セキュリティホール memo - 2009.06

Last modified: Mon Dec 3 17:41:50 2012 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2009.06.30

2009.06.29

2009.06.28

いろいろ (2009.06.28)
(various)

2009.06.27

追記

マイクロソフト セキュリティ アドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される

 Online Game Password Stealers Riding with 0-day DirectShow Exploits (Microsoft Malware Protection Center, 2009.06.25)

2009.06.26

追記

Microsoft Security Essentials Beta

 Microsoft Security Essentialsベータ版の使い勝手をチェック!  “だれでも使える”アンチウイルス・ソフトウェアなのはまちがいなし (ComputerWorld.jp, 2009.06.25)

2009.06.25

追記

Microsoft Security Essentials Beta

 米MSが無料ウイルス対策ソフトのベータ版を限定公開、日本は対象外 (日経 IT Pro, 2009.06.25)

対象は米国・イスラエル・中国・ブラジルのユーザー。これら以外の国からはダウンロードできない。

 あらら、今アクセスすると「Not available in your country or region」と言われてしまうなあ。

ウイルス検索エンジン VSAPI 8.950 (ビルド1094) Windows NTKD版公開のお知らせ
(トレンドマイクロ, 2009.06.24)

 トレンドマイクロのウイルス検索エンジン VSAPI 8.911 (以前?) に欠陥。 LZH ファイルのヘッダの扱いに欠陥があり、攻略 LZH ファイルによって DoS 攻撃を受ける (ブルー画面になってしまう)。

 VSAPI 8.950 (ビルド1094) で修正されている。

2009.06.24

APSB09-08: Security Update available for Shockwave Player
(Adobe, 2009.06.23)

 Shockwave Player 11.5.0.596 以前に欠陥。 11.0.0.465 で修正されたはずの CVE-2009-1860 の「backwards compatibility mode variation of the issue with Shockwave Player 10 content」にヤラれてしまう。

 Shockwave Player 11.5.0.600 で修正されている。入手先。Shockwave Player がインストールされているか否かは、たとえばこのページで確認できるみたい。

追記

ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について

  ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について (キヤノン IT ソリューションズ) が更新されています。ESET Smart Security を再インストールすれば解決するようです。

Microsoft Security Essentials Beta
(Microsoft, 2009.06.23)

 岬ちゃん (Morro) デビュー。

This beta is available only to customers in the United States, Israel (English only), People's Republic of China (Simplified Chinese only) and Brazil (Brazilian Portuguese only)

 というわけで、日本語版はまだないよ。用意されているのは、32bit 版 Windows XP / Vista / Windows 7、および 64bit 版 Vista / Windows 7 用。 64bit 版 Windows XP の人は残念でした。

 とりあえず VMware 上の Windows XP SP3 に入れてみたけど、悪くない感じ。

2009.06.25 追記:

 米MSが無料ウイルス対策ソフトのベータ版を限定公開、日本は対象外 (日経 IT Pro, 2009.06.25)

対象は米国・イスラエル・中国・ブラジルのユーザー。これら以外の国からはダウンロードできない。

 あらら、今アクセスすると「Not available in your country or region」と言われてしまうなあ。

2009.06.26 追記:

 Microsoft Security Essentialsベータ版の使い勝手をチェック!  “だれでも使える”アンチウイルス・ソフトウェアなのはまちがいなし (ComputerWorld.jp, 2009.06.25)

2009.07.09 追記:

 セキュリティ・ベンダーとMicrosoftの衝突が再び勃発 (日経 IT Pro, 2009.07.09)

2009.09.24 追記:

 MSの無料ウイルス対策ソフト「Microsoft Security Essentials」、まもなく正式公開へ (CNET, 2009.09.24)。いよいよみたいですね。

2009.09.29 追記:

 MS、無料ウイルス対策ソフト「Security Essentials」29日公開 (Internet Watch, 2009.09.29)。それ US 時間でしょうから、多分明日。

2009.09.30 追記:

 正式版出ましたよ。

2009.10.02 追記:

 関連:

2009.10.07 追記:

 Microsoft Security Essentials FAQ風まとめ (日本のセキュリティチーム, 2009.10.07)

Q Microsoft Security Essentialsは、Windows XP でなぜ1GBものメモリを必要とするのですか?
A Microsoft Security EssentialsをWindows XPで必要なメモリは、256MBとなります。近日中に1GBと記載されているサイトを更新予定です。

 なぁんだ……。

2009.10.09 追記:

 関連:

 システム要件も無事改訂されたようで。あと、今気がついたのですが、

Microsoft Security Essentials は、Windows 7 の Windows XP モードにも対応しています。詳細については、Windows 7 の Windows XP モードを使用するための システム要件 を参照してください。

 XP モード用に MSE を使う、というのがあるのですね。

2009.10.19 追記:

 関連:

2009.10.23 追記:

