セキュリティホール memo - 2009.05

Last modified: Wed Jul 15 11:00:34 2009 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2009.05.30

いろいろ (2009.05.30)
(various)

追記

IIS 6.0 + WebDAV: Unicode バグの逆襲

 Unixwiz.net Tech Tip: Understanding Microsoft's KB971492 IIS5/IIS6 WebDAV Vulnerability (Unixwiz.net)。解説記事。

マイクロソフト セキュリティ アドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される

 Microsoft Security Advisory 971778 Vulnerability in Microsoft DirectShow Released (MSRC blog, 2009.05.28) のこの部分↓が重要なので引用しておきますね。

Also, we’ve verified that it is possible to direct calls to DirectShow specifically, even if Apple’s QuickTime (which is not vulnerable) is installed.

 QuickTime をインストールしてある場合でも、この欠陥の影響を受けてしまいます。

 あと、New vulnerability in quartz.dll Quicktime parsing (Microsoft Security Research & Defense, 2009.05.28) も読んでおきましょう。ぶっちゃけ、これがいちばんわかりやすいような気が。

There are several workarounds that you may consider here.

#1: Disable Quick Time Parsing in Quartz.dll by deleting the following registry key:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

This is the best workaround because it's the most surgical. It only disables QuickTime Parsing in DirectShow. DirectShow's other functionality is not affected. This workaround covers all known attack vectors. Therefore, if you are not concerned about QuickTime content playback via DirectShow, this is the workaround we recommend you apply.

2009.05.29

マイクロソフト セキュリティ アドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される
(Microsoft, 2009.05.29)

 Windows 2000 + DirectX 7.0 〜 9.0、Windows XP / Server 2003 + DirectX 9 で欠陥。これらにおける QuickTime 形式のファイルの扱いに欠陥があり、攻略 QuickTime ファイルによって任意のコードを実行できる。既にそのようなファイルが出回っている模様。CVE-2009-1537

 関連: KB 971778Microsoft Security Advisory 971778 Vulnerability in Microsoft DirectShow Released (MSRC blog, 2009.05.28)

2009.05.30 追記:

 Microsoft Security Advisory 971778 Vulnerability in Microsoft DirectShow Released (MSRC blog, 2009.05.28) のこの部分↓が重要なので引用しておきますね。

Also, we’ve verified that it is possible to direct calls to DirectShow specifically, even if Apple’s QuickTime (which is not vulnerable) is installed.

 QuickTime をインストールしてある場合でも、この欠陥の影響を受けてしまいます。

 あと、New vulnerability in quartz.dll Quicktime parsing (Microsoft Security Research & Defense, 2009.05.28) も読んでおきましょう。ぶっちゃけ、これがいちばんわかりやすいような気が。

There are several workarounds that you may consider here.

#1: Disable Quick Time Parsing in Quartz.dll by deleting the following registry key:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

This is the best workaround because it's the most surgical. It only disables QuickTime Parsing in DirectShow. DirectShow's other functionality is not affected. This workaround covers all known attack vectors. Therefore, if you are not concerned about QuickTime content playback via DirectShow, this is the workaround we recommend you apply.

 KB971778 の Microsoft FixIt が実行するのは、上記の内容ですね。

2009.06.03 追記:

 Exploit Shield 対 DirectShow (エフセキュアブログ, 2009.06.02)。F-Secure 製品の宣伝。

2009.06.23 追記:

 Windows XP/Server 2003の脆弱性を悪用する攻撃が急増か  修正パッチは未公開、マイクロソフトは設定変更ツールを配布 (ComputerWorld.jp, 2009.06.23)

2009.06.27 追記:

 Online Game Password Stealers Riding with 0-day DirectShow Exploits (Microsoft Malware Protection Center, 2009.06.25)

2009.07.15 追記:

 MS09-028 - 緊急: Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971633) (Microsoft, 2009.07.15) で修正されました。

2009.05.28

2009.05.27

2009.05.26

追記

Inside the Massive Gumblar Attack

 関連:

