セキュリティホール memo - 2005.01

Last modified: Mon Jan 16 14:27:49 2006 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2005.01.31

KDE 関連
(various)

追記

NetDDE の脆弱性により、リモートでコードが実行される (841533) (MS04-031)
JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

 マイクロソフト、“GDI+”脆弱性を修正した「PowerPoint Viewer 2003」を公開 (窓の杜, 2005.01.28)。


2005.01.28

Mac OS X 用 Security Update 2005-001 について
(apple, 2005.01.26)

 Mac OS X 10.2.8 / 10.3.7 用の最新セキュリティアップデートが登場。 修正されているのは:

 [harden-mac:0704] Immunity's report of Multiple Local Vulnerabilities in Mac OS X ではカーネルの欠陥についても指摘されているが、 About Security Update 2005-001 for Mac OS X にはカーネルを直したとはどこにも書かれていないので、まだ直っていないのだろう。

追記

Mac OS X / Adobe Version Cue local root exploit

 修正されたそうです。

Winamp 5.08c released

 詳細: NSFOCUS SA2005-01 : Buffer Overflow in WinAMP in_cdda.dll CDA Device Name。WinAMP 5.0〜5.08 までにこの欠陥があり、WinAMP 2.x にはこの欠陥はないそうだ。

[NT] Multiple Pocket IE Vulnerabilities
(securiteam, 2005.01.27)

 Pocket IE (Windows Mobile SE 2003) に複数の欠陥が存在する、という指摘。 Pocket IE では protocol://username:password@ 形式がまだ使えるのですか。 ふつうの IE では MS04-004 以降使えなくなっていますが……。

[NT] HKLM CurrentVersion Locking
(securiteam, 2005.01.27)

 本当なのかなあ。

「Forbot」の新亜種、MySQLを標的に拡散
(ITmedia, 2005.01.28)

 Handler's Diary January 27th 2005 (SANS ISC) の話。手順としてはこうだそうです:

  1. root ユーザとして MySQL に接続するために brute force attack を実行

  2. それが成功すると、MySQL UDF Dynamic Library Exploit (securiteam) を利用して bot を実行

 回避策としてはこうだそうです:

 現在は Windows 上の MySQL が狙われているようだけど、UNIX 上の MySQL も同様の手法で攻略可能でしょうから、UNIX な人も上記回避策を励行しましょう。

 関連: MySQLを悪用してWindowsシステムに感染するボット「MySQL Bot」を警告,米セキュリティ機関 (日経 IT Pro, 2005.01.28)


2005.01.27

List of all admin accounts in phpBB
(bugtraq, Wed, 26 Jan 2005 07:48:20 +0900)

 phpBB において、ひみつの管理者アカウントを発見するためのスクリプト、だそうです。

Vulnerability Note VU#409555: Juniper unknown denial of service vulnerability
(CERT/CC, 2005.01.26)

 2005.01.07 より前の Juniper JUNOS に欠陥。remote から DoS 攻撃を実施できる模様。CVE: CAN-2004-0467。 JVN: JVNVU#409555

CISCO 関連
(CISCO, 2005.01.26)

 CISCO 方面でいろいろ出ています。

 JVN: JVNTA05-026A

HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
(watchfire.com)

 HTTP に関連する新しい攻撃手法「HTTP Response Splitting Attack」に関する論文。

 HTTP Response Splitting Attack はクロスサイトスクリプティング (XSS) と同様に、web アプリにおける入力値の除染が不十分なことが引金になる。ただし、 XSS は「スクリプトとみなされるような入力」を許容してしまうために発生するが、HTTP Response Splitting Attack は「複数の HTTP レスポンスとみなされるような入力」を許容してしまうために発生する。典型的な例として、

と、HTTP Response Splitting Attack に対して脆弱である、とされている。 (詳細は論文読んでください)

 HTTP Response Splitting Attack を受けると、

が汚染されてしまうため、これによってフィッシング詐欺などが可能になるという。 キャッシュ汚染の例として、Apache 2.0 / Squid 2.4 / IE 6.0 SP1 での事例が述べられている。

 HTTP Response Splitting Attack への対応としては、以下が挙げられている (p.24):

 以下は対応状況:


2005.01.26

報告されたWebサーバーの2割が危険を放置──IPAなどが警鐘
(日経 IT Pro, 2005.01.25)

 元ネタ: ソフトウエア等の脆弱性関連情報に関する届出状況 [2004年第4四半期(10月〜12月)] (IPA ISEC, 2005.01.25)。PDF 版を読みましょう。

 サイバーノーガード戦法 メソッドA (netsecurity.ne.jp) は欠陥を指摘された組織の 20% で採用されているようです。 実際には、「取扱い中」にもノーガード戦法が含まれているのかもしれませんが……。

Movable Typeでスパムメールが送信できてしまう脆弱性
(Internet Watch, 2005.01.25)

 Movable Type 3.121 以前に欠陥。「新着コメントのメール通知機能」に欠陥があり、 「メール通知」が有効で、かつ「MailTransfer」が「sendmail」となっている場合 (既定値: sendmail) に発現。remote から Movable Type 経由で任意の相手にメールを送ることができる模様。

 Movable Type 3.122 および 3.15 で修正されている。また Movable Type 2.661 および 3.x で利用できる、この欠陥を塞ぐプラグインが公開されている。 関連:

追記

HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001)

Vulnerability Note VU#938617: BIND 9.3.0 vulnerable to denial of service in validator code
(cert.org, 2005.01.25)

 BIND 9.3.0 に欠陥。 DNSSEC が有効な場合に利用される関数 authvalidated() に欠陥があり、特殊な DNS パケットにより named が停止してしまう。

 BIND 9.3.1 (また登場していない; 現在β2) で修正されている。また dnssec-enable no; (これが既定値) を設定することで回避できる。関連:

2005.02.01 追記:

 bind 9.3.0 用の patch が登場しています。

Vulnerability Note VU#327633: BIND 8.4.4 and 8.4.5 vulnerable to buffer overflow in q_usedns
(cert.org, 2005.01.25)

 BIND 8.4.4 / 8.4.5 に欠陥。q_usedns 配列の処理に欠陥があり buffer overflow が発生、remote から 攻撃を実施可能。これは BIND 8.4.4 / 8.4.5 のみに存在する欠陥であり、他のバージョンには存在しない。

 BIND 8.4.6 で修正されている。 また、再帰的な名前解決と glue の取得を抑止することで回避できる。 関連:


2005.01.25


2005.01.24

ウイルス対策に近道なし、基本は一にも二にも「教育」
(ITmedia, 2005.01.20)

 なかなか興味深い内容だ。

中田氏によれば「実際にフィールドに存在するのは、たかだか2000種ほど」という。 (中略) 「野に放たれている」状態のウイルスは合計1871種に過ぎない。

 問題は、その「合計1871種に過ぎない」という数字ははたして信用できるのか、という点だ。 たとえば [memo:8064] MS04-011_LSASS_EXPLOIT に続くスレッドにおいては bot 系のあやしいファイルが発見された [memo:8076] [memo:8081] のだが、メジャーなものを含む、いくつかのアンチウイルス製品ではそれを検出していない。 また 「知られざる「ボット」の脅威——オープンソース型手法で進化」 (ITmedia, 2004.11.26) において、シマンテックの林氏は

「ボットの場合は9月だけで900種以上の亜種が登場した。これはシマンテックで確認できた数に過ぎず、実際にはもっと多く登場している可能性がある。1日どころか1時間に1種類というペースで、これが単独のグループによるものとは考えにくい」

と、bot 系については全てを把握できていない可能性があることを認めている。 「たかだか2000種ほど」どころの騒ぎではないのだ。提示されているプレゼン資料を見る限りでは、2004.06〜10 だけで 4000 を越えているように見える。

今後は、新規のウイルスにどのくらい速く対応できるか、また定義ファイル更新が間に合わない場合でも、古いパターンファイルでどの程度新種のウイルスに対応できるかが、対策ソフトの能力を測る指標になるだろうと予測する

 少なくとも利用者にとっては昔からそうだと思うのだが。 ベンダーもメディアも注目すべき点を無視していただけではないのか。

最近のウイルス対策製品の多くは“未知のウイルスも検出できる機能”を売りにしている。しかしながら、AV-Comparativesが行っているプロアクティブテストの結果を見れば、その機能は必ずしも十分とは言いがたい。