 Microsoft Security Essentials 日本語版を8年前のパソコンにインストールしてみた (パソコントラブル出張修理・サポート日記, 2009.10.13)。意外と使えちゃう模様。

2009.10.28 追記:

  マイクロソフト担当者に聞く、ウイルス対策無償提供の狙い  「Security Essentials」の無償提供でウイルス感染率の低減を (Internet Watch, 2009.10.27)

2009.11.30 追記:

 IEが起動できません。 (パソコントラブル出張修理・サポート日記, 2009.11.23)。

このソフトの本当の意義は、他社のウイルス対策ソフトを駆逐することではなく、

他社のウイルス対策ソフトが使えないような古くて低スペックなパソコン(しかも現役)のウイルス対策

にあるんじゃないかと思いました。

 おっしゃるとおりです。 マイクロソフト担当者に聞く、ウイルス対策無償提供の狙い  「Security Essentials」の無償提供でウイルス感染率の低減を (Internet Watch, 2009.10.27) とかも読んであげてね。

2009.12.11 追記:

 MS無料ウイルス対策ソフトでできること、できないこと  「Microsoft Security Essentials」導入レポート (Internet Watch, 2009.12.11)

 他のソフトウェアなどと比べた場合で目立つのは、スパムへの対応だろうか。現在では、ウイルスやワームを直接配布するような攻撃は滅多に見かけなくなっており、スパムメールなどに記載したURLを通じてユーザーを不正なWebサイトに誘導した上で、フィッシング詐欺を仕掛けたりスパイウェアなどをダウンロードさせたりといったソーシャルエンジニアリング的な手法を組み合わせた攻撃が増えている。こうした攻撃の入口を断つという意味ではスパム対策が極めて有効なのだが、ここは他のソフトウェアに任せるということのようだ。

 ふぅむ……。

ということなのでは。

2009.06.23

ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について
(キヤノン IT ソリューションズ, 2009.06.23)

 ウイルス定義ファイル 4179(20090622) 以降 + パーソナルファイアウォール機能バージョン 1047(20090525) + Windows Vista で通信できなくなるそうで。 ESET のパーソナルファイアウォール機能を停止すれば回避できるのだそうで。

 関連: Network connection problems after updating of the firewall module to version 1047 (ESET, 2009.06.23)。こちらでも同様にパーソナルファイアウォールの停止を指示してます。

2009.06.24 追記:

  ESET Smart Security のパーソナルファイアウォール機能バージョン1047(20090525)の通信障害について (キヤノン IT ソリューションズ) が更新されています。ESET Smart Security を再インストールすれば解決するようです。

追記

Slowloris HTTP DoS

 Apache HTTP DoS tool mitigation (SANS ISC, 2009.06.21)。銀の弾丸はない。(IIS とかに乗りかえる、とかいうパターンを除けば)

マイクロソフト セキュリティ アドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される

 Windows XP/Server 2003の脆弱性を悪用する攻撃が急増か  修正パッチは未公開、マイクロソフトは設定変更ツールを配布 (ComputerWorld.jp, 2009.06.23)

Stable, Beta update: Security fix
(Google Chrome Release blog, 2009.06.22)

 Google Chrome 2.0.172.33 登場。 CVE-2009-2121 が修正されているそうで。

Thunderbird 2.0.0.22 リリースノート
(mozilla.jp, 2009.06.23)

 出ましたよ。SeaMonkey 1.1.17 も出てますね。

[SA35515] LibTIFF "LZWDecodeCompat()" Buffer Underflow Vulnerability
(Secunia, 2009.06.23)

 LibTIFF 3.8.2 に欠陥。LZWDecodeCompat() で buffer overflow が発生する模様。

 CVE 上では修正されている模様。 Bug 2065 - LZWDecodeCompat buffer underflow を参照。

[SA35521] SSVNC OpenSSL Multiple Vulnerabilities
(Secunia, 2009.06.23)

 SSVNC というソフトがあるのですね。

SSVNC adds encryption security to VNC connections. It provides a GUI for Windows, Mac OS X, and Unix that automatically starts up an STUNNEL SSL tunnel for SSL or ssh for SSH connections to any other VNC server.

 OpenSSL 由来の欠陥だそうで。 SSVNC 1.0.23 で修正されているそうです。

VU#251793: Foxit Reader contains multiple vulnerabilities in the processing of JPX data
(US-CERT, 2009.06.19)

 Foxit Reader 3.0 + JPEG2000/JBIG2 Decoder アドオン 2.0 Build 2009.303 に欠陥。 JPEG2000 ストリームおよび JPEG2000 ヘッダの扱いに欠陥があり、PDF ファイル中の 攻略 JPEG2000 データによって任意のコードを実行できる。 JPEG2000/JBIG2 Decoder アドオンをインストールしていない場合には、この欠陥の影響はない。 CVE-2009-0690 CVE-2009-0691

