セキュリティホール memo - 2011.11

Last modified: Wed Mar 21 17:43:31 2012 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2011.11.30

2011.11.29

KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された
(徳丸浩の日記, 2011.11.29)

 とはいえ:

この機に、かんたんログインをやめ、パスワード認証等に移行することを真剣に検討しましょう。

2011.11.28

いろいろ (2011.11.28)
(various)

Wi-FiのMACアドレスはもはや住所と考えるしかない
(高木浩光@自宅の日記, 2011.11.26)

 そういう時代ということで。

4年前にも書いたように、他人から貰う無線LAN機器に警戒する必要がある。Fonの場合、開封前にそのMACアドレスをメモすることができるので、「これいらないからあげるよ」と言ってプレゼントされるのは、自宅を特定しようとする罠かもしれない。

そういう罠をしかけたとして、何日くらい待てば、MACアドレスが登録されて位置を検索できるようになるか。数年前であれば、Googleのストカーが再び近所にやってくるまで登録されなかったであろうから、数か月とか数年かかるものだったかもしれない。

しかし、現在はどうか。現在では、世界中に普及したAndroidスマートフォンが、GPSとWi-Fiの両方を使って、周囲のMACアドレスを随時サーバに報告している(脚註9の画面で「同意する」を押した人の端末が送信している)わけだから、かなり短期間にアップデートされるのではないかと考えられる。

このことは、自分がAndroidを使っていなくても、隣近所の人が使っていれば、その人のAndroidによって、自分の家のMACアドレスをGoogleに報告されてしまうので、避けようがない。

 高木さんの記事をよく読んで、対応しませう。

追記

About the security content of iTunes 10.5.1

 iTunes security vulnerability had been present for over three years (H Online, 2011.11.24)。3 年も前に発見されており、Apple にも報告されていたそうで。

Microsoft 2011 年 11 月のセキュリティ情報

 MS11-083(CVE-2011-2013)の実証コードを試してみた (思い立ったら書く日記, 2011.11.26)

2011.11.25

追記

Apple からいろいろ大量に (2011.10.12)

 【iOS4.x厨死亡】AppleIDのパスワードがローカルファイルに記録される可能性 (iPhone ちゃんねる, 2011.11.23)。iOS 5 のこの修正項目の件:

CFNetwork

対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 〜 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 〜 4.3.5、iPad:iOS 3.2 〜 4.3.5

影響:ユーザの Apple ID のパスワードがローカルファイルに記録される可能性がある。

説明:ユーザの Apple ID のパスワードとユーザ名はシステム上のアプリケーションから読み取ることができるファイルに記録されていました。この問題は、これらの資格情報の記録を廃止することで解決されています。

CVE-ID

CVE-2011-3255:qdevelop の Peter Quade 氏

Firefox 8.0 / 3.6.24、Thunderbird 8.0 / 3.1.16 登場

 Firefox 8.0.1 が登場しています。リリースノート。iida さん情報ありがとうございます。

  • Mac OS X に「Java SE 6」プラグインのバージョン 1.6.0_29 がインストールされている環境で、Java アプレット読み込み時に特定のケースで発生していたクラッシュを修正しました。

  • Windows で、「RoboForm」拡張機能の 7.6.2 より古いバージョンによって引き起こされていた起動時のクラッシュを修正しました。

2011.11.24

追記

Firefox 8.0 / 3.6.24、Thunderbird 8.0 / 3.1.16 登場

 Webブラウザやメール機能を持つ統合インターネットスイートSeaMonkey 2.5リリース、Webブラウザ機能がFirefox 8相当に (sourceforge.jp, 2011.11.24)

2011.11.23

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2011.11.18)

 RealPlayer 15.0.0、Mac 用 RealPlayer 12.0.0.1703 登場。計 19 件の欠陥が修正されている。多くは任意のコードが実行される欠陥。

2011.11.22

追記

About the security content of iTunes 10.5.1

 German spyware exploits iTunes vulnerability (H Online, 2011.11.21)。この欠陥、ドイツ政府御用達スパイウェアで利用されていた模様。

いろいろ (2011.11.22)
(various)

ZeroAccess Rootkit Launched by Signed Installers
(McAfee Labs Blog, 2011.11.21)

 DLL プリロードねたを使って、Adobe に署名されているように見えるマルウェアインストーラを実現した事例だそうです。ZeroAccess ルートキットの削除は困難なので、専用ツールを配布しているそうな: http://vil.nai.com/images/562354_4.zip

Invisible YNK, a Code Signing Conundrum
(Norman, 2011.11.17)

 署名されたマルウェアねた。 WeMade Online の旧称 YNK Japan Inc の証明書が使われた事例。 マルウェアによる悪用が発覚し、取り消したはずの証明書による署名なのに、valid になってしまう。

When Symantec (and I assume other CA’s) revoke a certificate, the revocation is active from the revocationDate field in the Certificate Revocation List (CRL). This means that files signed and timestamped after revocationDate, and files signed and not timestamped, will no longer validate. It also means that files signed and timestamped before revocationDate will validate, and such is the case with the trojan shown above. It is signed June 30. 2011, a month before revocation. It is worth noting that timestamping here means signed with a cryptographically valid timestamp, such as VeriSign Time Stamping Services.