 AV-Comparatives が公開しているデータを見てみたが、内容が粗すぎて、これでどうこうは言えないような気が。 アンチウイルスものには「悪意あるプログラムを発見し対応する能力」だけではなく、「悪意のないプログラムを誤検出しない能力」もまた求められる以上、そのプロアクティブ能力には自ずと限りがあるのは当然だ。 そういった中でのプロアクティブ能力といえば、それはたとえば「少なくとも亜種についてはなんとかできないのか」といったものになると思うのだが、AV-Comparatives のデータは、増えたのが亜種のか全くの新種なのかがさっぱりわからない。またこの戦いでは、あらかじめ検出不可を知ることができるという意味で攻撃者側に完全な主導権があるため、どこまでプロアクティブ能力を問えるのかもよくわからず。

 「プロアクティブ能力」を問うならむしろ、たとえば「欠陥が発見 (公開) されてからウイルスなどに実際に使われるまでの間に、欠陥を突く攻撃を検出するような signature が用意される」という意味での「プロアクティブ能力」を問う方が現実的ではないのか。 たとえばマカフィーはそういう面での対応をかなり熱心に行っているように見え、それなりの効果があるように思えるのだが。VSE 8.0i の buffer overflow 保護機能もそういった動きの一環であるだろうし。

 関連: 「出回っているウイルスの種類は意外と少ない」——フォーティネット中田氏 (日経 IT Pro, 1/20)。

中田氏は,ネットワーク アソシエイツ(現マカフィー)の元代表取締役社長。

 ふぅむ。


2005.01.21

Ethereal 0.10.9 released - Thursday, January 20, 2005
(Ethereal.com, 2005.01.20)

 Ethereal 0.10.8 以前に複数の欠陥。Ethereal 0.10.9 で修正されている。 CVE: CAN-2005-0006 CAN-2005-0007 CAN-2005-0008 CAN-2005-0009 CAN-2005-0010 CAN-2005-0084。 メモリ破壊や buffer overflow する欠陥も含まれているので、remote から任意のコードを実行可能と考えられる。

fix / patch:

Sanity check usernames in squid_ldap_auth
(squid-cache.org, 2005.01.17)

 squid-2.5 以前に欠陥。 squid_ldap_auth を利用している場合に、%20username や username%20 といったユーザ名入力が正しいものとして扱われてしまうため、ユーザ名を利用した ACL 設定やログ解析が意図したようには動かなくなってしまう。

 patch があるので適用すればよい。また空白を含むユーザ名を拒否する ACL を記述することで、この欠陥を回避できる。

fix / patch:

2005.01.20

XP SP2のIEにセキュリティ・ホール,警告なしにファイルをダウンロードさせられる
(日経 IT Pro, 2005.01.17)

 [Full-Disclosure] Internet Explorer (SP2) - Remote File Download Information Bar Bypass の事のようなのだけど、手元の素の Windows XP SP2 (+ patch 全部) で試したら、ちゃんとダウンロードダイアログが表示されるから、問題ないのでは。 たとえば http://www.st.ryukoku.ac.jp/lhasa019.exe を手動クリックした場合も「情報バー」は表示されない (自動ダウンロードを阻止しない) けど、それが問題だという話なんでしょうか? onClick だから手動扱いされた、というだけなのでは。

 なお、QwikFix 入りの環境だと、ダウンロードダイアログは出ないし、PC への保存も阻止されるようだ。

WordとExcelの暗号化手法に脆弱性
(ITmedia, 2005.01.20)

 Microsoft Office XP 以降で利用できる 128bit RC4 暗号化 (RC4: Microsoft Strong Cryptgraphic Provider) に欠陥。 RC4 において同じパスワードが複数回利用される場合は、利用する都度初期化ベクトルを変更すべき (初期化ベクトルがユニークでなければならない) が、それがなされていないという。

 詳細: The Misuse of RC4 in Microsoft Word and Excel (Cryptology ePrint Archive)。 関連:

 つちやさん情報ありがとうございます。

 うぅ、書きかけのまま更新してしまっていた…… (T_T)。きむらさん情報ありがとうございます。


2005.01.19

追記

HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001)