 Foxit Reader 3.0 Build 1817 + JPEG2000/JBIG2 Decoder アドオン 2.0 Build 2009.616 で修正されている。

 関連: Two Security Vulnerabilities Fixed in Foxit Reader 3.0 and JPEG2000/JBIG2 Decoder (foxitsoftware.com)。修正までのタイムラインが示されている。 Foxit Software Company のリリースエンジニアリングが垣間見えて興味深い。

2009.06.22

2009.06.21

2009.06.20

追記

Slowloris HTTP DoS

 PHP 版: [Full-disclosure] apache and squid dos

2009.06.19

Slowloris HTTP DoS
(ha.ckers.org, 2009.06.17)

 HTTP サーバに対する DoS 攻撃ツール Slowloris 0.7 登場。Apache 1.x / 2.x、dhttpd、GoAhead WebServer、 Squid には効果があり、 IIS 6.0 / 7.0、lighttpd には効果がないそうだ。 Windows 上ではうまく動かない模様。

 関連: スローロリスの飼育を考えている方へ (香川県)

2009.06.21 追記:

 PHP 版: [Full-disclosure] apache and squid dos

2009.06.24 追記:

 Apache HTTP DoS tool mitigation (SANS ISC, 2009.06.21)。銀の弾丸はない。(IIS とかに乗りかえる、とかいうパターンを除けば)

2012.12.03 追記:

 Tomcat も影響を受けるそうで。CVE-2012-5568Bug 880011 - CVE-2012-5568 tomcat: Slowloris denial of service (Red Hat)

標的型メール攻撃の“予防接種”、半数が感染するも学習効果あり
(Internet Watch, 2009.06.19)

 訓練訓練また訓練。関連: 「標的型攻撃」対策には“予防接種”が効果的、JPCERTが2600人で実証 (日経 IT Pro, 2009.06.19)

追記

About the security content of iPhone OS 3.0 Software Update

 関連:

APSB09-07: Security Updates available for Adobe Reader and Acrobat

 Unix 版 Adobe Reader 9.1.2 / 8.1.6 出ています。 Adobe Reader for Unix (Adobe)

2009.06.18

McAfee Agent(Common Management Agent)で発見されたActiveXの脆弱性について
(マカフィー, 2009.06.18)

 この件: McAfee, Inc. 3.6.0.608 Policy Manager naPolicyManager.dll Arbitrary Data Write (milw0rm)。Windows 版 CMA 3.5.x / 3.6.x、McAfee Agent 4.0.x の欠陥。

 patch はまだない。Kill bit を設定して回避する方法が記載されている。 設定用 .reg ファイル も配布されている。

 CMA 3.5.x / 3.6.x については、修正される予定はない。McAfee 4.0 については、次回 patch で修正される予定 (patch 3 か)。

About the security content of iPhone OS 3.0 Software Update
(Apple, 2009.06.17)

 計 45 46 種類の欠陥が修正されている。iPhone 利用者はアップグレードしましょう。

2009.06.19 追記:

 関連:

2009.06.17

URL shortening service compromised
(viruslist.com, 2009.06.16)

 URL 短縮サービスって (いろんな意味で) ヤバいよね、というのは昔からある話ですが、ついに、 URL 短縮サービスが攻略されたうえ、「200 万以上の短縮 URL が特定の 1 つの URL に向けられる」という事態が発生したのだそうで。

 cli.gs は、4th Most Popular URL Shortener on Twitter なんだってさ。

2009.06.16

追記

セキュリティ企業、最新版「Mac OS X」のJava脆弱性で警告--実証コードを公開

 出ましたよ。

7月は「Twitterバグ月間」、Web 2.0の安全を考えるきっかけに
(ITmedia, 2009.06.16)

 Month of Twitter Bugs だそうですよ奥さん。

Exploiting TCP and the Persist Timer Infinitenes
(Phrack.org, 2009.06.11)

 TCP Persist Timer に対する DoS 攻撃。 理論解説、OpenBSD 4.3 および Linux 2.6.18 に対する実地検証、攻撃ツールのソース。

SHA-1の脆弱性が更に進む
(yebo blog, 2009.06.12)

 着実に縮まっているようで。

Buggy 'smart meters' open door to power-grid botnet: Grid-burrowing worm only the beginning
(The Register, 2009.06.12)

 バグっている「スマート電力計」が電力網ボットネットへの道を開く?! 来月の BlackHat USA 2009 でデモる?!

