Safari 5.0.1 / 4.1.1 登場。情報漏洩やウイルスの実行などを招く、計 15 件の欠陥が修正されている。
OpenLDAP 2.4.22 以前に複数の欠陥があり、remote から DoS 攻撃や任意のコードの実行が可能。認証不要、対話的操作不要。
CVE-2010-0211
CVE-2010-0212
OpenLDAP 2.4.23 で修正されている。
2010.07.30 追記:
JVNVU#129889:
OpenLDAP に複数の脆弱性
(JVN, 2010.07.29)
Google Chrome 5.0.375.125 登場。5 件の欠陥が修正されている。
High x 3、Medium x 1、Low x 1。
Apache 2.2.16 登場。2 件の欠陥が修正されている。飯田さん情報ありがとうございます。
mod_proxy_http で情報漏洩が発生する件 CVE-2010-2068。
Apache 2.2.9 〜 2.2.15、2.3.4-alpha、2.3.5-alpha に存在。
Windows、Netware、OS/2 にのみ影響。
mod_cache と mod_dav が、worker MPM 使用時に DoS 攻撃を受ける件
CVE-2010-1452。Apache 2.2.0 〜 2.2.15 に存在。
Apache httpd 2.2 vulnerabilities に詳細情報と個別の patch が用意されている。
"Responsible Disclosure" から "Coordinated Vulnerability Disclosure" へ。
/‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾
| ちょ、ちょーとまって!!!今 MSRC が何か言ったから静かにして!!
, ,-;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:,. ヽ─y────────────── ,-v-、
/;:;:;:;:;:;:ミミ;:;:;:;:;:;:;:;:;:;`、 / _ノ_ノ:^)
/;:;:;:;:彡—ー-、_;:;:;:;:;:;:;:;| / _ノ_ノ_ノ /)
|;:;:;:ノ、 `、;;:;:;:;:;:i / ノ ノノ//
|;:/_ヽ ,,,,,,,,,, |;:;:;:;:;:;! ____/ ______ ノ
| ' ゜ ''/ ┌。-、 |;:;:;:;:/ _.. r(" `ー" 、 ノ
|` ノ( ヽ ソ |ノ|/ _. -‐ '"´ l l-、 ゛ ノ
_,-ー| /_` ”' \ ノ __ . -‐ ' "´ l ヽ`ー''"ー'"
| : | )ヾ三ニヽ /ヽ ' "´/`゛ ーァ' "´ ‐'"´ ヽ、`ー /ノ
ヽ `、___,.-ー' | / / __.. -'-'"
| | \ / | l / . -‐ '"´
\ |___>< / ヽ
関連:
Coordinated Vulnerability Disclosure: Bringing Balance to the Force
(MSRC Ecosystem Strategy Team blog, 2010.07.22)。
各地のセキュリティ関係者の連名で出されているのですね。
JPCERT/CC 宮地利雄さんの名前もありますね。
Step 2: Hurry Up and Wait
Vendors and many finders know there has to be a balance between speed and quality. For Microsoft, even a 1% test failure rate could affect millions of our customers, so we take testing for functionality impact as seriously as we do the testing to make sure the update comprehensively addresses the vulnerability.
1 億の 1% は 100 万ですからね。
Black Hat 2010 (MSRC blog, 2010.07.22)
2010.07.30 追記:
「協調的な脆弱性の公開」の発表
(日本のセキュリティチーム, 2010.07.28)
iTunes 9.2.1 登場。iTunes 9.2 には itpc: URL の処理に欠陥があり、攻略 itpc: URL にアクセスすると任意のコードを実行される。この欠陥が修正された。CVE-2010-1777
Firefox 3.6.7 / 3.5.11、Thunderbird 3.1.1 / 3.0.6、Seamonkey 2.0.6 登場です。
修正項目は以下のとおり。
Yosuke Hasegawa という名前も見えるなあ……。
リリースノート:
高橋さん、tvb19131 さん情報ありがとうございます。
2010.07.26 追記:
FirefoxのWeb Workersにおける脆弱性について
(ネットエージェント blog, 2010.07.23)。MFSA 2010-42 の解説。はせがわさん情報ありがとうございます。
と言ってる間に Firefox 3.6.8 がさっそく登場。MFSA 2010-48: プラグイン引数配列問題の修正によるダングリングポインタクラッシュのリグレッション
が修正されている。CVE-2010-2755。飯田さん情報ありがとうございます。
Firefox 3.6.7 でエンバグしたのだそうで。
Firefox 3.5.11 も同じようにエンバグしているが、攻略可能ではないため、
放置されている模様。
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。
Windows Shell における .lnk ファイルの処理に欠陥があり、
攻略 .lnk ファイルを含むドライブを、Windows Explorer や Total Commander などの「アイコンを表示する」ファイルマネージャで開くと、任意のコードが実行される。
CVE-2010-2568。
最初に発表されたのは、
anti-virus.by の
この文章
Modules of current malware were first time detected by "VirusBlokAda" company specialists on the 17th of June, 2010 and were added to the anti-virus bases as Trojan-Spy.0485 and Malware-Cryptor.Win32.Inject.gen.2. During the analysis of malware there was revealed that it uses USB storage device for propagation.