Wireshark 1.0.8 Released
(wireshark.org, 2009.05.21)

 Wireshark 1.0.8 登場。PCNFSD 解析器に DoS 攻撃を食らう欠陥 (Wireshark 0.8.20 〜 1.0.7) が修正されている。

QuickTimeに未パッチの脆弱性が存在か
(ITmedia, 2009.05.26)

 セキュリティアップデート 2009-002 / Mac OS X v10.5.7 のセキュリティコンテンツについて (Apple) で修正された、QuickDraw Manager の欠陥 (CVE-2009-0010) に関連した欠陥が QuickTime 7.6 にも存在するという話。

 patch はもちろんまだない。

2009.05.25

追記

IIS 6.0 + WebDAV: Unicode バグの逆襲

 IIS admins, help finding WebDAV remotely using nmap (SANS ISC, 2009.05.24)。 nmap SVN 版 + NSE script を使った脆弱性スキャンの方法。

2009.05.24

いろいろ (2009.05.24)
(various)

セキュリティ企業、最新版「Mac OS X」のJava脆弱性で警告--実証コードを公開
(CNET, 2009.05.21)

 この件: Write once, own everyone, Java deserialization issues (cr0 blog, 2009.05.19)。Sun が半年前に直した欠陥 CVE-2008-5353 がいまだに直ってない、という話。 exploit (milw0rm)

 Apple Slow To Fix Java Flaws (Security Fix, 2009.05.22) が、Mac における Java の修正遅れ状況をまとめている。 6 か月遅れるというのは、Apple 的にはそれほど異常ではないらしい。

 patch はまだない。Web ブラウザで Java を無効にすれば回避できる。

2009.06.16 追記:

 出ましたよ。

追記

IIS 6.0 + WebDAV: Unicode バグの逆襲

 exloit:

2009.05.23

2009.05.22

Inside the Massive Gumblar Attack
(Andrew Martin, 2009.05.20)

 Gumblar の動作詳細。とても興味深い。

 関連まとめなおし:

2009.05.26 追記:

 関連:

2009.05.21

2009.05.20

いろいろ (2009.05.20)
(various)

NSD Vulnerability Announcemen
(NLnet Labs, 2009.05.19)

 NSD 2.0.0〜3.2.1 に欠陥。buffer overflow する欠陥があり、攻略パケットによって NSD を crash できる。任意のコードの実行はできないと考えられている。

 NSD 3.2.2 で修正されている。

JVNVU#853097 - ntpd autokey におけるバッファオーバーフローの脆弱性
(JVN, 2009.05.19)

 NTP パッケージ の ntpd に欠陥。公開鍵認証を使用する NTP パケットの認証機能、 NTP Protocol Version 4 Autokey (04 は expire されてますが、このページに 05 があります) の実装に欠陥があり、攻略パケットによって buffer overflow が発生、任意のコードを実行できる。 CVE-2009-1252

 欠陥があるのは NTP 4.0.99m / 4.1.70 以降。 NTP 4.2.4p7 / 4.2.5p74 で修正されている。

 autokey 機能を無効とすることで回避できる。無効とするには、ntp.conf の crypto キーワードではじまる行を全て、コメントアウトするか削除する。 JVN や VU#853097 には crypto pw password という行だけを削除すればいいとされているが、 Security Notice :: Resolved Vulnerabilities :: Remote exploit if autokey is enabled (ntp.org) にはそうは書かれていない。

2009.05.19

追記

IIS 6.0 + WebDAV: Unicode バグの逆襲

 オフィシャル情報来ました: マイクロソフト セキュリティ アドバイザリ (971492) インターネット インフォメーション サービスの脆弱性により、特権が昇格される (Microsoft, 2009.05.19)。CVE-2009-1535

  • 対象: IIS 5.0 / 5.1 / 6.0。IIS 7.0 にはこの欠陥はない。

  • 認証は回避できるが、アクセス権限は「匿名ユーザー アカウント」のまま。従って、「匿名ユーザー アカウント」がアクセスできない領域は、この欠陥からは保護される。