2009.07.16 追記:

 Black Hat USA 2009 //Schedule によると、Mike Davis: Recoverable Advanced Metering Infrastructure は 7/30 ですね。 この他にも、同じく 7/30 の Joe Grand, Jacob Appelbaum & Chris Tarnovsky: "Smart" Parking Meter Implementations, Globalism, and You が似たような話なのかなあ。

マイクロソフト セキュリティ アドバイザリ (971888) DNS デボルブ用の更新プログラム
(Microsoft, 2009.06.10)

 Windows の resolver には「DNS デボルブ機能」というものがついているのだが、 957579 patch を適用すると、「DNS デボルブ機能」の動作をある程度制御できるようになるそうで。 詳細については KB 957579 を参照。ちゃんとした日本語版がほしいですね。

 関連: Windows Server 2003 の DNS 用の新しいグループ ポリシー (Microsoft KB 294785)。肝心なところが間違っている KB。英語版は正しいのですが。

マイクロソフト セキュリティ アドバイザリ (969898) ActiveX の Kill Bit 更新プログラムのロールアップ
(Microsoft, 2009.06.10)

 関連リンク:

研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ
(ZDNet, 2009.06.16)

 無線キーボードスニッファ Keykeriki の件。ハードウェアも販売予定だそうで。

Please note, we will provide pre made PCB's and components very soon at a fair price. Please check back after some time.

2009.06.15

Microsoft 2009 年 6 月のセキュリティ情報
(Microsoft, 2009.06.10)

 今ごろになって書いててアレですが……。

MS09-018 - 緊急: Active Directory の脆弱性により、リモートでコードが実行される (971055)

  • Active Directory の無効な解放の脆弱性 - CVE-2009-113

    Windows 2000 Server 上の Active Directory に欠陥。 メモリの解放処理に欠陥があり、 攻略 LDAP / LDAPS リクエストによって任意のコードを実行できる。 Exploitability Index: 1。

  • Active Directory のメモリ リークの脆弱性 - CVE-2009-1139

    Windows 2000 Server / Server 2003 上の Active Directory、 および Windows XP / Server 2003 上の Active Directory Application Mode (ADAM) に欠陥。メモリの管理に欠陥があり、攻略 LDAP / LDAPS リクエストによって DoS 攻撃を実行できる。 Exploitability Index: 3。

MS09-019 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)

 KB 969897 には非セキュリティな更新についても述べられている。

MS09-020 - 重要: インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483)

 IIS 6.0 + WebDAV: Unicode バグの逆襲 の件なのですが、IIS 5.0 と IIS 5.1 / 6.0 とで CVE が別になっているみたい。

  • IIS 5.0 の WebDAV の認証回避の脆弱性 - CVE-2009-1122

    Exploitability Index: 3

  • IIS 5.1 および 6.0 の WebDAV の認証回避の脆弱性 - CVE-2009-1535

    Exploitability Index: 1

MS09-021 - 緊急: Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)

 いずれの欠陥も、任意のコードの実行を引き起こす。

  • レコード ポインターの破損の脆弱性 - CVE-2009-0549

    Excel 2000 / 2002 / 2003、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 の欠陥。 Exploitability Index: 2

  • オブジェクト レコードの破損の脆弱性 - CVE-2009-0557

    Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック の欠陥。 Exploitability Index: 1

  • 配列インデックスのメモリの破損の脆弱性 - CVE-2009-0558

    Excel 2000、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC の欠陥。 Exploitability Index: 2

  • 文字列のコピーのスタックベースのオーバーランの脆弱性 - CVE-2009-0559

    Excel 2000 / 2002 の欠陥。 Exploitability Index: 1

  • フィールド サニタイゼーションのメモリの破損の脆弱性 - CVE-2009-0560

    Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック の欠陥。 Exploitability Index: 3

  • レコードの整数のオーバー フローの脆弱性 - CVE-2009-0561

    Excel 2000 / 2002 / 2003 / 2007、Office for Mac 2004 / 2008、Office Open XML File Converter for MAC、Excel Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、SharePoint Server 2007 の欠陥。 Exploitability Index: 1

  • レコード ポインターの破損の脆弱性 - CVE-2009-1134

    Excel 2007、Excel Viewer 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック の欠陥。 Exploitability Index: 1

MS09-022 - 緊急: Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)

 印刷スプーラーに 3 つの欠陥。

  • 印刷スプーラーのバッファー オーバーフローの脆弱性 - CVE-2009-0228

    Windows 2000 のみの欠陥。攻略 RPC リクエストにより、remote から任意のコードを実行できる。

  • 印刷スプーラーのファイル読み取りの脆弱性 - CVE-2009-0229

    Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 local user がシステム上の全てのファイルを読み取り・印刷できてしまう。

  • 印刷スプーラーのライブラリ読み込みの脆弱性 - CVE-2009-0230

    Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 攻撃者が「プリンターの管理」の特権を獲得している場合に、任意の DLL がロードされてしまい、権限上昇が可能となる。Windows2000 / XP / Server 2003 は「警告」だが、Vista / Server 2008 では「重要」にランクされている。

MS09-023 - 警告: Windows サーチの脆弱性により、情報漏えいが起こる (963093)

