セキュリティホール memo - 2005.12

Last modified: Mon Jul 3 13:36:32 2006 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2005.12.30

追記

Windows WMF 0-day exploit in the wild

 関連情報:

  • マイクロソフト セキュリティ アドバイザリ (912840): Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (Microsoft)。 対象となるのは Windows 98 / 98 SE / Me / 2000 / XP / Server 2003。 Windows XP / Server 2003 では以下の回避策を実施できる模様。

    Windows 画像と Fax ビューア (Shimgvw.dll) を登録抹消する(中略)
    1. [スタート] メニューの [ファイル名を指定して実行] に "regsvr32 -u %windir%\system32\shimgvw.dll" (二重引用符は必要ありません) と入力し、次に [OK] をクリックします。
    2. ダイアログ ボックスに、登録を解除するプロセスが正常に完了したことを確認するメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。
    回避策の影響: Windows 画像と Fax ビューア は、ユーザーが Windows 画像と Fax ビューア に関連するイメージの種類へのリンクをクリックしても起動されません。

    この回避策はあらゆる状況に対応できるわけではないようですが、やらないよりはやったほうが随分マシなようです。

  • CVE: CVE-2005-4560
  • JVN: JVNTA05-362A
  • Vulnerability Note VU#181038: Microsoft Windows Metafile handler buffer overflow (cert.org)。Metric は 45.60。
  • WMF exploit signature (bleedingsnort.com)
  • Advisory: Windows Graphics Rendering Engine vulnerability and Exp/WMF-A (Sophos)
  • WMF, day 2 (F-Secure blog, 2005.12.29)。 PFV-Exploit で対応できているそうです。

  • Update on Windows WMF 0-day (SANS ISC, 2005.12.29)

    Working exploit code is widely available, and has also been published by FRSIRT and the Metasploit Framework.

    そこらじゅうにあるようなので注意。さらに、(下線は小島)

    While the original exploit only refered to the Microsoft Picture and Fax Viewer, current information is that any application which automatically displays or renders WMF files is vulnerable to the problem. This includes Google Desktop, if the indexing function finds one of the exploit WMFs on the local hard drive - see the F-Secure Weblog mentioned above for details.

    WMF を扱うアプリは全滅だし、 google desktop で攻略 WMF がひっかかるだけでヤバい模様。

 水野さんから (情報ありがとうございます)

NOD32 の場合、AMON (これは、いわゆるリアルタイムのチェックを行なうモジュールです)のチェック対象に既定では WMF ファイルは含まれないようです。

つまり、NOD32 の場合、ウィルス定義ファイル1.1342 (20051228) でトロイとして検知されるようにはなったものの、これだけでは不十分かもしれないかもしれないと思っています。

今回の脆弱性の嫌らしいところは
 「exploit コードの含まれる WMF ファイルをローカルに保存した状態で、
  そのフォルダの内容を explorer で見ただけで exploit が発動しうる
  模様だ」
という点です。(という個人的な印象を持ちました)。この点については、公開されている 2 つの実証ファイル wmf_exp.wmf と runcalc.wmf で現象を確認しました。発現条件的には、explorer の設定−−特にフォルダ表示設定−−にも依存しそうです。手元の環境では「縮小版」と「並べて表示」の状態ではフォルダの内容を表示しただけで発現するようだという感触を持ちました。(設定が「アイコン」、「一覧」、「詳細」の場合には、とりあえずフォルダを開いただけでは exploit の発動は起きないような感じでした)。

長々と書いてしまいましたが、NOD32 の利用者さんの場合には「NOD32 2.5コントロールセンター」→「モジュール > AMON(常駐保護)」→「設定」の「検出」タブから「検査対象の拡張子リスト > 拡張子」→「追加」と進んでWMF を追加し、AMON によるリアルタイム検査(常駐保護)の対象に含めるようにしておくことが必要ではないかという感じを持ちました。

 他のアンチウイルスプログラムでも同様の事例はあるだろう。注意されたい。 Explorer の設定も見直しましょう。

2005.12.30 追記 (part 2):

 関連情報:

  • WMF, day 3 (F-Secure blog, 2005.12.30)。 shimgvw.dll の登録抹消による回避策は IE や Explorer からの攻略を回避するが、mspaint (ペイント) からの攻略は回避できない、としている。