You should take into consideration that virus infects Operation System in unusual way through vulnerability in processing lnk-files (without usage of autorun.inf file).
So you just have to open infected USB storage device using Microsoft Explorer or any other file manager which can display icons (for i.e. Total Commander) to infect your Operating System and allow execution of the malware.
既に悪用されている。この攻撃は、USB メモリに対する autorun の有効・無効は無関係なので注意。既存の「USB メモリウイルス対策」は一瞬にして崩壊しました。おめでとう。
もちろん、USB メモリでなくてもいいわけで。
SA 2286198
では 2 種類の回避方法が示されている。
関連:
2010.07.20 追記:
関連:
この状況を受けて、
ISC infocon は Yellow になってます。
2010.07.21 追記:
Microsoft Fixit 登場しました。
あわせて、マイクロソフト セキュリティ アドバイザリ (2286198)
も改訂されている。.PIF についての説明の追加も。
関連:
Lowering infocon back to green
(SANS ISC, 2010.07.20)。Infocon は緑に戻りました。
W32.Stuxnet Installation Details
(Symantec, 2010.07.20)
Microsoft 0day: Malformed Shortcut Vulnerability
(McAfee Labs Blog, 2010.07.19)
Windows Shellのゼロデイ脆弱性の概念実証コードが公開
サポートが終了したばかりのXP SP2、Windows 2000にも影響有り
(ComputerWorld.jp, 2010.07.20)、
Ariad
(Didier Stevens)、
Mitigating .LNK Exploitation With Ariad
(Didier Stevens, 2010.07.18)
Windows zero-day attack works on all Windows systems
(sophos, 2010.07.16)
さらなる Win32/Stuxnet 亜種の電子署名について
Win32/Stuxnet Signed Binaries
(ESET, 2010.07.19)
On July 17th, ESET identified a new malicious file related to the Win32/Stuxnet worm. This new driver is a significant discovery because the file was signed with a certificate from a company called "JMicron Technology Corp". This is different from the previous drivers which were signed with the certificate from Realtek Semiconductor Corp. It is interesting to note that both companies whose code signing certificates were used have offices in Hsinchu Science Park, Taiwan.
最初のは Realtek Semiconductor Corp だったが、次は
JMicron Technology Corp に変わった。
署名されたStuxnetバイナリの新種
(エフセキュアブログ, 2010.07.20)
Certified uncertainty
(Sophos, 2010.07.20)
SCADA について
2010.07.22 追記:
改訂されたマイクロソフト セキュリティ アドバイザリ (2286198)
の、この部分に注目が集まっている模様。
攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は悪意のあるバイナリに関連付けられた悪意のあるショートカットの存在するリムーバブル ドライブをユーザーに渡します。ユーザーが Windows Explorer またはショートカットのアイコンを解析するその他のアプリケーションで、このドライブを開くと、悪意のあるバイナリが攻撃者の意図したコードを被害者のシステム上で実行します。
攻撃者は悪質な Web サイトまたはリモート ネットワーク共有を設定し、その後、このリモート ロケーションに悪意のあるコンポーネントを配置する可能性があります。ユーザーが Internet Explorer などの Web ブラウザーまたはWindows Explorer などのファイル マネージャーを使用して Web サイトを閲覧する場合、Windows はショートカット ファイルのアイコンのダウンロードを試行し、悪質なバイナリを呼び出します。さらに攻撃者は、埋め込みショートカットまたはホストされたブラウザー コントロール (Microsoft Office ドキュメントなどですが、その限りではありません) をサポートするドキュメントにエクスプロイトを埋め込む可能性があります。
「埋め込みショートカットまたはホストされたブラウザー コントロール (Microsoft Office ドキュメントなどですが、その限りではありません) をサポートするドキュメント」ですって?!