 Windows XP / Server 2003 上の Windows Search 4.0 に欠陥。 CVE-2009-0239

  1. 攻略 HTML ファイルを目標システムに仕掛ける。 ファイルそのものを設置したり、電子メールとしてメールボックスに含ませたりする。

  2. 当該ユーザが検索を実行し、検索の「最初の結果」に攻略 HTML ファイルが返されると、当該ファイルが自動的にプレビューされ、ファイル中のスクリプトが無警告で実行される。そうでない場合でも、選択してプレビューすると、ファイル中のスクリプトが無警告で実行される。

関連: MS09-023: Windows Search and MSHTML Host Apps (Microsoft Security Research & Defense, 2009.06.09)

MS09-024 - 緊急: Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)

 Word 2000 / 2002 (XP) / 2003 / 2007 SP1、Works 8.5 / 9 に欠陥。 Word に含まれる Works コンバーターに欠陥があり、攻略 Works ファイルによってメモリ破壊が発生、任意のコードが実行される。 Office 2007 SP2 にはこの欠陥はない。 CVE-2009-1533

 関連: MS09-024: Lower risk if you have Microsoft Word installed (Microsoft Security Research & Defense, 2009.06.09)

MS09-025 - 重要: Windows カーネルの脆弱性により、特権が昇格される (968537)

 Windows カーネルに 4 つの欠陥。CVE-2009-1126 を除いて、Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥がある。CVE-2009-1126 については、Windows 2000 / XP / Server 2003 のみに欠陥がある。

  • Windows カーネルのデスクトップの脆弱性 - CVE-2009-1123

  • Windows カーネル ポインターの検証の脆弱性 - CVE-2009-1124

  • Windows ドライバー クラスの登録の脆弱性 - CVE-2009-1125

  • Windows デスクトップ パラメーターの編集の脆弱性 - CVE-2009-1126

 いずれの欠陥についても、local user による権限上昇が可能となる。

MS09-026 - 重要: RPC の脆弱性により、特権が昇格される (970238)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 リモート プロシージャー コール (RPC) NDR20 マーシャル エンジンに欠陥があり、RPC インターフェイスの定義として non-conformant varying array を用いている場合に欠陥が発動する。ただし、Windows 内部ではこの形式の RPC インターフェイスは一切用いていない。よって、影響を受ける可能性があるのは 3rd party アプリケーションに限られる。 CVE-2009-0568

 関連: MS09-026: How a developer can know if their RPC interface is affected (Microsoft Security Research & Defense, 2009.06.09)

2009.06.13

英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺
(slashdot.jp, 2009.06.12)

 背景:

 今回の状況:

日付 できごと
2009.05.21

ある人物が Kloxo の脆弱性情報を lxlabs に通知。 しかし lxlabs は脆弱性情報を評価したようには見えない模様。

2009.06.04

脆弱性情報が公開された。http://milw0rm.com/exploits/8880

2009.06.05

lxlabs が「複数のセキュリティ欠陥が発見され、最新版で修正されたので更新よろ」とアナウンス。Multiple Security Issues in hyperVM/Kloxo (lxlabs.com, 2009.06.05)

message #67179 を見る限りでは、 アナウンス時点における「最新版」の HyperVM のバージョンは 2.0.7942 だったようだが、 http://download.lxlabs.com/download/hypervm/production/hypervm/ には 2.0.7942 から 2.0.7992 までのバージョンが存在する。 (日付は 2009.06.06 だなあ)

2009.06.07

VAserv はこのあたりでやられたっぽい。 Security Alert: Shut Down HyperVM & LxAdmin/Kloxo Immediately (wickedfire.com)

2009.06.08

Webhost hack wipes out data for 100,000 sites: Vaserv suspects zero-day virtualization vuln (The Register, 2009.06.08)。 2.0.7992 でも駄目だった模様。

"We were hit by a zero-day exploit" in version 2.0.7992 of the application, he said. "I've heard from other people they've been hit by the same thing."

 で、世の中の仮想ホスティングサービスは、現在、HyperVM / Kloxo を停止している模様。

追記

ゴルフダイジェスト・オンラインで不正アクセス被害発生

 関連: RSA Conference 2009 JAPAN:不正アクセスによるサービス停止——事例から学ぶセキュリティ対策 (ITmedia, 2009.06.12)

2009.06.12

いろいろ (2009.06.12)
(various)

CVE-2009-1151: phpMyAdmin Remote Code Execution Proof of Concept

 CVE-2009-1151 だそうです。

FreeBSD 6.x / 7.x に 3 つの欠陥

 この 3 つ。

 pipe 話と ipv6 話は kernel の再構築が必要。 ntpd 話は JVNVU#853097 - ntpd autokey におけるバッファオーバーフローの脆弱性 の件。

[SA35399] Ruby BigDecimal Denial of Service Vulnerability

 BigDecimal 標準ライブラリに欠陥があり、ライブラリを使用するアプリが crash する場合がある。ruby 1.8.6-p369 / 1.8.7-p173 で修正されている。