  • Lotus Notes Vulnerable to WMF 0-Day Exploit (SANS ISC, 2005.12.30)。 shimgvw.dll の登録抹消による回避策を実行しても、Lotus Notes 6.x 以降は脆弱なままだという話。

  • More WMF Signatures (SANS ISC, 2005.12.30)

2005.12.28

Windows WMF 0-day exploit in the wild
(SANS ISC, 2005.12.28)

 Windows XP SP2 に未知の重大な欠陥がある模様。攻略 WMF ファイルを読み込むことで、任意のコードが実行されてしまう実例が報告されている。関連:

 手元の Windows XP SP2 で攻略 WMF ファイルをダウンロードし、ダブルクリックしてみると、マカフィー VSE 8.0i が Explorer における buffer overflow を検出した (画像をクリックすると拡大)。VSE 8.0i えらい。

 アンチウイルス方面の対応:

2005.12.30 追記:

 関連情報:

 水野さんから (情報ありがとうございます)

NOD32 の場合、AMON (これは、いわゆるリアルタイムのチェックを行なうモジュールです)のチェック対象に既定では WMF ファイルは含まれないようです。

つまり、NOD32 の場合、ウィルス定義ファイル1.1342 (20051228) でトロイとして検知されるようにはなったものの、これだけでは不十分かもしれないかもしれないと思っています。

今回の脆弱性の嫌らしいところは
 「exploit コードの含まれる WMF ファイルをローカルに保存した状態で、
  そのフォルダの内容を explorer で見ただけで exploit が発動しうる
  模様だ」
という点です。(という個人的な印象を持ちました)。この点については、公開されている 2 つの実証ファイル wmf_exp.wmf と runcalc.wmf で現象を確認しました。発現条件的には、explorer の設定−−特にフォルダ表示設定−−にも依存しそうです。手元の環境では「縮小版」と「並べて表示」の状態ではフォルダの内容を表示しただけで発現するようだという感触を持ちました。(設定が「アイコン」、「一覧」、「詳細」の場合には、とりあえずフォルダを開いただけでは exploit の発動は起きないような感じでした)。

長々と書いてしまいましたが、NOD32 の利用者さんの場合には「NOD32 2.5コントロールセンター」→「モジュール > AMON(常駐保護)」→「設定」の「検出」タブから「検査対象の拡張子リスト > 拡張子」→「追加」と進んでWMF を追加し、AMON によるリアルタイム検査(常駐保護)の対象に含めるようにしておくことが必要ではないかという感じを持ちました。

 他のアンチウイルスプログラムでも同様の事例はあるだろう。注意されたい。 Explorer の設定も見直しましょう。

2005.12.30 追記 (part 2):

 関連情報:

2006.01.01 追記:

 IDA Pro の Ilfak Guilfanov 氏による hotfix が登場。

 関連情報:

 e-mail な攻撃も行われているそうで:

2006.01.02 追記:

 Targeted WMF email attacks (F-Secure blog, 2006.01.02)。スピア型攻撃もさっそく出ているようで。

2006.01.06 追記:

 MS06-001 として修正プログラムが登場。ただし、Windows 2000 / XP / Server 2003 用のみ。

2006.01.10 追記:

 関連記事:

2006.01.17 追記:

 あいかわらず続いているようで。

2005.12.27

追記

ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか?

 関連記事:

 さて、ウイルスバスタークラブ会員宛に、2005.12.21 付で「ウイルスバスタークラブニュース2005年 12月」が届いた。登録ユーザ宛のニュースレターなのだから、今回のような事案に関する案内にはもってこいのはずだ。だから何が書かれているか (書かれていないか) には興味が湧いた。その中身は…… 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 【1】ウイルスバスター2006の新機能:フィッシング詐欺対策/スパイウェア対策
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■手口が多様化・巧妙化し、総合的な対策を求められるフィッシング詐欺。
 ウイルスバスター2006では、新たに「フィッシング詐欺対策」機能を搭載
 しました。
 http://www.trendmicro.co.jp/consumer/products/vb/goodnews/security/phishing/

 ★フィッシング詐欺とは?
 金融機関やショッピングサイトなどを装ったメールを送り、そこにリンクを
 貼り付けてニセのサイトに誘い出し、クレジットカード番号やパスワード
 などをだまし取るという詐欺行為です。
 http://www.trendmicro.com/jp/support/vbc/monthly/sclass/backnumber/sclass0502.htm