  • WebDAV を無効にすれば、この欠陥を回避できる。

  • URLScan を使って WebDAV をフィルタすれば、この欠陥を回避できる。

2009.05.18

いろいろ (2009.05.18)
(various)

2009.05.17

2009.05.16

IIS 6.0 + WebDAV: Unicode バグの逆襲
(various, 2009.05.16)

 IIS 6.0 + WebDAV の環境に Unicode バグがあり、認証を回避してコンテンツを読み書きできてしまう模様です。

 patch はまだありません。

2009.05.19 追記:

 オフィシャル情報来ました: マイクロソフト セキュリティ アドバイザリ (971492) インターネット インフォメーション サービスの脆弱性により、特権が昇格される (Microsoft, 2009.05.19)。CVE-2009-1535

2009.05.24 追記:

 exloit:

2009.05.25 追記:

 IIS admins, help finding WebDAV remotely using nmap (SANS ISC, 2009.05.24)。 nmap SVN 版 + NSE script を使った脆弱性スキャンの方法。

2009.05.30 追記:

 Unixwiz.net Tech Tip: Understanding Microsoft's KB971492 IIS5/IIS6 WebDAV Vulnerability (Unixwiz.net)。解説記事。

2009.06.10 追記:

 MS09-020 - 重要: インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483) (Microsoft, 2009.06.10) で修正されました。

2009.05.15

追記

Apple 方面

 Mac OS X 10.5.7 副作用情報: Advisory: Sophos Anti-Virus for Mac OS X - email alerts do not work on Mac OS X version 10.5.7 (Sophos, 2009.05.14)

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability

 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 (JPCERT/CC, 2009.05.13)

マイクロソフト セキュリティ アドバイザリ (969136) Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される

 ZDI-09-019: Microsoft Office PowerPoint OutlineTextRefAtom Parsing Memory Corruption Vulnerability (ZDI, 2009.05.12)

Microsoft 2009 年 5 月のセキュリティ情報

 14 種類の欠陥を記述。

 MS09-017: An out-of-the-ordinary PowerPoint security update (Microsoft Security Research & Defense, 2009.05.12) を追加。

重要なお知らせ - HP Notebook PCバッテリパック自主回収プログラムのご案内
(HP, 2009.05.14)

 HP 製の次の note PC の一部において使用されているバッテリパックに発火の危険性があり、無償交換を実施している模様。

 HP 製 note PC 利用者は確認されたい。

2009.05.14

Microsoft 2009 年 5 月のセキュリティ情報
(Microsoft, 2009.05.13)

MS09-017 - 緊急: Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340)

 PowerPoint 2000 / 2002 (XP) / 2003 / 2007、Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac、PowerPoint Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Microsoft Works 8.5 / 9.0 に 14 種類の欠陥。

 PowerPoint 2000 / 2002 (XP) / 2003 / 2007、PowerPoint Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック用の修正プログラムは用意されている。一方、Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac、Microsoft Works 8.5 / 9.0 用の修正プログラムは今だ開発中。関連:

Changelog:

2009.05.15

 14 種類の欠陥を記述。

 MS09-017: An out-of-the-ordinary PowerPoint security update (Microsoft Security Research & Defense, 2009.05.12) を追加。

Apple 方面
(Apple, 2009.05.12)

2009.05.15 追記:

 Mac OS X 10.5.7 副作用情報: Advisory: Sophos Anti-Virus for Mac OS X - email alerts do not work on Mac OS X version 10.5.7 (Sophos, 2009.05.14)

2009.05.13

追記

マイクロソフト セキュリティ アドバイザリ (969136) Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される

 MS09-017 - 緊急: Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340) (Microsoft, 2009.05.13) で対応された……と言いたいところだが、世の中は甘くなかった。

Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、Microsoft Works 8.5 または Microsoft Works 9.0 を実行しています。なぜ、これらのソフトウェアで更新プログラムが利用できないのですか?

