の OS 用についても同様の欠陥が存在すると考えられる。
MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability (Macromedia) によると、
においては、この欠陥は修正されているそうだ。 Flash Player 8 は ダウンロードページから、 Flash Player 7 update は Flash Player upgrade for operating systems that do not support Flash Player 8 から入手できる。 現在利用中の Flash Player のバージョンは http://www.macromedia.com/jp/software/flash/about/ で確認できる。
Macromedia Player Licensing (macromedia.com) でライセンスを取得すると、イントラネット等に再配布できる MSI 形式の Flash Player などを入手できます。(info from Handler's Diary November 8th 2005)
マイクロソフト セキュリティ アドバイザリ (910550): Macromedia Security Bulletin: MPSB05-07 Flash Player 7 の不適切なメモリ アクセスの脆弱性 (Microsoft, 2005.11.10)。
XML-RPC for PHP の欠陥 ([SA15852] XML-RPC for PHP Unspecified PHP Code Execution Vulnerability, CVE: CAN-2005-1921) を使って繁殖するワームが登場した模様。 攻略された事例: [memo:8842] ワームらしきものに襲われました。 XML-RPC for PHP はさまざまな PHP アプリで利用されているので注意が必要。
この欠陥は
XML-RPC for PHP では 1.1.1 で修正されている (最新は 1.2.1)
PEAR XML_RPC では 1.3.1 で修正されている (最新は 1.4.4)
のだが、世の中的には、 XML-RPC for PHP や PEAR XML_RPC の修正としてではなく、各 PHP アプリ自身の修正として対応されている場合が少なくないようなのでややこしい。たとえば上記の攻略された事例 (Debian / eGroupWare) の場合は、 [SECURITY] [DSA 747-1] New egroupware packages fix remote command execution が該当する修正と思われ。 欠陥あり PHP アプリのリストは、 OSVDB ID: 17793 や Bugtraq ID: 14088 が参考になる模様。 Bugtraq ID: 14088 では CAN-2005-2116 も参照されているけれど、これは CVE-2005-1921 と重複しているから使うな、とされている。
手元の web サーバの log を grep してみたら、けっこうきてますね。 errorlog にこんな感じで残ってます:
[Sat Nov 5 12:44:23 2005] [error] [client 61.229.xxx.xxx] File does not exist: /(中略)/xmlrpc.php
》 Exchange Server 2003 Service Pack 2 が出たそうです。
》 勝手に送金する悪質なCD-ROMが再び確認,今度は北陸銀行をかたる (日経 IT Pro, 11/4)。流行ってるのかなあ。
》 Rootkit の話題って目立たないですネ (日本のセキュリティチームの Blog, 11/2)
》 名証、障害原因はデータベースの不具合 (日経 BP, 11/4)。
「詳細な原因は(相場報道システムの)ベンダーである富士通から報告がないので、まだ分からない」(名証)
ここも富士通ですか……。
》 本当に無償で使える「VMware Player」 (Weboo! Returns.)
QEMUに含まれるツールには、VMware用のディスクイメージを作成する機能があります。これでディスクイメージを作ればいいだけじゃないのかと思って、実際に試したところ、あっけないくらい簡単に動いてしまったので、その手順をここに書きます。
なるほど……。
》 Oracle DBを狙うワームが出現,デフォルト・アカウントで侵入を試みる (日経 IT Pro, 11/2)
》 Systems Management Forum 2005 (日経 BP)。 2005.11.16、東京都目黒区、無料 (事前登録制, 先着順)。
》 [健康]文字や数字ばかりの仕事なら1日1枚“絵”を描こう (日経 BP)。絵といえばやっぱり ボブの絵画教室-「Joy of Painting」 (禁断のイラスト上達法) でしょうか……。
》 《 ESPIO! 》北朝鮮からの帰国経緯とテレビ朝日の介在 (11/3)
》 squid-2.5.STABLE12 が出ていたんですね。 Segmentation fault in rfc1738_do_escape が fix されているそうです。
2005.11.09 は Windows が 1 件、最大深刻度は「緊急」、再起動が必要、の予定だそうです。
また、非セキュリティな更新プログラムも複数存在するようです。
関連記事:
》 オラクルDBにもついにワーム出現か?--はじめての概念実証コードが公開に (CNET, 11/2)
》 殺害予告:逮捕の専門学校生、エイベックスも標的に (毎日, 11/1)
》 IEプラグイン特許訴訟、米最高裁が再審請求を棄却——MSの対抗策は? (ITmedia, 11/1)