 MS05-001 においてはこの欠陥は完全には修正されておらず、 Windows XP SP1 と Windows 2000 SP4 において攻略コードを実行させることができた、と指摘されている: IE HHCTRL exploit still usable even after patch。 Windows XP SP2 はだいじょうぶだそうだ。

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

 SYM05-002: シマンテックが Microsoft の Graphic Device Interface Component (gdiplus.dll) の更新を完了 (シマンテック, 2005.01.18)。 シマンテック製品に含まれている gdiplus.dll は、この欠陥の影響を受けるような方法では使われていないものの、 gdiplus.dll を最新のものに更新するための更新プログラムが用意された模様。

 具体的には、対象となるのは LiveUpdate クライアントで、用意されている更新プログラムは LiveUpdate をバージョン 2.6 に更新するためのもの。

iDEFENSE Security Advisory 01.18.05 - Multiple Unix/Linux Vendor Xpdf makeFileKey2 Stack Overflow
(VulnWatch ML, Wed, 19 Jan 2005 06:38:57 +0900)

 xpdf 3.00 に欠陥。Decrypt::makeFileKey2 関数に buffer overflow する欠陥があり、攻略 PDF ファイルを利用して任意のコードを実行可能。 CVE: CAN-2005-0064

 xpdf 3.00pl3 以降で修正されている。 patch

fix / patch:

iDEFENSE Security Advisory 01.17.05: Multiple Vendor ImageMagick .psd Image File Decode Heap Overflow Vulnerability
(VulnWatch ML, Tue, 18 Jan 2005 03:27:23 +0900)

 ImageMagick の、少なくとも 6.1.0〜6.1.7 に欠陥。 Photoshop Document (PSD) ファイルの処理において heap overflow する欠陥があり、 攻略 PSD を利用して任意のコードを実行可能。 CVE: CAN-2005-0005

 ImageMagick 6.1.8-8 以降で修正されている。

fix / patch:

Critical Patch Update - January 2005
(oracle, 2005.01.18)

 Oracle 製品に合計 23 個の欠陥。

 詳細はよくわからない。とりあえず、早期の更新を計画されたい。

 関連:

InterScan Web Security Suite 1.02 Linux版 Red Hat Enterprise Linux 3対応バージョン公開のお知らせ
(トレンドマイクロ, 2005.01.19)

 IWSS Readme を見る限りでは、apache / mod_ssl / openssl のアップデートや クロスサイトスクリプティング欠陥、DoS になる欠陥など複数のセキュリティ欠陥の fix が含まれています。

 IMSS も RHES 3 に対応してほしいなあ。


2005.01.18


2005.01.17


2005.01.15

RFC2397 "data" URL 関連
(various)

 RFC2397 - The "data" URL scheme の扱いに関する話が出てきています。

2005.02.08 追記:

 Opera 7.54u2 で修正されているようです: “data:”形式のURLに関する脆弱性などを修正した「Opera」の最新日本語版 (窓の杜, 2005.02.07)

2005.03.01 追記:

 ゲートウェイ対策製品におけるRFC 2397:URLスキーム「data:」の悪用による悪意あるコードの検出回避脆弱性に関するご報告 (トレンドマイクロ)。トレンドマイクロのゲートウェイ製品における、RFC2397 への対応状況。

squid 関連
(squid-cache.org, 2005.01.12)

 squid 2.5 STABLE7 用の patch が用意されている。

fix / patch:

Squirrelmail vacation v0.15 local root exploit
(bugtraq, Tue, 11 Jan 2005 20:50:14 +0900)

 Squirrelmail の Vacation プラグイン 0.15 に欠陥。 ftpfile プログラムに欠陥があり、local user が root 権限で任意のファイルを読み取ることが可能。

2005.02.15 追記:

 Plugins - Vacation Local 1.0 で修正されたそうです。

追記

いろいろ (2004.12.21)

 Veritas BackupExec Agent vulnerabilityexploit が登場し、なにやらさわがしくなっている模様。

 ポート番号を変えるには、255498 - How to change the port that Network Data Management Protocol uses in VERITAS Backup Exec 9.x for Windows Servers (Veritas) を参照するとよいらしい。でもまずは、patch あてましょう。