[SA35407] MoinMoin Hierarchical ACL Security Bypass Security Issue

 MoinMoin 1.8.4 で修正されている。

[SA35422] Perl Compress::Raw::Zlib Module Off-by-One Vulnerability

 perl モジュール Compress::Raw::Zlib に off-by-one エラー。2.017 版以降で修正されている。

2009.07.21 追記:

 Trojan.Downloader-71014 で悪用されているそうで。 CVE-2009-1391

Firefox 3.0.11 リリースノート
(mozilla.jp, 2009.06.12)

 9 つの欠陥が修正されてますね。重大な欠陥もあいかわらずありますね。

追記

W32/Generic.worm.aaの誤認について

 日本語情報も更新されました。

【2009/6/12更新】
定義ファイルに組み込まれている処理の一部と最新のモジュールで使用されているパフォーマンスの最適化機能が競合し、問題が発生することが分かりました。このため5637の定義ファイルより競合する処理の一部を外し、誤認が発生しないよう修正しました。

 False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) もさらに改訂されてました。

Cause
The false detection was caused by an interaction between a single performance optimization function that was introduced with Patch 1 and whitelisting code delivered in the daily DAT files.

Solution
The whitelisting code has been disabled as part of the incremental 5639 DAT files released on Sunday, 7 June 2009.

 DAT 中のホワイトリスト機能と、VSE 8.7i patch 1 のパフォーマンス向上機能とがぶつかっていた、ということですかね。ホワイトリスト機能は無効化されたそうで。

2009.06.11

Microsoft、無料セキュリティサービスを間もなくβ公開
(ITmedia, 2009.06.11)

 Morro、いよいよデビューですよ!

「Microsoftの無料製品は基本的に、販売終了になったOneCareの縮小版だ」とSymantecのコンシューマー部門社長ジャニス・チャフィン氏は言う。

 それはそのとおりだろうなあ。

「消費者が今身を守るために必要としているのはフル機能のセキュリティスイートだ」

 その「フル機能のセキュリティスイート」とやらも十分には機能しないのが問題なのでは。

追記

W32/Generic.worm.aaの誤認について

 False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) が 2009.06.08 に改訂されています。

McAfee has isolated the cause of the issue and has addressed this as part of the incremental 5639 DAT files released on Sunday, 7 June 2009 and later.

 DAT5639 以降に更新した後に patch 1 を適用すればよいようです。

2009.06.10

Java SE 6 Update Release Notes: Changes in 1.6.0_14 (6u14)
(Sun, 2009.05.29)

 Java SE 6u14 出てます。Windows Vista SP2 / Server 2008 SP2 に対応しています。 Bug Fixes の項には、classes_security サブカテゴリなものが 3 つ、security サブカテゴリなものが 2 つありました。(以下引用)

BugId Category Subcategory Description
6643094 java classes_security Test on keytool -startdate forgets about December
6787645 java classes_security CRL validation code should permit some clock skew when checking validity of CRLs
6819110 java classes_security Lazily load Sun digest provider for jar verification
6742114 java_deployment security Add black list support to JDK
6809110 java_deployment security JRE behavior unexpected when pre-trusting certificates (user or system)

 Blacklist 機能はこういうものだそうです。(以下引用)

Blacklist Jar Feature

Support for blacklisting signed jar files has been added to 6u14. A blacklist is a list of signed jars that contain serious security vulnerabilities that can be exploited by untrusted applets or applications. A system-wide blacklist will be distributed with each JRE release. Java Plugin and Web Start will consult this blacklist and refuse to load any class or resource contained in a jar file that's on the blacklist. By default, blacklist checking is enabled. The deployment.security.blacklist.check deployment configuration property can be used to toggle this behavior.

The blacklist entries are the union of the blacklist files pointed to by the deployment.system.security.blacklist and deployment.user.security.blacklist properties. By default, deployment.system.security.blacklist points to the blacklist file in the jre/lib/security directory, and deployment.user.security.blacklist points to a blacklist file that contains additional entries added by a user.

The blacklist is a text file with the following format: 

attribute : value

Each jar file on the blacklist is identified by the x-Digest-Manifest attribute where x is the name of the MessageDigest algorithm, and the value is the base64 encoded hash value of the Manifest. Comments are denoted by lines starting with the # (number) symbol.