》 UFJ銀行、隠し撮りは52店舗約5900人の可能性 (ITmedia, 11/1)
》 対策のしおり - ボット対策、スパイウェア対策 - (IPA ISEC)。11/1 付で version 2 になっています。
》 信頼できるOpenPGP公開鍵を提供する公開鍵サーバOpenPKSD Trusted Keyserver (IPA ISEC, 11/1)
》 千葉銀行をかたる悪質なCD-ROM,インストールすると不正送金 (日経 IT Pro, 11/2)。いろいろ考えるなあ。
ウイルスバスター2006のフィッシング詐欺対策ツールバー (星澤裕二メモ, 2005.11.02)
ウイルスバスター2006のフィッシング詐欺対策ツールバーを使用すると、Webサイトにアクセスするたびにトレンドマイクロへ何か情報を送っているようだ、という話を聞いた。早速試してみたところ、たしかにその通りだった。
Groupmax Mail - SMTPサービスが停止する問題 (日立, 2005.10.31)
Groupmax CollaborationおよびCosminexus Collaborationにおけるクロスサイトスクリプティング問題およびDoSの脆弱性 (日立, 2005.10.31)
Kaspersky の対応: patch 準備中。
カスペルスキー製品の、脆弱性に関するアップデートを準備中 (カスペルスキー, 2005.10.31)
Vulnerability in Kaspersky Anti-Virus (Kaspersky, 2005.10.31)
関連記事: セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは (CNET, 2005.11.01)
関連記事 (うえむらさん情報ありがとうございます):
シマンテックから回避策が公開されたようです。
PHP 4.4.0 以下 / PHP 5.0.5 以下に複数の欠陥が発見されています。
Advisory 18/2005: PHP Cross Site Scripting (XSS) Vulnerability in phpinfo() (リスク: 低)
phpinfo() に XSS 欠陥が存在するそうだ。
CVE: CVE-2005-3388
Advisory 19/2005: PHP register_globals Activation Vulnerability in parse_str() (リスク: 低)
parse_str() に欠陥。 parse_str() の内部では register_globals の on/off が行われるが、 大量のリクエストを送られてメモリが埋まってしまうような状態だと、 parse_str() の処理が中断されて register_globals が on のままになってしまう場合がある模様。ただし、parse_str() の引数が 1 つだけの場合に限られるそうだ。
CVE: CVE-2005-3389
Advisory 20/2005: PHP File-Upload $GLOBALS Overwrite Vulnerability (リスク: 致命的)
ファイルアップロード機能に欠陥があり、register_globals=on の場合に、 multipart/form-data POST リクエストによって GLOBALS 配列を上書きできてしまう。 この結果、外部から任意の PHP コードを実行できたり、SQL インジェクションが可能になったりする模様。
CVE: CVE-2005-3390
いずれも PHP 4.4.1 で修正されています。 また PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下) (yohgaki's blog) に、 Advisory 20/2005: PHP File-Upload $GLOBALS Overwrite Vulnerability の PHP 4.3.11 / 5.0.4 / 5.0.5 用の patch が掲載されています (大垣さん情報ありがとうございます)。PHP 5.x 用 patch は CVS からのもの、PHP 4.3.11 用 patch は 4.4.1 からの backport だそうです。
なお、PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下) (yohgaki's blog) によると、
PHP4はPHP4.4.1にアップグレードすれば大丈夫です。PHP4.4.xはソースの埋め込み定数参照の仕様が変更されているためプログラムが動作しなくなることがあります。(念のため)
(中略)
PHP5.0.5にはPHP4.4.0と同様に埋め込み定数参照の仕様が変更されています。PHP 4.3 -> PHP 4.4と同じ互換性問題がPHP 5.0.4 -> PHP 5.0.5で発生します。この為PHP 5.0.4とPHP 5.0.5の両方を用意しました。
だそうです。
関連:
phpBB 2.0.17 以前に複数の欠陥があり、PHP で register_globals=on な場合に、 XSS や SQL インジェクション、任意のコードの実行が可能になるみたい。
phpBB 2.0.18 で修正されているようだ。phpBB の ChangeLog を見てもいまいちよくわからないけど。
》 英語版Xoops本家がまたハッキングされたようです!? (xoopscube.jp, 10/19)。xoops.org クラッキング話。是枝さん情報ありがとうございます。 Re: 英語版Xoops本家がまたハッキングされたようです!? より:
一度目は、使っていないサブドメインのinstallディレクトリからadmin権限を取られてやられたそうです。
二度目は、cache/uploadディレクトリ(かな?)に仕掛けられていたバックドアによってやられたそうです。
一回クラックされたら原因をちゃんと調べるか、分からなかったらバックドアを仕掛けられている可能性があるから、全消去で再インストールっていうのが基本だと思うんですけどねぇ…
》 OpenBSD 3.8 が出たそうです。 OpenBSD 3.8 released November 1, 2005
》 ソリッドアライアンス、世界最小のUSBメモリ (PC Watch, 11/1)。ここまでくると、どこにでも隠せますねえ……。
》 東証でシステム障害、立ち会い停止 (slashdot.jp, 11/1)。うひゃあ。
東証でシステム障害、株取引を全面停止 午後に再開 (asahi.com, 11/1)
ソフトにトラブルか バックアップ体制機能せず 東証 (asahi.com, 11/1)
東証はサーバーの機器が停止した場合、他のサーバーに情報を移すなどのバックアップ体制を整えている。しかし、今回のトラブルは、情報を読み込むためのソフトウエア自体に何らかの障害があった可能性が高く、同じソフトを使うバックアップ体制は機能しないという。
「同じソフト」が単一点障害なわけですね……。先日のトレンドマイクロ方面では「セーフモードでのりきる」「人間が代替する」といった逃げ方ができましたが、東証ではそういうわけにもいかないからなあ。
東証:午後1時30分から再開へ システム障害で (毎日, 11/1)
東証が先月、取引量の増大を受けてシステムを拡張した際にデータを動かし、それを修正しなかったプログラムミスが原因という。
大証は株価情報配信が遅延 東証のシステム障害で (asahi.com, 11/1)
》 mwcollect 3.0 が登場しています。 mwcollect is an easy solution to collect worms and other autonomous spreading malware in a non-native environment like FreeBSD or Linux だそうです。
》 chkrootkit 0.46a が出ています。FreeBSD での reboot 話が修正されているようです。
》 麻生外相の「一民族」発言に抗議文 北海道ウタリ協会 (asahi.com, 10/31)。
》 星澤裕二メモ が nProtect Netizen を追っている。
》 ビデオ出演 (日本のセキュリティチームの Blog, 10/31)。 Microsoft TechNet Japan News ‐ 2005 年 10 月 31 日号 (11 分 28 秒) に奥天師匠が登場。
Sony BMG is currently using a rootkit-based DRM system on some CD records sold in USA. As far as we know, this system has been in use since March 2005. We've made some test purchases for Sony BMG records from Amazon.com and can confirm that they contained this technology.
うひゃあ……。XCP DRM Software だそうです。
関連記事 (うえむらさん情報ありがとうございます):
関連記事:
関連記事:
SONY BMGのrootkit問題対策パッチに新たな問題 (slashdot.jp, 2005.11.07)
SONY BMGのコピー防止CD問題に新たな指摘 (ITmedia, 2005.11.07)
Winternals Softwareのチーフソフトウェアアーキテクト、マーク・ルシノビッチ氏 (中略) によると、SONY BMGのパッチの設計上のミスにより、理論上、このパッチをインストールした時にコンピュータがクラッシュする可能性がある。クラッシュが起きる危険性は低いが、この問題はSONY BMGの評判をさらに損なうものだと同氏は言う。
SONY BMGのrootkit的手法、集団訴訟の可能性 (ITmedia, 2005.11.08)
イタリアのプライバシー保護団体であるElectronic Frontiers Italy(ALCEI)は11月4日、SONY BMGがイタリア国内において「違法行為」を犯したとして、同社が消費者のコンピュータに秘密裏にソフトウェアを侵入させていることに対する刑事告発を求める文書を当局に提出した。
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? (@IT, 2005.11.09)。Mark Russinovich 氏による Sony, Rootkits and Digital Rights Management Gone Too Far (Mark's Sysinternals Blog, 2005.10.31) の翻訳版。
関連記事:
SONY BMG、DRMソフトのrootkit問題で新パッチ、批判は収まらず (ITmedia, 2005.11.09)
「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」とSONY BMGのグローバルデジタルビジネス担当社長トーマス・ヘス氏は4日、National Public Radio(NPR)の取材に対して語った。
火に油を注いでいるようにしか聞こえないのだが、何が問題とされているのか、この人は理解しているのだろうか……。