Multiple Firewall Products Bypass Vulnerability
(bugtraq, 2005.01.04)

 多くのパーソナルファイアウォールソフトにおいては、任意のプログラムがネットワーク接続を行おうとすると警告画面を出して確認を求めるようになっているが、キーイベントやマウスイベントを送ったりすることで、この制限を回避することが可能、という指摘。記述されているのは ZoneAlarm, Kerio, Outpost, Anti-Hacker, Look 'n' Stop, Norton Personal Firewall, Panda Platinum Internet Security, Omniquad Personal Firewall 。PoC コードつき。

All Symantec Products All Versions Until 2005 - Remote Stack Buffer Overflow
(bugtraq, Thu, 06 Jan 2005 16:20:52 +0900)

 Norton AntiVirus 2004 に含まれる ccErrDsp.dll が登録する CcErrDsp.ErrorDisplay.1 COM オブジェクトに buffer overflow する欠陥がある、という指摘。PoC コードつき。

[exim-announce] 2 smallish security issues
(exim-announce, 2005.01.04)

 Exim 4.43 以前に 2 つの欠陥。host_aton() が異常な IPv6 アドレスにより buffer overflow する欠陥と、SPA 認証用のコード spa_base64_to_bits() が buffer overflow する欠陥。Exim 4.43 用の patch が添付されている。

 関連:

KDE 関連
(various)

Linux カーネル関連
(various)

fix / patch:

2005.01.14


2005.01.13

JVN#1BF8D7AA: LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性
(JVN, 2005.01.11)

 複数ベンダの LDAP サーバ実装に欠陥があり、DoS 攻撃や任意のコードの実行が可能になる模様。現時点で明らかになっているのは、Netscape Directory Server 6 と Hitachi Directory Server Version 2 のようだ。 CVE: CAN-2004-1236

Mozilla / Mozilla Firefox 方面
(various)

 いささか古いネタですが……。

2005.03.03 追記:

 Mozilla Foundation Security Advisory 2005-23 (mozilla.org)。 Download Dialog Source Spoofing の話。Firefox 1.0.1 で fix 。

製品のセキュリティに関する重要なお知らせ
(アリエル・ネットワーク, 2005.01.11)

 アリエル・プロジェクトA およびアリエル・マルチスケジューラに欠陥。 特定の方法により、ユーザ ID (= 利用者のメールアドレス) が漏曳する。

 1/14 に修正プログラムが登場する予定らしい。

WMVファイルを装うトロイの木馬、P2Pソフトで流行中〜DRMを悪用
(Internet Watch, 2005.01.11)

 上手いなあ。座布団 3 枚。……とか言ってちゃまずいのだろうけど。

2005.02.17 追記:

>  修正プログラムが登場した模様: Windows Media Player 10の更新プログラム、DRMのセキュリティを強化 (Internet Watch, 2005.02.16)。 Windows Media Player 10.0.0.3802 以降で対応されている。

2005.05.11 追記:

Winamp 5.08c released
(winamp.com, 2005.01.10)

 Winamp 5.08 以前 (?) に複数の欠陥。in_mp4.dll, enc_mp4.dll, libmp4v2.dll に「Critical Security bug」が、in_cdda.dll に「Critical Security buffer overflow」が存在する。任意のコードの実行が可能と考えられる。

 Winamp 5.08c で修正されている。Winamp 利用者はアップデートすればよい。

2005.01.28 追記:

 詳細: NSFOCUS SA2005-01 : Buffer Overflow in WinAMP in_cdda.dll CDA Device Name。WinAMP 5.0〜5.08 までにこの欠陥があり、WinAMP 2.x にはこの欠陥はないそうだ。

APPLE-SA-2005-01-11 iTunes 4.7.1
(Apple, 2005.01.12)

 iTunes 4.7 以前 (?) に欠陥。m3u および pls プレイリストファイルの処理において buffer overflow する欠陥があり、任意のコードを実行される。 CVE: CAN-2005-0043

 iTunes 4.7.1 で修正されているので iTunes 利用者はアップデートすればよい。

 古暮涼氏による SA 邦訳版: [harden-mac:0703]

インデックス サービスの脆弱性により、コードが実行される (871250) (MS05-003)
(Microsoft, 2005.01.12)