 まず第一に機能の宣伝 (だけ) ですか……。 ここで solutionId=12478 に触れるという手段もあったと思うのだが。 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 【7】ウイルスバスター よくあるご質問(製品Q&A)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 トレンドマイクロでは、製品に関する情報や、トラブル発生時に参考となる
 情報、ウイルスバスタークラブセンターに多く寄せられるお問い合わせを
 「製品Q&A」として公開しています。情報は常に更新されています。
 最近追加された製品Q&Aの中から、特にお問い合わせの多いものをご紹介
 します。

◆手動スパイウェア検索にて手動検索実行後、「次回から放置」を設定した
 場合に、元の設定に戻すには
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12470

◆[URLフィルタ]ならびに[フィッシング対策ツールバー]によってトレンド
 マイクロへ送信される情報と扱いについて
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12478

 これでは、ふつうのユーザは見逃してしまうだろう。 せっかくきちんと告知するチャンスだったのに。 solutionId=12478 を独立させて大項目にすれば、多くの人に気づいてもらえるはずなのになあ。

Symantec Antivirus Library Rem0te Heap Overflows Security Advisory

 ISS が状況を確認したそうです。

2005.12.26

UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
(slashdot.jp, 2005.12.21)

 文字コード変換がらみの話。元ねた: XSS vulnerabilities in Google.com。 web アプリ (web サーバ) 側で出力の文字コードを (charset なり meta タグなりで) きちんと指定しないと、web クライアント側の文字コード自動判定機能によって、思わぬ形で処理された結果、XSS が実現されてしまう場合があるという話。 google の事例では、meta タグを付加することによって解決されたそうだ。

 また、同様の問題は、web クライアント側でユーザが文字コードを手動で変更してしまう場合にも発生する模様。 さらに、google の事例では UTF-7 が問題となっているが、この他に、 UTF-16、UTF-32、ISO-2022-JP、ISO-2022-KR、ISO-2022-CN、HZ でも問題が発生する事例がある模様。参照:

 奥が深いなあ……。

追記

印刷スプーラの脆弱性により、リモートでコードが実行される (896423) (MS05-043)

  【重要】秘文シリーズ Windowsセキュリティパッチ(MS05-043)適用環境における性能問題についてのお知らせ (日立, 2005.12.26)。日本語版秘文については patch が提供されている。

仮想マシン「VMware」にセキュリティ・ホール,実験環境にしているユーザーは要注意
(日経 IT Pro, 2005.12.22)

 この話:

 VMware Workstation, VMware GSX Server, VMware ACE, VMware Player の vmnat.exe / vmnet-natd に欠陥があり、

host OS 上で buffer overflow が発生して任意のコードを実行できてしまう、ということでいいのかな。

 各 VMware プロダクトの最新ダウンロード版で修正されている。

Apple QuickTime 7.0.3 & iTunes 6.0.1 Heap Overflow
(security-protocols.com, 2005.12.20)

 QuickTime 7.0.3 / iTunes 6.0.1 (Mac OS X / Windows) に heap overflow する欠陥があり、攻略 .mov ファイルによって、DoS の他、任意のコードの実行が可能であるという指摘。修正プログラムは存在しない。それ以前のバージョンではどうなのか、については不明。.mov ファイルを QuickTime / iTunes では扱わないことによって回避できる。

2006.01.11 追記:

 QuickTime 7.0.4 で修正された。APPLE-SA-2006-01-10 QuickTime 7.0.4

2005.12.22

追記

Symantec Antivirus Library Rem0te Heap Overflows Security Advisory

 攻略 .rar ファイルを検出するパターン、 Bloodhound.Exploit.55 (symantec) が登録されたそうだ。

 また、 Symantec AntiVirus RAR Archive Decompression Buffer Overflow (Secunia) では、影響を受けるプロダクトとして Symantec AntiVirus Corporate Edition 8.x を含めているが、おおかわさんからの情報 (ありがとうございます) によると

手元の AntiVirus Corporate Edition 8 には、影響を受けるとされる「Dec2Rar.dll」が見当たりません

そうです。

 ……シマンテックから正式情報が出ました:

 主要な製品はほぼ全滅ですが、SAVCE は上記した SAVCE 8 の他 SAVCE 9 も影響なしとなっています。 対応としては、これも上記した Bloodhound.Exploit.55 (symantec) によって検出することが挙げられています。