 取り消された日より前のタイムスタンプがついていれば ok ok と判断されてしまう模様。CRL の Revocation Date をバックデートする事で対応。

 関連: Digital Certificates Used by Malware (CCSS Forum)。こんなサイトがあるのですね。

auのPCサイトビューアーで脆弱性が発覚か? - 続:auのEZWebがそろそろ終了しそうな件
(bROOM.LOG !, 2011.11.22)

 続報を待て。

2011.11.21

2011.11.19

2011.11.18

SYM11-014: ローカルアクセスのサービス拒否に対応する Gear ドライバをシマンテックが更新
(シマンテック, 2011.11.09)

 Backup Exec System Recovery 8.5.x / 2010 (9.0.x)、Symantec System Recovery 2011 (10.0)、Norton 360 (バージョン5)、Norton Ghost 15 以前に欠陥。 Gear Software CD DVD フィルタドライバ GEARAspiWDM.sys に欠陥があり、local user による DoS 攻撃が可能。CVE-2011-3477

 Backup Exec System Recovery と Norton Ghost は最新ドライバのインストールによって対応できる。Symantec System Recovery 2011 は対話モードで、Norton 360 は手動で LiveUpdate すれば対応できる。

Google Chrome Stable Channel Update
(Google, 2011.11.16)

 Google Chrome 15.0.874.121 登場。1 件のセキュリティ欠陥が修正されている。

追記

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明

 関連:

2011.11.17

追記

BIND 9 Resolver crashes after logging an error in query.c

 正式版 Advisory 出ました。対応版 BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1, 9.4-ESV-R5-P1 も出ています (落ちないようにする修正)。攻撃なのかどうかはまだ不明。

2011.11.16

BIND 9 Resolver crashes after logging an error in query.c
(ISC, 2011.11.16)

 BIND 9 が query.c:1781: INSIST(! dns_rdataset_isassociated(sigrdataset)) failed, back trace というログを残して crash するという事例が複数発生している模様。原因は不明、調査中。現時点で crash が報告されているのは cache DNS サーバだけだそうです。

2011.11.17 追記:

 正式版 Advisory 出ました。対応版 BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1, 9.4-ESV-R5-P1 も出ています (落ちないようにする修正)。攻撃なのかどうかはまだ不明。

2011.12.02 追記:

 CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について (IIJ, 2011.11.17)

2011.12.08 追記:

 ISC のアドバイザリが改訂されている。

 関連:

2011.11.15

About the security content of iTunes 10.5.1
(Apple, 2011.11.14)

 iTunes 5.0 以前に欠陥。iTunes は定期的に更新チェックを行うが、Apple Software Update for Windows がインストールされていない場合に、DNS キャッシュ毒入れ攻撃によってニセの更新ファイルをユーザに掴ませることができる。 CVE-2008-3434 (3 年前に発見された欠陥)

 iTunes 10.5.1 で修正されている。Mac 版では Apple Software Update が常に存在するためにこの欠陥の影響を受けないが、多層防御の観点から同様の修正がされている。

2011.11.22 追記:

 German spyware exploits iTunes vulnerability (H Online, 2011.11.21)。この欠陥、ドイツ政府御用達スパイウェアで利用されていた模様。

2011.11.28 追記:

 iTunes security vulnerability had been present for over three years (H Online, 2011.11.24)。3 年も前に発見されており、Apple にも報告されていたそうで。

2011.12.09 追記:

 FinFisher 関連:

2011.11.14

いろいろ (2011.11.14)
(various)

追記

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明

 複数の Duqu 発見ツールが公開されてます。

Microsoft 2011 年 4 月のセキュリティ情報

 Microsoft Office Excelにおける変数初期化処理の脆弱性(CVE-2011-0105, MS11-021)に関する検証レポート (NTTデータ先端技術, 2011.11.14)

APSB11-27: Security update available for Adobe Shockwave Player

 CORE-2011-0825: Adobe Shockwave Player TextXtra.x32 vulnerability (CoreLabs Research, 2011.11.08)。CVE-2011-2447 の件。

2011.11.13

いろいろ (2011.11.13)
(various)

2011.12.02 追記:

 CVE-2011-3607 CVE-2011-4415 Apache HTTPD 正規表現処理の脆弱性について (IIJ, 2011.11.03)

2011.11.11

追記

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明

 KB 2639658 英語版 が revision 1.3 になっている。 こんな文言が追加されている:

After you apply this workaround on a system that is running Windows XP or Windows Server 2003, you may be reoffered security updates 982132 and 972270. You will be unable to install these reoffered updates. The reoffering is a detection logic issue. Users who have previously applied both security updates successfully can ignore the reoffer.