 Windows XP (SP1 以前) / Server 2003 に欠陥。 インデックスサーバ / サービスにおける query 処理において buffer overflow する欠陥があり、remote から任意のコードを実行可能。 CVE: CAN-2004-0897

 回避するには、インデックスサーバ / サービスを削除する。

 対応するには、修正プログラムがあるので適用すればよい。 Windows 2000 にはこの欠陥はないが、修正プログラムには「Microsoft.ISAdm.1 ActiveX コントロールのセキュリティ」強化が含まれているため、Windows 2000 用の修正プログラムも用意されている。 でも「Microsoft.ISAdm.1 ActiveX コントロールのセキュリティ」強化って何なんだろう。

カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)
(Microsoft, 2005.01.12)

 Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に 2 つの欠陥。

 回避方法は存在しない。

 対応するには、修正プログラムがあるので適用すればよい。 ただし Windows 98 / 98 SE / Me 用の修正プログラムはまだ用意されていないようだ。 また Windows XP SP2 にはこの欠陥はない。

f

 関連: xfocus が公開した Windows の 3 つの欠陥

2005.03.09 追記:

 Windows 98 / 98 SE / Me 用の修正プログラムがようやく登場したそうです。 Windows Update で入手・適用できます。 2 か月かかりますか、そうですか。

2005.03.13 追記:

 「Windows 98 / 98 SE / Me 用の修正プログラム」なのだが、これをインストールするとブルー画面になる事例がそこかしこで発生している模様。熊猫さくらさん情報ありがとうございます。

 どうやら「Windows 98 / 98 SE / Me 用の修正プログラム」は、モジュール入れかえ型の「修正プログラム」ではなく、常駐プログラムによって欠陥を回避するもののようですね。で、それが「何か」とぶつかることがあるようです。 問題ない人には全く問題ないようなのですが。 修正プログラムを個別に取得しインストールし直したら問題が解消された例 (2ch.net) もあるようなので、ブルーな人は試してみるといいかも。

2005.04.04 追記:

 マイクロソフト:「Windows用パッチに脆弱性あり」 (CNET, 2005.04.01)。 Windows 9x/Me 用の patch はどうやら不十分らしい。 ブルーになる上に不十分……。

2005.04.13 追記:

 MS05-002 の Windows 98 / 98 SE / Me 用 patch が更新されました。

2005 年 4 月 13 日にこのセキュリティ情報を更新したのはなぜですか?

セキュリティ情報 MS05-002 をリリース後、マイクロソフトは Windows 98、98SE および ME 用のセキュリティ更新プログラムを展開したお客様に影響を与える問題を確認しました。ほとんどの場合はこの問題により、コンピューターが予期しないときに再起動します。

マイクロソフトはこの問題を調査し、これらのプラットフォーム用の改訂版のセキュリティ更新プログラムを用意しました。これらの改訂版のセキュリティ更新プログラムは、Windows Update およびマイクロソフト ダウンロード センターから入手することができます。これらの更新プログラムのオリジナルのバージョン (2005 年 2 月 9 日リリース) をまだ適用していないお客様は、Windows Update のサイトにアクセスし、改訂版の更新プログラムをインストールする必要があります。

既にオリジナルのバージョンの Windows 98、98SE および ME 用のセキュリティ更新プログラムを適用したお客様も、Windows Update から現在の改訂版の更新プログラムをインストールすることを推奨します。

 なお、マイクロソフト:「Windows用パッチに脆弱性あり」 (CNET, 2005.04.01) だが、Microsoft が認識していたのはあくまで「旧 patch を適用すると OS が不安定になる」事であって、「MS05-002 旧 patch がセキュリティ的に不十分」という事実はなかった模様。

HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001)
(Microsoft, 2005.01.12)

 Windows 2000 / XP / Server 2003、および IE 6.0 SP1 をインストールした Windows に欠陥。 HTML ヘルプ ActiveX コントロール (Hhctrl.ocx / Whhctrl.ocx) にクロスゾーンスクリプティング欠陥があり、あるセキュリティゾーン (例: インターネットゾーン) で解釈・実行されるべきスクリプトが、別のセキュリティゾーン (例: ローカルコンピュータゾーン) で解釈・実行されてしまう。 結果として、web ページや HTML メールに設置したスクリプトをローカルコンピュータゾーン内で実行できてしまい、ウイルスの実行などが可能となる。 Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise の話。CVE: CAN-2004-1043