SUS 1.0 の「更新の許可」

 Microsoft、SUSの問題を修正 (ITmedia, 2005.12.22)、 Script for SUS 1.0 problem released (MSRC blog, 2005.12.20)。スクリプト (Approval Analyzer Tool) は こちらから日本語版 KB912307 からはまだダウンロードできないようだ。

The "Sony rootkit" case

 関連記事:

2005.12.21

追記

Oracle Critical Patch Update - October 2005

 Oracle Critical Patch Update - October 2005 (Oracle) が改訂されて Rev 2 になっているようです。

* Added Database version 10.2.0.1 to Affected Products section and the DB and EM risk matrices.
* Moved Oracle Workflow to Category I and clarified version numbers.
* Added Workflow issues to the Database and Application Server Risk Matrices.
* Removed references to PeopleSoft Enterprise Tools, version 8.1.

[Full-disclosure] iDefense Security Advisory 12.20.05: McAfee Security Center MCINSCTL.DLL ActiveX Control File Overwrite
(Full-disclosure, Wed, 21 Dec 2005 03:11:49 +0900)

 McAfee Security Center に含まれる ActiveX コントロール MCINSCTL.DLL (MCINSTALL.McLog) に欠陥。 任意のドメインからの利用を制限しているはずが、実際には制限できていないため、攻略 web ページなどから悪用され、任意のファイルの作成や任意のコードの実行が可能となってしまう。CVE: CVE-2005-3657

 最近の (自動) アップデートで修正されているそうだ。

2005.12.20

Webサーバー「IIS 5.1」に不正終了させられるセキュリティ・ホール
(日経 IT Pro, 2005.12.20)

 Microsoft IIS Remote DoS .DLL Url exploit (ingehenriksen.blogspot.com) の話。IIS 5.0 / 6.0 にはこの問題はない。 patch はまだない。

Symantec Antivirus Library Rem0te Heap Overflows Security Advisory
(rem0te.com, 2005.12.20)

 Symantec Antivirus Library における .rar アーカイブの扱いに heap overflow する欠陥があり、攻略 .rar ファイルによって任意のコードが実行可能だという指摘。指摘者は Dec2Rar.dll v3.2.14.3 で確認したそうだ。

2005.12.22 追記:

 攻略 .rar ファイルを検出するパターン、Bloodhound.Exploit.55 (symantec) が登録されたそうだ。

 また、 Symantec AntiVirus RAR Archive Decompression Buffer Overflow (Secunia) では、影響を受けるプロダクトとして Symantec AntiVirus Corporate Edition 8.x を含めているが、おおかわさんからの情報 (ありがとうございます) によると

手元の AntiVirus Corporate Edition 8 には、影響を受けるとされる「Dec2Rar.dll」が見当たりません

そうです。

 ……シマンテックから正式情報が出ました:

 主要な製品はほぼ全滅ですが、SAVCE は上記した SAVCE 8 の他 SAVCE 9 も影響なしとなっています。 対応としては、これも上記した Bloodhound.Exploit.55 (symantec) によって検出することが挙げられています。

2005.12.27 追記:

 ISS が状況を確認したそうです。

2006.01.10 追記:

 SYM05-027:脆弱性の存在する製品および影響を受けない製品一覧 (シマンテック) の最新の更新は 2006.01.05 になっています。かなりの製品が対応されました。 SAVCE 10 / SCS 3 については、 SAVCE 10.0.1 MR1MP1、SCS 3.0.1 MR1MP1 の新機能 (シマンテック) の最後にちろっと今回の話が記載されています。 大熊さん情報ありがとうございます。

いろいろ
(various)

[Full-disclosure] Making unidirectional VLAN and PVLAN jumping bidirectional
(Full-disclosure, Tue, 20 Dec 2005 02:27:33 +0900)

 VLAN やプライベート VLAN を越えてパケットを送る方法がある、という話みたい。 Cisco Response。 関連リンク:

2005.12.19

デル社ノート機の日本製バッテリー、発火の恐れ
(WIRED NEWS, 2005.12.19)

 該当する人は交換してもらいましょう。

追記

DSA-870-1 sudo -- missing input sanitising

 sudo 1.6.8p11 では、削除する環境変数のリストに JAVA_TOOL_OPTIONS が追加されたのでした。

 sudo の最新は sudo 1.6.8p12 です。削除する環境変数のリストに、さらに PERLLIB, PERL5LIB, PERL5OPT が追加されています。