Here is an example: 

# Buggy Utilities, version 1.0
SHA1-Digest-Manifest : QONXbQg+EtNOguIOAgpUUOadhv8=
# Malware Inc., version 99.99
SHA-256-Digest-Manifest : SewaudBCZ3iXt1KX0BeFHpQiiM1xYLtvLw3Ow2RJfcs=

 cadz さん情報ありがとうございます。

Google Chrome Stable update: 2 WebKit security fixes
(Google Chrome Releases, 2009.06.09)

 Google Chrome 2.0.172.31 登場。 Safari 4.0 正式版 でも修正されていた WebKit の件、 CVE-2009-1690 CVE-2009-1718 が修正されている。

APSB09-07: Security Updates available for Adobe Reader and Acrobat
(Adobe, 2009.06.09)

 Adobe Reader / Acrobat 9.1.1 以前に、任意のコードの実行が可能なものを含む複数の欠陥。Adobe Reader / Acrobat 9.1.2 / 8.1.6 / 7.1.3 で修正されている。 現時点では Windows 版および Mac OS X 版の更新のみが用意されている。Unix / Linux 版については 2009.06.16 に公開される予定。 更新プログラムは次のリンクから入手できる。

 Adobe Reader / Acrobat 内蔵の更新機能を使っても更新できることを手元で確認した。

2009.06.19 追記:

 Unix 版 Adobe Reader 9.1.2 / 8.1.6 出ています。 Adobe Reader for Unix (Adobe)

2009.11.01 追記:

 日本語版: APSB09-07: Adobe ReaderおよびAcrobat用セキュリティアップデート公開 (Adobe)

追記

Microsoft 2009 年 5 月のセキュリティ情報

 Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac、Microsoft Works 8.5 / 9.0 用の MS09-017 修正プログラムが 2009.06.10 付で公開された。

IIS 6.0 + WebDAV: Unicode バグの逆襲

 MS09-020 - 重要: インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483) (Microsoft, 2009.06.10) で修正されました。

2009.06.09

About the security content of Safari 4.0
(Apple, 2009.06.09)

 Safari 4.0 正式版登場。Safari 3.x に存在した大量の欠陥が修正されている。 WebKit の修正も多数含まれているけど、他の場所にも飛び火するのかな。

2009.06.10 追記:

 関連:

追記

bid 34736: Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability

 IBM ISS で CVE-2009-1492 の新たな攻撃コードを確認したそうです: Adobe Reader / Acrobatの脆弱性を狙う新たな攻撃を確認(CVE-2009-1492)【Tokyo SOC Report】 (IBM, 2009.06.08)。守屋さん情報ありがとうございます。

2009.06.08

2009.06.07

2009.06.05

いろいろ (2009.06.05)
(various)

[SA35344] Apache Tomcat 6 Denial of Service and Information Disclosure (secunia, 2009.06.05)

 Apache Tomcat 6.0.20 登場。DoS 欠陥 CVE-2009-0033、 情報開示の欠陥 CVE-2009-0580、 XSS 欠陥 CVE-2009-0781、情報開示の欠陥 CVE-2009-0783 が修正されている。

 関連:

[SA35326] Apache Tomcat Denial of Service and Information Disclosure (secunia, 2009.06.05)

 Apache Tomcat 6.0.20 で修正された 4 つの欠陥は、 Apache Tomcat 4.1.SVN および Apache Tomcat 5.5.SVN でも修正されている。

[SA35235] IBM DB2 Denial of Service and LDAP Authentication Security Issue (secunia, 2009.06.03)

 DB2 9.1 Fixpak 7 / 9.5 Fixpak 4 で修正されているそうで。 CVE-2009-1905 CVE-2009-1906

ImageMagick "XMakeImage()" Integer Overflow Vulnerability (secunia, 2009.05.27)

 ImageMagick の XMakeImage() に欠陥があり、 攻略画像ファイルを使って任意のコードを実行できる? CVE-2009-1882

 ImageMagick 6.5.2-8 以降で修正されている模様。

Winamp MAKI Parsing Vulnerability Details (VRT, 2009.05.20)

 Winamp 5.552 で修正されている、MAKI スクリプトの欠陥の詳細。

Adobe Security Bulletin Advance Notification
(Adobe Product Security Incident Response Team (PSIRT), 2009.06.04)

 Windows Update の日にあわせて、Adobe Reader / Acrobat 7.x / 8.x / 9.x の更新版が登場する予定の模様。

Adobe expects to deliver security updates for Adobe Reader and Acrobat versions 7.x, 8.x, and 9.x for Windows and Macintosh on Tuesday, June 9.

 おや、Unix / Linux 版は用意されないのかな。

2009.06.10 追記:

 つづき: APSB09-07: Security Updates available for Adobe Reader and Acrobat

W32/Generic.worm.aaの誤認について
(マカフィー, 2009.06.05)

 マカフィー VirusScan Enterprise 8.7 Patch 1 および Total Protection Service 4.7.0.771 において、Windows のシステムファイルを W32/Generic.worm.aa として誤検出する事例が発生している模様。マカフィーはまだ状況を把握できていない模様。

本問題は、一部の端末での報告があり、発生条件は現在分かっていませんが、すべての端末で発生する問題ではありません。また、オンアクセススキャンのサービスを再起動すると、再検知しなくなります。
※ VirusScan Enterprise 8.7 Patch 1適用をご検討中のお客様は、 本問題に対する詳細情報が弊社より提供されるまで、適用をお控えいただくことをお勧めいたします。

 patch なしでの誤検出発生は確認されていないそうで。というか、patch 1 出てたのか。ただいまダウンロード中。

 関連:

2009.06.11 追記:

 False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) が 2009.06.08 に改訂されています。

McAfee has isolated the cause of the issue and has addressed this as part of the incremental 5639 DAT files released on Sunday, 7 June 2009 and later.