SONY BMGは、まずCDにrootkit機能を搭載してしくじり、このプログラムに対する批判への対応で傷口を広げたと、CAのeTrust Security Management担当副社長サム・カリー氏は語る。
「いい加減に目を覚ましてもらいたい。SONY BMGは個人ユーザーと企業ユーザーの権利に対する理解が一貫して欠けている」(同氏)
SONY の中の人には聞こえているのだろうか。
SONY BMG、rootkit的DRMめぐり訴えられる (ITmedia, 2005.11.10)
ついに、SONY rootkit を利用するマルウェアが登場したようです。
マルウェアまとめ:
関連記事:
関連記事:
Sony to stop making "rootkit" CDs (securityfocus, 2005.11.11)
「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止 (ITmedia, 2005.11.12)
SONY BMG製CCCDにLAMEのソースコードを盗用した疑い (slashdot.jp, 2005.11.12)
ソニーBMG製CDの「rootkit」、ウイルス対策企業が検出ツールをリリース (CNET, 2005.11.10)
Computer Associatesによると、ソニーのソフトウェアは、インストールされると自身をデフォルトのメディアプレーヤにしてしまい、ユーザーのインターネットアドレスを通知し、そのコンピュータ上で再生されているCDを特定する。さらに、意図的かどうかは不明だが、そのコンピュータでは、コピープロテクトされていないCDを「リッピング」する場合、きれいな音質でMP3化できなくなってしまうようだと、同社は語っている。
Computer AssociatesのバイスプレジデントSam Curryは、「事実上、ファイルに擬似ランダムノイズが挿入され、音質が悪くなる。気になるのは、説明がないこと、同意を求めないこと、そして簡単に削除できるツールが用意されていないことだ」と語っている。
関連記事:
Sony DRM Rootkit (Microsoft Anti-Malware Engineering Team, November 12, 2005 11:56 AM)
We use a set of objective criteria for both Windows Defender and the Malicious Software Removal Tool to determine what software will be classified for detection and removal by our anti-malware technology.
Windows Defender (旧名 Microsoft AntiSpyware) と、 来月版の悪意のあるソフトウェアの削除ツール (Microsoft) の削除対象となったそうです。
SONY BMG 一部コピーコントロール CD に Macintosh 対応 DRM 組込みの可能性 (Macintosh トラブルニュース, 2005.11.13)
Macintosh についても,Sunncomm 社製の Macintosh 対応プログラムが組み込まれていることが分かった.
「Start.app」アプリケーションを実行すると,カーネル機能拡張に,「PhoenixNub1.kext」と「PhoenixNub12.kext」を組み込んでくる.
Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反? (武田圭史, 2005.11.14)。オォゥ。
関連記事:
「穴」を広げるSONY BMGのXCPアンインストーラ (ITmedia, 2005.11.16)。アンインストーラは ActiveX コントロール (CodeSupport.ocx) として実装されており、アンインストール後も居座る。ところが、この ActiveX コントロール自身に欠陥があり、remote からの任意のコードの実行を許してしまう模様。
関連: [SA17610] Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability (Secunia)
SONY BMGのXCP削除ツール、批判受け配布中止 (ITmedia, 2005.11.16)
ソニーBMG社CD:感染は50万以上のネットワークに? (WIRED NEWS, 2005.11.16)
XCP「rootkit」組み込みマシン、日本は最多の21万台?——専門家が指摘 (ITmedia, 2005.11.16)
SONY BMG、XCP付きCDを交換へ (ITmedia, 2005.11.16)
SONY BMG、コピー防止ソフト「XCP」入りの音楽CDを交換・回収へ (Internet Watch, 2005.11.16)
元麻布春男の週刊PCホットライン: 続・コピープロテクションCDが招く災い (PC Watch, 2005.11.16)
ワイアード・コラムニスト「ソニー製品ボイコットを」 (WIRED NEWS, 2005.11.14)
Sony BMG のバンドルソフトウェアに存在する脆弱点 (ISSKK, 2005.11.15)
SecurityRisk.First4DRM (シマンテック)。駆除ツールあります。
SONY BMGが加速した、セキュリティベンダーのrootkit対策 (ITmedia, 2005.11.17)。Kaspersky 6 にも rootkit 検出技術が塔載されるそうで。 F-Secure や Kaspersky といった中堅ベンダーが rootkit 検出技術を実装する一方で、大手 3 社からはまだ何も聞こえてきませんね……。
関連記事:
ソニーCDが明らかにしたセキュリティー業界の本質的問題(上) (WIRED NEWS, 2005.11.18)
ここで本当に眼を向けなければならないのは、われわれのコンピューター利用を支配しようとしている大手メディア企業と、われわれを守ってくれるはずのセキュリティー企業とが、なれ合っているのではないかということだ。
ソニーBMGのアンインストール・ツールを悪用するWebサイトが出現 (日経 IT Pro, 2005.11.18)
関連記事:
コピー防止ソフト「XCP」入りCDは52タイトル、SONY BMGがリスト公表 (Internet Watch, 2005.11.17)
SONY BMGが「XCP」入りCDの交換サービス開始、日本でも「対応を検討中」 (Internet Watch, 2005.11.18)
SONY BMGの「XCP」採用CD、国内でも約5万枚が販売〜SMJIが回収措置を発表 (Internet Watch, 2005.11.21)
元麻布春男の週刊PCホットライン: 交換に追い込まれたコピープロテクションCD問題 〜rootkit入りCDを試す (PC Watch, 2005.11.21)
想定される購入者の年齢層が比較的高いと思われること、いわゆる売れ筋のタイトルがほとんどないことを考えると、一部のCDにXCPを施した今回の施策は、本当に不正コピー、あるいはインターネットによるファイル交換を防止する、実効を期待してのものだったのか、疑問に感じないわけではない。言い換えれば、今回のタイトルは将来の本格展開を踏まえた実験だったのではないか、というのがリストを見ての筆者の率直な感想である。
rootkit入り音楽CD——それでもコピープロテクトはなくならない (ITmedia, 2005.11.21)
SONY BMG、「MediaMax」アンインストーラ問題でさらなる深みへ (ITmedia, 2005.11.21)。泥沼。
関連記事:
米テキサス州,ルートキット型コピー防止付きCDを巡ってソニーBMGを提訴 (日経 IT Pro, 2005.11.22)
電子フロンティア財団もSONY BMG相手取り集団訴訟 (ITmedia, 2005.11.22)
SONY BMGが犯した大きな罪とは? (ITmedia, 2005.11.22)
(なお、News.comの記事では当初、First 4 Internetが今回のrootkitをめぐりSymantecと協力したかのように報じられたが、この件についてはその後、両社はFirst 4 Internetのデジタル画像ソフトウェアをめぐり協力していたという内容に訂正されている。)
Most people don't even know what a t-shirt is (F-Secure blog, 2005.11.22)。 ちなみに音声はこちら: Once more on the Sony rootkit case (F-Secure blog, 2005.11.13)
Disabling an ActiveX (Microsoft Security Response Center Blog, 2005.11.17)。 kill bit をつけるべき CLSID。
関連記事:
Amazon.co.jpがSONY BMGの「XCP」採用CD購入者に全額返金 (Internet Watch, 2005.11.24)
タワーレコードもSONY BMGの「XCP」採用CDの購入者に返金・交換 (Internet Watch, 2005.11.25)
山田祥平のRe:config.sys: そんなパッケージコンテンツなら、私は見ない、私は買わない (PC Watch, 2005.11.25)
元麻布春男の週刊PCホットライン: rootkit入り環境で各種セキュリティソフトを試す (PC Watch, 2005.11.25)。なかなか興味深いです。 アンチウイルス/アンチスパイウェア系のまとまったレビュー記事ってひさしぶりに読んだような気がするし。
エフ・セキュアは、F-Secure Internet Security 2006 の日本語版がまだ出ていないのが敗因なのかな。
それにしても、XCP って邪悪なんだなあ。
関連記事:
F-Secure スレ #510-512 (2ch.net, 2005.11.29)。 元ねた: Sony BMG's Costly Deafness (businessweek.com, 2005.11.29)。
ソニーBMG,“ルートキット”を削除するツールの新版をリリース (日経 IT Pro, 2005.12.05)。今度こそまともなのかな。
関連記事:
SONY BMGが採用したコピー防止ソフト「MediaMax」の修正パッチにも脆弱性 (Internet Watch, 2005.12.09)
MediaMax Bug Found; Patch Issued; Patch Suffers from Same Bug (Freedom to Tinker, 2005.12.07)。 2005.12.09 付で「新しい patch」が提供された話が追記されている。
UPDATE (Dec. 9): Sony and MediaMax have issued a new patch. According to our limited testing, this patch does not suffer from the security problem described above. They have also issued a new uninstaller, which we are still testing. We'll update this entry again when we have more results on the uninstaller.