2005.12.18

2005.12.16

[Full-disclosure] iDefense Security Advisory 12.14.05: Trend Micro PC-Cillin Internet Security Insecure File Permission Vulnerability
(Full-disclosure ML, Thu, 15 Dec 2005 04:44:55 +0900)

 トレンドマイクロ ウイルスバスター 2005、2006 に欠陥。 インストール時に不適切な ACL が設定されるため、local user なら管理者権限がなくてもウイルスバスターのファイルを改変できてしまう。 これを利用することで、local user は local SYSTEM 権限を奪取できる。 手元のウイルスバスター 2006 を確認してみたら、おもいっきり Everyone: full control だった。

 ウイルスバスター 2005 プログラムバージョン 12.4 で修正されている。 また、適切な ACL を設定するためのアクセス権設定ツールが公開されている。

 これを適用すると、Everyone: full control ではなくなる。でも、制限ユーザに full control って必要なの?

追記

マイクロソフト セキュリティ情報の事前通知

 セキュリティ以外の優先度の高い更新プログラムは、これのことだったようです。

2005.12.15

Apache のサーバーサイドイメージマップ処理モジュールのクロスサイトスクリプティングの脆弱性について
(hoshikuzu | star_dust の書斎, 2005.12.15)

 Apache 1.3.0〜1.3.34, 2.0.35〜2.0.55, 2.2.0 に欠陥。mod_imap / mod_imagemap における referer の扱いに XSS 欠陥があり、cookie の搾取などが可能となる。 mod_imap / mod_imagemap を無効化してある場合は、この欠陥の影響を受けない。

 Apache 1.3.35, 2.0.56, 2.2.1 で修正される予定。1.3.35, 2.0.56, 2.2.1 の開発版では既に修正されている。また ASF Bugzilla Bug 37874: CVE-2005-3352 mod_imap cross-site scripting flaw (apache.org) に 1.3 / 2.0 用の patch が掲載されている。

 関連:

2006.05.10 追記:

 apache 1.3.35 / 2.0.58 が登場しています。この欠陥が修正されています。津田さん情報ありがとうございます。

Windows カーネルの脆弱性により、特権が昇格される (908523) (MS05-055)
(Microsoft, 2005.12.14)

 Windows NT 4.0 / 2000 に欠陥。カーネルにおける Asynchronous Procedure Call の処理に欠陥があり、local user が local SYSTEM 権限を奪取できる。Windows XP / Server 2003 にはこの欠陥はない。 関連:

 Windows 2000 SP4 用の patch が用意されている。

2005.12.14

Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)
(Microsoft, 2005.12.14)

 IE 5.01 / 5.5 / 6 の最新の累積的修正プログラム。 新たに修正されたのは 4 件。

 patch があるので適用すればよい。patch には、上記に加えて、次の機能もあるそうだ:

2006.04.06 追記:

 917460 - MS5-054 Internet Explorer 用の累積的なセキュリティ更新プログラムを適用すると _serach をターゲットにしたページの表示ができない (Microsoft)。この KB って日本語版しかないですか?

SUS 1.0 の「更新の許可」
(日本のセキュリティチームの Blog, 2005.12.14)

 またしても SUS 1.0 SP1 でトラブル。「以前に許可された更新の新しいバージョンを自動的に許可する」を選択している人には関係ありません。 そうでない人には関係があり、KB 912307 に対応方法が記載されています。匿名希望さん情報ありがとうございます。

2005.12.22 追記:

 Microsoft、SUSの問題を修正 (ITmedia, 2005.12.22)、 Script for SUS 1.0 problem released (MSRC blog, 2005.12.20)。スクリプト (Approval Analyzer Tool) は こちらから日本語版 KB912307 からはまだダウンロードできないようだ。

2005.12.13

[SA17963] Opera Bookmark Large Title Denial of Service Weakness
(secunia, 2005.12.13)

 Opera 8.x が

で動いている場合に、長大な <title> のついたページを bookmark に保存すると、起動時にクラッシュする。

 Opera 8.51 で修正されている。JPCERT/CC 経由で報告されているようだが、JVN とかにはまだ掲載されていないようだ。

いろいろ
(various)