 DAT5639 以降に更新した後に patch 1 を適用すればよいようです。

2009.06.12 追記:

 日本語情報も更新されました。

【2009/6/12更新】
定義ファイルに組み込まれている処理の一部と最新のモジュールで使用されているパフォーマンスの最適化機能が競合し、問題が発生することが分かりました。このため5637の定義ファイルより競合する処理の一部を外し、誤認が発生しないよう修正しました。

 False positive detection for W32/Generic.worm.aa with VirusScan Enterprise 8.7i Patch 1 (McAfee, 2009.06.04) もさらに改訂されてました。

Cause
The false detection was caused by an interaction between a single performance optimization function that was introduced with Patch 1 and whitelisting code delivered in the daily DAT files.

Solution
The whitelisting code has been disabled as part of the incremental 5639 DAT files released on Sunday, 7 June 2009.

 DAT 中のホワイトリスト機能と、VSE 8.7i patch 1 のパフォーマンス向上機能とがぶつかっていた、ということですかね。ホワイトリスト機能は無効化されたそうで。

マイクロソフト セキュリティ情報の事前通知 - 2009 年 6 月
(Microsoft, 2009.06.05)

 はい、もうそんな季節です。Windows x 6、IE x 1、Word x 1、Excel x 1、Office x 1 だそうです。内、Windows x 2、IE x 1、Word x 1、Excel x 1、Office x 1 は「緊急」レベル。IE 8 もさっそく対象になってます。

 June 2009 Advance Notification (MSRC blog, 2009.06.04) によると、 マイクロソフト セキュリティ アドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される の修正は含まれない模様です。 回避方法を実践しましょう。

2009.06.04

いろいろ (2009.06.04)
(various)

New version (v 1.4.3.1) of BASE available (SANS ISC, 2009.06.04)

 Basic Analysis and Security Engine (BASE) 1.4.3.1 登場。複数の XSS 欠陥および SQL インジェクション欠陥が修正されているそうで。

[SA35323] Microsoft Windows "SystemParametersInfo()" Denial of Service (secunia, 2009.06.04)

 Windows XP SP3 / Server 2003 SP2 に欠陥。 SystemParametersInfo() の処理に欠陥があり、 local user が DoS 攻撃を実施できる。

[SA35265] Linux Kernel e1000 Driver Denial of Service Vulnerability (secunia, 2009.06.04)

 Linux の e1000 に欠陥があり、remote から DoS 攻撃を実施できるそうで。GIT リポジトリでは修正されている。

2009.07.01 追記:

 [SA35623] Intel e1000 Driver Denial of Service Vulnerability。e1000 の件、Intel から修正版ドライバが公開された模様。

追記

QuickTime 7.6.2 & iTunes 8.2

 exploit:

2009.06.03

2009.06.02

QuickTime 7.6.2 & iTunes 8.2
(Apple, 2009.06.02)

 QuickTime 7.6.2 & iTunes 8.2 登場。合計 11 種類の欠陥が修正されている。

QuickTime 7.6.2 のセキュリティコンテンツについて (Apple)

 QuickTime 7.6.2 登場。10 種類の欠陥が修正されている

CVE 欠陥概要 ヤバいブツ
CVE-2009-0188 Sorenson 3 ビデオファイルの処理においてメモリ破壊が発生 ムービーファイル
CVE-2009-0951 FLC 圧縮ファイルの処理において buffer overflow が発生 FLC 圧縮ファイル
CVE-2009-0952 圧縮 PSD 画像の処理において buffer overflow が発生 PSD 画像ファイル
CVE-2009-0010 PICT 画像の処理において整数 underflow が発生。Windows でのみ発生。 PICT 画像ファイル
CVE-2009-0953 PICT 画像の処理において buffer overflow が発生 PICT 画像ファイル
CVE-2009-0954 Clipping Region (CRGN) アトムの処理において buffer overflow が発生 ムービーファイル
CVE-2009-0185 MS ADPCM オーディオデータの処理において buffer overflow が発生 ムービーファイル
CVE-2009-0955 イメージ記述アトムの処理において、符号拡張の問題が発生 ビデオファイル
CVE-2009-0956 ムービーファイルの処理において、初期化されていないメモリを参照 ムービーファイル
CVE-2009-0957 JP2 画像の処理において buffer overflow が発生 JP2 画像ファイル

iTunes 8.2 のセキュリティコンテンツについて (Apple)

 iTunes 8.2 登場。 CVE-2009-0950 が修正されている。itms: URL の処理において buffer overflow が発生していたそうで。

2009.06.04 追記:

 exploit:

2009.06.01

[セキュリティホール memo]
[私について]