 Windows XP / Server 2003 に回避策を実施すると、Windows Update で更新プログラム 982132 と 972270 を再適用するように促されるだろう。回避策を実施した状態では、これらはインストールできない。更新プログラムの検出ロジックの問題であり、既に更新プログラムを適用済であるなら無視してよい。……だそうです。

 cadz さん、石塚さん情報ありがとうございます。

動画:iOS に非署名コードを動かす脆弱性、発見者はApp Storeから除名

 iOS 5.0.1 で修正されたのかな。About the security content of iOS 5.0.1 Software Update (Apple, 2011.11.10)

Kernel

Available for: iOS 3.0 through 5.0 for iPhone 3GS, iPhone 4 and iPhone 4S, iOS 3.1 through 5.0 for iPod touch (3rd generation) and later, iOS 3.2 through 5.0 for iPad, iOS 4.3 through 5.0 for iPad 2

Impact: An application may execute unsigned code

Description: A logic error existed in the mmap system call's checking of valid flag combinations. This issue may lead to a bypass of codesigning checks. This issue does not affect devices running iOS prior to version 4.3.

CVE-ID

CVE-2011-3442 : Charlie Miller of Accuvant Labs

SSL認証局問題が再び発覚、MicrosoftとMozillaが対応表明

 DigiCert Sdn. Bhd の件、Microsoft からアドバイザリと更新プログラム出ました:

 また Firefox 8 / 3.6.24 は 2011.11.09 にリリース済です。

Google Chrome Stable Channel Update
(Google, 2011.11.10)

 Google Chrome 15.0.874.120 登場。7 件のセキュリティ欠陥が修正されている。 CVE-2011-3892 CVE-2011-3893 CVE-2011-3894 CVE-2011-3895 CVE-2011-3896 CVE-2011-3897 CVE-2011-3898

いろいろ (2011.11.11)
(various)

About the security content of Time Capsule and AirPort Base Station (802.11n) Firmware 7.6
(Apple, 2011.11.10)

 攻略 DHCP レスポンスを使って任意のコマンドを実行できる欠陥が修正されているそうです。CVE-2011-0997

 関連: JVNVU#309451: Apple Time Capsule および AirPort Base Station (802.11n) における複数の脆弱性に対するアップデート (JVN, 2011.11.11)

About the security content of iOS 5.0.1 Software Update
(Apple, 2011.11.10)

 iOS 5.0.1 登場。 「動画:iOS に非署名コードを動かす脆弱性、発見者はApp Storeから除名」 の件を含む、計 5 件のセキュリティ欠陥が修正されている。 CVE-2011-3246 CVE-2011-3439 CVE-2011-3442 CVE-2011-3441 CVE-2011-3440

APSB11-28: Security update available for Adobe Flash Player
(Adobe, 2011.11.10)

 Adobe Flash Player / AIR に 12 の欠陥。 内 11 は、任意のコードの実行を招く。残り 1 つは、クロスドメインポリシーを回避できる欠陥。0-day はない模様。 CVE-2011-2445 CVE-2011-2450 CVE-2011-2451 CVE-2011-2452 CVE-2011-2453 CVE-2011-2454 CVE-2011-2455 CVE-2011-2456 CVE-2011-2457 CVE-2011-2458 CVE-2011-2459 CVE-2011-2460

 Flash Player 11.1.102.55 / 10.3.183.11、Adobe Flash Player for Android 11.1.102.59、AIR 3.1.0.4880 で修正されている。

2011.11.10

いろいろ (2011.11.10)
(various)

2011.12.11 追記:

 茶筌の件、2.4.4 用の patch が出ています。また Debian では Advisory 出てます: DSA-2361-1 chasen -- バッファオーバフロー。やまねさん情報ありがとうございます。

APSB11-27: Security update available for Adobe Shockwave Player
(Adobe, 2011.11.08)

 Shockwave Player に 4 つの欠陥。いずれもメモリ破壊が発生し、任意のコードの実行を招く。Shockwave Player 11.6.3.633 で修正されている。CVE-2011-2446 CVE-2011-2447 CVE-2011-2448 CVE-2011-2449