2005.12.12

2005.12.11

追記

First Vulnerability for Firefox 1.5 (released version) Announced - PoC available

 Mozilla Foundation から情報が公開されました。 西村さん情報ありがとうございます。

 長くとも数分待っていれば正常に起動し、攻略可能な欠陥でもないとしている。

2005.12.10

追記

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 TTFOXZの日記 で NIS の誤検出の件はまだ直ってないと指摘されていたので、 捨ててしまった NIS 2006 の環境をもういちどつくって試したところ…… こちら でも反応してしまいますね。うーん。2005.12.02 のテスト結果は何だったんだ…… orz。 とりあえず大嘘ついていたみたいですいません。

ド素人でも分かる事だろうに。

 ド素人未満ですいませんねえ。

2005.12.09

マイクロソフト セキュリティ情報の事前通知
(Microsoft, 2005.12.09)

だそうです。

2005.12.16 追記:

 セキュリティ以外の優先度の高い更新プログラムは、これのことだったようです。

2005.12.08

First Vulnerability for Firefox 1.5 (released version) Announced - PoC available
(SANS ISC, 2005.12.08)

 Firefox 1.5 における history.dat の扱いに buffer overflow する欠陥がある模様。SANS ISC では、Firefox 1.5 の履歴保存期間を 0 にすることによって回避できるとしている。 [ツール] メニューの [オプション] を開き、[プライバシー] タブの [表示履歴] を 0 にする、と。

2005.12.11 追記:

 Mozilla Foundation から情報が公開されました。 西村さん情報ありがとうございます。

 長くとも数分待っていれば正常に起動し、攻略可能な欠陥でもないとしている。

2005.12.07

2005.12.06

Practical and Theoretical Research Topics in Information Security
(CORE LABS)

 MD5 ねたのプレゼン資料 (私にはさっぱりわからん orz) と、 CRC16 / CRC32 / MD5 が同一であるような 2 つの異なるバイナリファイルのサンプル、などが公開されています。この例の場合、たとえば SHA1 なら違いがわかります。

[Full-disclosure] Perl format string integer wrap vulnerability
(Full-disclosure ML, Thu, 01 Dec 2005 17:58:36 +0900)

 perl 5.9.2 / 5.8.6 に欠陥。format 文字列操作において integer overflow する欠陥があり、 ia32 プラットホーム上において、format バグを持つ perl プログラムと組みあわさることで remote から任意のコードの実行を許してしまう……ってことでいいのかな。 関連:

fix / patch:

[Full-disclosure] Bug with .php extension?
(Full-disclosure ML, 2005.12.06)

 Apache + PHP な環境で test.php.rar だの test.php.bak だのというファイルをブラウズすると PHP スクリプトとして処理されてしまう、という話。これは実は Apache の仕様の模様。 ファイル名が basename.ext1.ext2 の場合に、

 これを困った問題だとする人もいるようだが、たとえば「PHP スクリプトを編集してできたバックアップファイル (foo.php.bak) をブラウズしたらスクリプトソースが読めてしまったため、センシティブ情報が漏曳した」といった事態を回避できるという意味では、有意義な機能だろう。 もっとも、直感的ではないのは確かだ。

 常にいちばん右側の拡張子に従わせるような設定って、あるんですかね。

追記

The "Sony rootkit" case

 ソニーBMG,“ルートキット”を削除するツールの新版をリリース (日経 IT Pro, 2005.12.05)。今度こそまともなのかな。

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 IEのパッチ未公開セキュリティ・ホールを狙うWebサイトが増加中 (日経 IT Pro, 2005.12.05) だそうです。関連: Hackers exploit unpatched Internet Explorer bug to install malware (Sophos)。

2005.12.05

IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。
(hoshikuzu | star_dust の書斎, 2005.12.04)

 IE 6 (以前?) に欠陥。CSS を @import や addImport で読み込む場合に、内容の検証が不十分なため、JavaScript が書かれたページなど、tako {kani: ika} のような形式で書かれていると読めなくもないページであれば、CSS として読み込めてしまう模様。

 これを利用して、Google Desktop v2 と組みあわせてパスワードを盗み出す PoC コードがこれ: Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information (hacker.co.il) (という理解でいいのかな……) 。Google 自体には既に対抗コードが組み込まれているが、同様の手法でプライバシー情報などを取得できてしまうサイトがあるかもしれない。 というか、star_dust 氏は既にそのようなサイトを発見したという。

2006.07.03 追記:

 CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは (@IT, 2006.06.29)

JVN#76357668: MitakeSearch におけるクロスサイトスクリプティングの脆弱性
(JVN, 2005.12.05)

 MitakeSearch 4.2 に欠陥。 ranking.pl に XSS 欠陥がある。 MitakeSearch V4.2の脆弱性に関するお知らせ (HP) で修正版が配布されている。

JVN#67001206: 「FreeStyleWiki」にクロスサイト・スクリプティングを含む複数の脆弱性
(JVN, 2005.12.05)

 FreeStyleWiki 3.5.9 以前に欠陥。「シングルブラケットによる任意のURLへのリンク処理に脆弱性があ」るため、XSS および CSRF 欠陥がある。FreeStyleWiki 3.5.10 で修正されている。

 JVN: JVN#67001206

2005.12.04

追記

ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか?

 TTFOXZの日記 というページが、星澤氏や高木氏の指摘に対して言及しているが、正直に言って、よけいな事を書きすぎているように思う。

 今回の問題の根本をもういちど見てみよう。 ウイルスバスター2006のフィッシング詐欺対策ツールバーはスパイウェアか? (星澤裕二メモ, 2005.11.16) より:

アクセスしたWebサイトのURLをトレンドマイクロに送信していることは間違いない。この仕様にケチをつけるつもりはない。問題は、多くのユーザがこの仕様について知らないということだ。前回も書いたが、このことについてマニュアルに明確な記述はないし、インストール時に説明もない。これではスパイウェアやアドウェアと同じではないか。

 ユーザのアクセス先 URL 情報を第三者 (トレンドマイクロ) に無断で送信しているのは「スパイウェアやアドウェアと同じではないか」という指摘だ。こういうことを行うのであれば、通常は、製品のインストール時や実行時に同意を求めるものだ。たとえば最近 Antinny 方面で話題になった、Microsoft の悪意のあるソフトウェアの削除ツールの EULA にはこうある (画像。実際に見たい場合は、IE でアクセスし、削除ツールを web 上で実行すればよい):

プライバシーに関する通知 本ソフトウェアがお客様のデバイスで悪意のあるプログラムの存在を確認するとき、お客様のデバイスで悪意のあるプログラムが発見および除去されたかどうかをお客様に報告するためにのみ、お客様のデバイスから情報が収集されます。しかし、マイクロソフトは、本ソフトウェアの使用に関する統計データを収集、公開する場合があります。お客様のご希望により、本ソフトウェアの報告機能を http://go.microsoft.com/fwlink/?LinkID=39987 の指示に従って無効にすることができます。

同意を求め、また Microsoft への情報提供を無効にする方法も提供している (実際に無効にする方法を発見するにはリンクを何度もたどった上に中身をよく読まなければならないのがアレではあるが……。KB891716FAQ の Q3 がそれ)。

 繰り返しになるが、トレンドマイクロは、新しい EULA を用意して、利用者に同意してもらった方がいいと思う。 サポート情報が出ているものの、ほとんどのユーザは気がついていないのが現状だろう。 最低でも、このサポート情報の存在を全登録ユーザにメールで知らせる、くらいのことはした方がいいと思う。

 TTFOXZの日記 では、2005-11-28

ねぇ星澤さん。PhishWallではどんな情報を送信しているんですか?
私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた(今後、改良更新されるかもしれないが・・)。

と書いているが、セキュアブレインホームページPhishWall をたどると現れるページの左メニューにある PhishWall サーバ にある説明を見る限りでは、何をどこに送っているかは明確だし、第三者たるセキュアブレインにユーザの情報が送られるようにもなっていない。 このページは昨日今日できたものではないはずだが、 どのあたりを見ると「私が昨日のブログを書いた時点では、セキュアブレインのサイトから得られる情報は完全に不足していた」という記述が生まれるのか、私にはよくわからない。

 ちなみに、PhishWall のダウンロードページは ここ (kddi.ne.jp)、 EULA はここ (kddi.ne.jp) にある。ダウンロードページも EULA も securebrain.co.jp にはない……というあたりはツッコミどころのように思うのだが、TTFOXZ 氏はそういうところには興味はないようだ。

2005.12.04 追記 2:

 関連情報:

  • ウイルスバスター2006は存在しないサーバ名もトレンドマイクロに送信する (高木浩光@自宅の日記, 2005.11.27)

    存在しないサーバ名も送信しても別にいいとは思うが、問題は、ここで示されている、送信しているものの中身である。 トレンドマイクロ曰く 「暗号化処理をしてい」るというそのデータ……これはまともな暗号化手法なのか?