この攻撃が Office 文書などを経由しても行われ得る模様。
関連:
個人的には、IPA や JPCERT/CC が何も言ってないのが気になるです。
2010.07.23 追記:
Microsoft Fixit の before / after はこんな感じ (Windows Vista):
| before |
after |
 |
 |
全体が見たい人用: before、after
関連:
2010.07.25 追記:
関連:
2010.07.26 追記:
Microsoft Fixit の副作用の件つづき。
Fixit 適用直後は、デスクトップのショートカットは元のままなのですが、
Fixit 適用後に、デスクトップにショートカットを設置するようなアプリケーションをインストールすると、その時点でデスクトップ上のショートカットもまっ白になっちゃうようです。
Firefox ユーザは、今日リリースされている Firefox 3.6.8 にアップデートすると、まっ白になるよ。
2010.07.30 追記:
Sophos と G DATA から、無償の対策ツールが公開されています。
あと、マルウェアいろいろ。
2010.08.01 追記:
2010.08.03 に定例外で hotfix が提供される予定です:
Windows のセキュリティ更新の事前通知 (定例外)
(日本のセキュリティチーム, 2010.07.30)
2010.08.03 追記:
出ました: MS10-046 - 緊急:
Windows シェルの脆弱性により、リモートでコードが実行される (2286198)
(Microsoft, 2010.08.03)。Exploitability Index: 1
2010.08.10 追記:
関連:
2010.08.24 追記:
関連:
2010.09.23 追記:
Symantec の Stuxnet 関連記事:
2024.01.15 追記:
つづき: Stuxnet worm 'targeted high-value Iranian assets'
(memo, 2010.09.24)。Stuxnet ワームは、国家が作成した、イランインフラ攻撃用のサイバー兵器ではないのか?! という話。
ルートゾーンにおけるDNSSECの正式運用開始に伴う影響について
(JPRS, 2010.07.15) にあるように、
2010年7月16日の午前4時30分から8時30分(日本標準時において。協定世界時においては7月15日の19時30分から23時30分)にかけて、ルートゾーンにおいてDNSSECの正式運用が開始されます。
(中略)
今回の変更により、これまでDURZ(*1)として設定されていたダミーの署名データが、正式の署名データに変更されます。これにより、IANAが公開するルートゾーンのトラストアンカー(公開鍵)をキャッシュDNSサーバに設定することで、ルートゾーンのDNSSEC検証を有効にできるようになります。
のですが、BIND 9.7.1/9.7.1-P1 なキャッシュ DNS サーバでこれを設定すると、remote から DoS 攻撃を受けてしまう模様。
今回報告された不具合は、BIND 9.7.1及び9.7.1-P1においてnamedをキャッシュDNSサーバとして動作させ、かつトラストアンカーを設定してDNSSECによる名前検証機能を有効にした場合、そのトラストアンカーからの信頼の連鎖が構築された、すなわちDNSSECが有効に設定された任意のドメイン名に対するRRSIGレコード自身の検索要求をnamedが受信した際、namedの実装上の不具合により反復検索が無限ループの状態に陥り、該当するRRSIGレコードを保持している権威DNSサーバに対するRRSIGレコードの検索要求が発信され続ける、というものです。
BIND 9.7.1-P2 で修正されている。
出ました。WebLogic や Solaris や OpenSSO のもあります。
複数の iSCSI ターゲット (iSCSI で使われる装置側) 実装に buffer overflow する欠陥があり、攻略 iSCSI パケットによって任意のコードを実行できる。
CVE-2010-2221。
ここで欠陥ありとされているのは、
iSCSI Enterprise Target 1.4.20.1 and prior
Generic SCSI Target Subsystem for Linux 1.0.1.1 and prior
Linux SCSI target framework 1.0 and prior
iSCSI Enterprise Target は、開発版では既に修正されているみたい (patch)。
Generic SCSI Target Subsystem for Linux
も開発版では直ってるみたい (このへん)。
Linux SCSI target framework (tgt)
は、1.0.6 で修正された模様。
4 件。Windows x 2、Office x 2 (Access x 1, Outlook x 1)。
2010年7月14日のセキュリティリリース予定 (月例)
(日本のセキュリティチーム, 2010.07.09)
によると、
の修正が入るそうなので、
Windows x 2 がそれでしょう。
Google Chrome 5.0.375.99 登場。8 件の欠陥が修正されたとすべきなのか、それとも 9 件なのか。
Opera 10.60 登場。ようやく Windows / Mac / Unix 版が出揃った。
新規の修正は 2 件。
- Fixed an issue where double-clicking a link can unexpectedly run a program from the Internet; see our
advisory (http://www.opera.com/support/search/view/957/).
- Fixed an issue which could be used to trick users into uploading unexpected files, as reported by Andrew Valums; see our
advisory (http://www.opera.com/support/search/view/958/).
Unix 版については、Windows / Mac 版では 10.54 以前に修正されていた個所もはじめて修正されている。
2010.07.02 追記:
Opera 10.60 には「AVG の Web Threat Data Feed 」
という機能が追加されているのだそうで。
VAIO F シリーズ / C シリーズにおける温度管理機能に不具合があり、
「過剰に発熱」し「外装が変形」する可能性があるそうで。
BIOS アップデートにより対応される。VAIO Update あるいは手動で更新すればよい。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