マイクロソフトは Windows オペレーティング システムで実行している Microsoft Office のバージョンの活発な悪用のみを確認しています。この現行のセキュリティ更新プログラムは、影響を受ける可能性があるお客様の大部分を守ることができます。

現在、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、Microsoft Works 8.5 または Microsoft Works 9.0 用の更新プログラムを開発しています。マイクロソフトは、個々のリリースの高い品質を確保するためのテストを完了し次第、これらのソフトウェア用の更新プログラムを公開します。マイクロソフトは、積極的な標的型の悪用のため、このセキュリティ更新プログラムを増分的に公開しています。さらに、利用可能になり次第、これらのソフトウェア用の更新プログラムを公開します。

 現在入手できるのは Windows 版 PowerPoint 用の修正だけ。Mac 版 Office は後回しにされてしまっている。

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability

 修正版出ました。APSB09-06: Security Updates available for Adobe Reader and Acrobat (Adobe, 2009.05.12) を参照。

2009.05.12

追記

ディスクワイプも免れるBIOS攻撃手法

 なかなか駆除できないマルウエア (日経 IT Pro, 2009.05.12)

2009.05.11

いろいろ (2009.05.11)
(various)

2009.05.10

追記

Microsoft 2009 年 4 月のセキュリティ情報

 IE6 + MS09-014 patch + Microsoft Foundation Classes (MFC) ベースの ActiveX コントロールで副作用が発生する模様: Internet Explorer 6 may crash if you visit a Web site that contains an MFC ActiveX control after you install MS09-014 (Microsoft KB 971131)。これまでは問題なかったスクリプトが crash の原因になってしまう模様。回避用のコード例が紹介されている。

いろいろ (2009.05.10)
(various)

APSB09-05: Updates available to address Flash Media Server privilege escalation issue (Adobe, 2009.04.30)

 Adobe Flash Media Streaming Server / Adobe Flash Media Interactive Server 3.0.x / 3.5.x に欠陥。 RPC を使って、remote から server side ActionScript ファイル中の任意のプロシージャを実行できるのかな。 CVE-2009-1365

 Flash Media Server 3.0.4 / 3.5.2 で修正されている。

2009.05.20 追記: 日本語版アドバイザリ: APSB09-05: Flash Media Serverの権限昇格問題に対処するためのアップデート公開 (Adobe, 2009.05.13)

SYM09-006: Security Advisories Relating to Symantec Products - Symantec Log Viewer JavaScript Injection Vulnerabilities (Symantec, 2009.04.28)

 個人向け / 企業向けシマンテック製品に含まれる Symantec Log Viewer (ccLgView.exe) に 2 つの欠陥があり、 攻略電子メールを使って Log Viewer に任意のスクリプトを注入できる。 この欠陥は、Log Viewer の View Logs - Email Filtering オプションが有効である場合に発現する。 CVE-2009-1428

 個人向け製品 (Norton 360 1.0, NIS 2005〜2008) の修正は LiveUpdate を通じて提供済。 Norton 360 2.0、NIS 2009 にはこの欠陥はない。

 企業向け製品は、Symantec AntiVirus Corporate Edition 9.0 MR7 / 10.1 MR8 / 10.2 MR2、Symantec Endpoint Protection 11.0 MR1、Symantec Client Security 2.0 MR7 / 3.1 MR8 で修正されている。

SYM09-007: Security Advisories Relating to Symantec Products - Symantec Alert Management System 2 multiple vulnerabilities (Symantec, 2009.04.28)

 企業向けシマンテック製品に含まれる Alert Management System 2 (AMS2) に 4 つの欠陥。Intel LANDesk Common Base Agent (CBA)、Intel Alert Originator Service (IAO.EXE)、Intel File Transfer service (XFR.EXE) に欠陥があり、remote から local SYSTEM 権限を奪取できる。 CVE-2009-1429 CVE-2009-1430 CVE-2009-1431

 Symantec AntiVirus Corporate Edition 9.0 MR7 / 10.1 MR8 / 10.2 MR2、Symantec Endpoint Protection 11.0 MR3、Symantec Client Security 2.0 MR7 / 3.1 MR8 で修正されている。