CDs Containing SunnComm MediaMax Version 5 Content Protection Software (Sony BMG)
MediaMax (Sony製 楽曲付きウィルスCD(RootkitCD)のまとめWiki)。
元麻布春男の週刊PCホットライン: コピープロテクションXCPのアンインストーラを検証 〜rootkit問題ようやく決着? (PC Watch, 2005.12.22)
Sony BMGには、このXCPとは別の、MediaMaxといわれる全く異なったコピープロテクト技術にも問題があることが指摘されており、12月に入ってようやく公式な対応がとられ始めた。現時点でMediaMaxについては、脆弱性を修正するパッチの提供と、MediaMaxの開発元であるSunnCommによるアンインストーラの提供のみで、MediaMaxを含まないCDへの交換は行なわれていない。果してこれで済むのだろうか。
MediaMaxによるコピープロテクションが行なわれたCDのリストを見ると、Alicia Keys、Britney Spears、Chris Brownなど、いわゆる売れ筋のアーチストが多いことに気づく。これらの交換を余儀なくされれば、XCPのタイトル交換とはケタ違いの支出となることが予想される。
テキサス州、SONY BMGの「もう1つのスパイ的DRM」にも訴訟 (ITmedia, 2005.12.22)。MediaMax も追加。
Sony BMG Litigation Info (EFF)
関連記事:
SONY BMGのrootkit CD訴訟、和解を最終承認 (ITmedia, 2006.05.23)
「スパイ的DRM」訴訟でSONY BMGが和解 (ITmedia, 2006.12.20)。カリフォルニア州およびテキサス州と合意、だそうです。
SONY BMG、rootkit問題でFTCと和解へ (ITmedia, 2007.01.31)。FTC と和解だそうです。
「ほとんどの人は、ルートキットが何なのかさえ知らない」 (エフセキュアブログ, 2010.11.01)
sudo 1.6.8p10 で対応されています。最新は sudo 1.6.8p11 です。
特にDebianの関係者からは「JVNで情報が公開されていてもCERT/CCからAdvisoryが出ていない場合に、セキュリティチームから『我々はCERT/CCに連動して動いているので、それ以外には対応できない』と言われてリリースを拒否される場合があるので、せめてJVNとCERT/CCで脆弱性番号は統一して欲しい」との意見があり、これにJPCERT/CC側は「我々も統一に向けて努力はしているが、今のところはCVE番号で対応していただくしかない」と返答していた。
というか、そのための CVE なわけで……。JPCERT/CC は CERT/CC 日本支部ではないので、「JVNとCERT/CCで脆弱性番号は統一」というのはあり得ないと思うけどなあ。 それよりも、「CVE 番号をちゃんとつけてくれ!」「CVE に JVN へのリファレンスがきちんとつくようにしてくれ!」「英語版を用意してくれ!」といった要求の方が現実的だと思うのだけど、そういう要求はその場ではなかったのだろうか。
「既に自分たちのところではCERT/CCと直接情報をやり取りしているので、JPCERT/CCにPoCを登録するとむしろ情報ルートが複数になりかえって混乱する」
同じ話が違うルートから時差つきで入ってきて、それぞれに個別に対応する必要が生じる可能性がありますよね……。CC 同士の連携が不十分ということなのかな。
Mac OS X 10.4.3 が出ています。
セキュリティ修正が含まれています: APPLE-SA-2005-10-31 Mac OS X v10.4.3 (apple)。kernel の修正を除いては、Mac OS X 10.4 特有の欠陥の修正だそうです。
Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability through forged magic byte (securityelf.org) の話。.bat / .htm / .eml ファイル冒頭にちょっとした偽情報をつけるだけで、既存のウイルスが検出されなくなり、しかもウイルス自体はそのまま動くみたい。そのまま動くというその仕様はどうよ > Microsoft、という気もしないではないが……。
対応:
検索エンジン: アラート/アドバイザリ:バイト列挿入によってファイルの種類を偽装化された悪意あるコードの検出回避に備えたセキュリティ対策方法 (トレンドマイクロ)。 VSAPI 7.510以降 + ウイルスパターンファイル 2.915.00以降で検出可能になるそうだ。
Kaspersky の対応: patch 準備中。
カスペルスキー製品の、脆弱性に関するアップデートを準備中 (カスペルスキー, 2005.10.31)
Vulnerability in Kaspersky Anti-Virus (Kaspersky, 2005.10.31)
関連記事: セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは (CNET, 2005.11.01)
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