 回避策としては、セキュリティゾーンに対して ActiveX コントロールを無効と設定するか、HTML ヘルプ ActiveX コントロール (CLSID {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}) に kill bit を設定する。kill bit の設定については 240797 - Internet Explorer で ActiveX コントロールの動作を停止する方法 (Microsoft) を参照。

 対応するには、修正プログラムがあるので適用すればよい。なお、修正プログラムを適用すると、 「ローカルコンピュータゾーンの外部からの HTML コンテンツの HTML ヘルプ Active X コントロールのインスタンスを作成する機能」が無効になる。この制限を回避するには、レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x に HHRestrictions というキーを作成し、以下の手順を実行する。

2005.01.20 追記:

 MS05-001 においてはこの欠陥は完全には修正されておらず、 Windows XP SP1 と Windows 2000 SP4 において攻略コードを実行させることができた、と指摘されている: IE HHCTRL exploit still usable even after patch。 Windows XP SP2 はだいじょうぶだそうだ。

2005.01.26 追記:


2005.01.12


2005.01.11


2005.01.09

追記

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft) が 2004.12.22 付で改訂されている。 これを見る限りでは、WPAD (wlug.org.nzmonyo.com) を使っているか、http:// あるいは https:// な URL で .pac ファイルを指定していれば、自動的に proxy を認識してくれるようだ。 そうでない場合は、proxycfg コマンドなどで BITS proxy の設定が必要なようだ。

proxy 環境下での自動更新

 Windows XP の場合は、proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない にある proxycfg を利用することで、自動更新も動作するようになるようです。 まとめると、こうなります:

  • Windows 2000: 「コンピュータ別にプロキシを設定する」ポリシーを設定した上で管理者権限で IE の proxy を設定、あるいは local SYSTEM に IE の proxy を設定
  • Windows XP: proxycfg を使って BITS の proxy を設定

 手元の Windows 2000 SP4 で試した限りでは、local SYSTEM に IE の proxy を設定しただけでは自動更新がうまく動かなかった例がありました。その機械では、「コンピュータ別にプロキシを設定する」ポリシーによる方法はうまく動きました。


2005.01.08


2005.01.07

追記

Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK

 SYM05-001: Sun Alert ID 57591:Java Runtime Environment (JRE) (シマンテック, 2005.01.04)。Symantec Gateway Security 5400 Series v2.0 / v2.0.1 、Symantec Enterprise Firewall v8.0 が該当するそうです。


2005.01.06


2005.01.05


2005.01.04

"Format before use" - wasn't that a thing for floppies?
(Analyst's Diary, December 31, 2004 | 14:36 MSK)

 ハードディスク内蔵型 MP3 プレイヤーにウイルスがプリインストールされていた、という話。あなたがお使いの MP3 プレイヤーは大丈夫ですか?

追記

Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise

 Qwik-Fix Pro Blocks XP SP2 Vulnerability (pivx.com, 2004.12.28)。ということで。

WINS の脆弱性により、リモートでコードが実行される (870763) (MS04-045)

 みなさん、patch あてましたよね?

Windows XP SP2 の「Windows セキュリティの重要な警告」画面

 詳細記事: [Windows セキュリティの重要な警告] 画面を悪用した偽装について (penetration technique research site, 2005.01.03)。

名前の部分にカーソルを置いて数秒待つと、実行されたプログラムのフルパスとファイル名が表示されるので、[Windows セキュリティの重要な警告] 画面を悪用した偽装を見破るときに役立つ情報として覚えておいていただきたい。

 どこかのレジストリをいじると最初から表示されたりするとうれしいのだけどなあ。


2005.01.02

広域 Wiki SPAM にご注意 (PukiWiki, Hiki, FreeStyleWiki, ...)
(PukiWiki 開発日記, 2004.12.29)

 そういうものが流行っているようです。Wiki な方はご注意を。henoheno さん情報ありがとうございます。


[セキュリティホール memo]
私について