 関連: Symantec System Center Alert Management System Console Arbitrary Program Execution Design Error Vulnerability (iDefense, 2009.04.29)

SYM09-008: Security Advisories Relating to Symantec Products - Symantec Reporting Server Improper URL Handling Exposure (Symantec, 2009.04.28)

 企業向けシマンテック製品に含まれる Symantec Reporting Server に欠陥。 URL の処理に欠陥があり、phishing 攻撃を実施可能。Reporting Server のログイン画面に攻撃者が選択した内容を表示できる。 CVE-2009-1432

 Symantec AntiVirus Corporate Edition 10.1 MR8 / 10.2 MR2、 Symantec Endpoint Protection 11.0 MR2、 Symantec Client Security 3.1 MR8 で修正されている。

2009.05.09

2009.05.08

マイクロソフト セキュリティ情報の事前通知 - 2009 年 5 月
(Microsoft, 2009.05.08)

 今月は PowerPoint 1 件だけを予定。 マイクロソフト セキュリティ アドバイザリ (969136) Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される の修正かな。

2009.05.07

いろいろ (2009.05.07)
(various)

追記

「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください

 Swine Flu Spam Attempt to Infect Japanese Users (trendmicro blog, 2009.05.03) によると、トレンドマイクロでは TROJ_PIDIEF.UA および TROJ_PIDIEF.TY として検出するそうで。

 って……。サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ セキュリティ blog, 2009.04.30) だとニュアンスが異なるぞ。Swine Flu Spam Attempt to Infect Japanese Users (trendmicro blog, 2009.05.03) では

Spammed messages with the subject Warning of Swine Flu claiming to be from the National Institute of Infectious Diseases, encourages users to open an attached .ZIP file, to “learn” more about the pandemic (detection available as TROJ_PIDIEF.UA and TROJ_PIDIEF.TY). Our engineers have verified that TROJ_PIDIEF.TY drops and executes BKDR_KUPS.G.

とあるので、zip の中身が TROJ_PIDIEF.UA および TROJ_PIDIEF.TY であるように読めるのだが、サイバー空間における豚インフルエンザ騒動の影響 (トレンドマイクロ セキュリティ blog, 2009.04.30) では

 こうした事例は他からも寄せられています。他の事例では「.ZIP」ファイルのみならず、「.PDF」(「TROJ_PIDIEF.TY」、「TROJ_PIDIEF.UA」等)/「.DOC」などの文書ファイルを装ったウイルスもしくは、文書作成ソフトウェアの脆弱性を衝き攻撃を行うウイルスの存在を確認しています。

TROJ_PIDIEF.UA や TROJ_PIDIEF.TY はあくまで「他の事例」であり、当該 zip の中身が何なのかは全く不明だ。

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability

 Adobe Reader Issue Update (Adobe Product Security Incident Response Team (PSIRT), 2009.05.01)。修正版は 2009.05.12 (多分米国時間) に公開されるそうで。Windows 版の Adobe Reader / Acrobat 7.x / 8.x / 9.x、 Mac OS X 版の Adobe Reader / Acrobat 8.x / 9.x、 Unix 版の Adobe Reader 8.x / 9.x が用意される。

PDF most common file type in targeted attacks
(F-Secure blog, 2009.05.06)

 もはや Microsoft Office 文書を使った事例と PDF を使った事例は拮抗しているそうで。

2009.05.06

追記

複数のアンチウイルスソフトにおけるアーカイブファイルの扱いに関する欠陥

 多分関連:

  • セキュリティ勧告 FSC-2009-1 (F-Secure, 2009.05.06)。F-Secure アンチウィルス Linuxゲートウェイに関して、修正版 3.02 が用意されている。2.x については、3.02 へのアップグレードを行うか、あるいはホットフィックス libfm.3.10.15160.tar.gz を適用する。

2009.05.05

2009.05.03

2009.05.02

2009.05.01

[セキュリティホール memo]
私について