  • ウイルスバスター2006はHTTPSサイトのURLもトレンドマイクロに送信する (高木浩光@自宅の日記, 2005.11.27)

    HTTPSサイトのURLも送信しても別にいいとは思うが、 ここでは、https:// URL に含まれるセッション情報が http:// 手法で送られていることを問題にしている。 さらに、上記の「暗号化処理」の事を考えると、……。

    ウイルスバスター2006: [URLフィルタ]ならびに[フィッシング対策ツールバー]によってトレンドマイクロへ送信される情報と扱いについて (トレンドマイクロ) は 11/28 付で改訂されているが、

    上記機能に伴い、弊社サーバに送信された情報の扱いに関しましては、アクセス先URLのパラメータ部分を除くURL情報(*注1)のみ弊社サーバに蓄積され、お客様に関する各種情報(アクセス元IPアドレスやアクセス時間、ブラウザの種類など)につきましては本機能によって弊社サーバへ送信されることはありません。(中略)
    (*注1)
    例:http://www.trendmicro.co.jp/virusbuster/2006.asp?name=trend_taro の場合 サーバに保持される情報は、http://www.trendmicro.co.jp/virusbuster/ のみです。

    ? 以降も含めた形で送信しているのは明らかなようですね。 また、アクセス元IPアドレスやアクセス時間については、明に送信しなくても自動的にわかってしまうことなのだから、もし破棄しているのなら、「即座に破棄しています」などと表現した方がより適切だろう。そう書かれてはいないことから、「自動的にわかってしまうことはそのまま保存している」と理解すべきなのかもしれない。

2005.12.02

追記

Sun Java JRE Sandbox Security Bypass Vulnerabilities

 About the security content of J2SE 5.0 Release 3 (Apple)

Internet Explorer の JavaScript の脆弱性に関する注意喚起

 NIS での誤検出ですが、手元で試した限りでは、現在は修正されているようです。 NIS のルール「HTTP MSIE JavaScript OnLoad Rte CodeExec」を無効にして回避していた場合は、再び有効にしてみるといいかもしれません。

 さて、この欠陥を利用するマルウェア TrojanDownloader:Win32/Delf.DH が登場したということで、各アンチウイルスベンダーからの情報も更新されているようです。

  • JS/Exploit-BO.gen (マカフィー)。

    VirusScan Enterprise 8.0i / Managed VirusScan
    Generic Buffer Overflow Protection protects against code execution that may result from exploiting this vulnerability.

    McAfee Entercept
    Entercept's Generic Buffer Overflow Protection protects against code execution that may result from exploiting this vulnerability.

    McAfee IntruShield
    Updated signatures are available for Trimble release with http response support.

    McAfee Foundstone
    Updated signatures have been released.

  • Bloodhound.Exploit.54 (シマンテック)

  • JS_WINDEXP.AJS_ONLOADXPLT.A (トレンドマイクロ)

 Windows 2000 SP4 日本語版 + VirusScan Enterprise 8.0i において、 JS/Exploit-BO.gen が検出されるものの電卓が表示されてしまう件ですが、 VSE 8.0i Patch 11 にすればスクリプトの実行がきちんと停止されるようです。 VSE 8.0i Patch 10 では電卓が表示されてしまいました。

2005.12.01

いろいろ
(various)

追記

日本ERIが指摘「大臣認定プログラムは改竄可能」

 プログラム出力の真正性の確認をどう行っていたのか? (武田圭史, 2005.12.01)

The "Sony rootkit" case

 関連記事:

Flaw in Syn Attack Protection on non-updated Microsoft OSes can lead to DoS
(bugtraq, 2005.11.29)

 315669 - Windows 2000 でサービス拒否攻撃に対する TCP/IP スタックを強化する方法 (Microsoft) などで解説されている、SYN flood 攻撃対策のためのレジストリ設定 SynAttackProtect を設定しても、同じハッシュ値を持つ SYN が大量にやってくるような場合には有効ではない、という話かな。

 この欠陥は Windows 2000 では Update Rollup 1 で、Windows Server 2003 では SP1 で修正されているそうだ。

[セキュリティホール memo]
私について