2011.11.14 追記:

 CORE-2011-0825: Adobe Shockwave Player TextXtra.x32 vulnerability (CoreLabs Research, 2011.11.08)。CVE-2011-2447 の件。

動画:iOS に非署名コードを動かす脆弱性、発見者はApp Storeから除名
(engadget, 2011.11.08)

 iOS に欠陥。署名済みアプリから未署名のコードをダウンロードし実行、「iPhoneの全機能を操作可能に」する方法が存在する模様。Charlie Miller 氏が発見。

注目すべきは、一見無害でありつつ隠れた機能を持つアプリをApp Store の審査に通したこと(だけ) ではなく、本来はサンドボックス実行で原理的に悪さはできないはずのアプリが、システムの根幹にまで触れることが可能になってしまっている点。ミラー氏いわく、脆弱性は Safari の JavaScript の扱いにあり、iOS 4.3から JSの実行速度を上げるためメモリ上の扱いを変更したことに原因があるとのこと。この部分を外部アプリから突くことでシステムへの広範なアクセスを可能にしたと解説されています。

2011.11.11 追記:

 iOS 5.0.1 で修正されたのかな。About the security content of iOS 5.0.1 Software Update (Apple, 2011.11.10)

Kernel

Available for: iOS 3.0 through 5.0 for iPhone 3GS, iPhone 4 and iPhone 4S, iOS 3.1 through 5.0 for iPod touch (3rd generation) and later, iOS 3.2 through 5.0 for iPad, iOS 4.3 through 5.0 for iPad 2

Impact: An application may execute unsigned code

Description: A logic error existed in the mmap system call's checking of valid flag combinations. This issue may lead to a bypass of codesigning checks. This issue does not affect devices running iOS prior to version 4.3.

CVE-ID

CVE-2011-3442 : Charlie Miller of Accuvant Labs

2011.11.09

Firefox 8.0 / 3.6.24、Thunderbird 8.0 / 3.1.16 登場
(mozilla.jp, 2011.11.09)

 出ました。複数のセキュリティ欠陥も修正されています。

 関連:

2011.11.24 追記:

 Webブラウザやメール機能を持つ統合インターネットスイートSeaMonkey 2.5リリース、Webブラウザ機能がFirefox 8相当に (sourceforge.jp, 2011.11.24)

2011.11.25 追記:

 Firefox 8.0.1 が登場しています。リリースノート。iida さん情報ありがとうございます。

追記

Microsoft 2011 年 6 月のセキュリティ情報

 2011.11.09 付で、MS11-037 - 重要: MHTML の脆弱性により、情報漏えいが起こる (2544893) の、Windows XP / Server 2003 向けの更新プログラムが再リリースされている。 以前のバージョンをインストール済の場合も、新しい更新プログラムをインストールする必要がある。

Oracle Java SE Critical Patch Update Advisory - October 2011

 Java SE 6 Update 29 に対応する Mac OS X 用 Java が公開されました: About the security content of Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (Apple, 2011.11.08)

Microsoft 2011 年 11 月のセキュリティ情報
(Microsoft, 2011.11.09)

 予定どおり 4 件。Duqu に悪用された欠陥 (SA 2639658: TrueType フォント解析の脆弱性により、特権が昇格される) の patch は、まだできてません。

MS11-083 - 緊急: TCP/IP の脆弱性により、リモートでコードが実行される (2588516)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。

         ,. -‐'''''""¨¨¨ヽ
         (.___,,,... -ァァフ|          あ…ありのまま 今 起こった事を話すぜ!
          |i i|    }! }} //|
         |l、{   j} /,,ィ//|       『閉じていたポートに UDP パケットを送られたと
        i|:!ヾ、_ノ/ u {:}//ヘ        思ったらいつのまにかコードが実行されていた』
        |リ u' }  ,ノ _,!V,ハ |
       /´fト、_{ル{,ィ'eラ , タ人        な… 何を言ってるのか わからねーと思うが
     /'   ヾ|宀| {´,)⌒`/ |<ヽトiゝ        おれも何をされたのかわからなかった…
    ,゛  / )ヽ iLレ  u' | | ヾlトハ〉
     |/_/  ハ !ニ⊇ '/:}  V:::::ヽ        頭がどうにかなりそうだった…
    // 二二二7'T'' /u' __ /:::::::/`ヽ
   /'´r -——ァ‐゛T´ '"´ /::::/-‐  \    マルウェアだとかフィッシングだとか
   / //   广¨´  /'   /:::::/´‾`ヽ ⌒ヽ    そんなチャチなもんじゃあ 断じてねえ
  ノ ' /  ノ:::::`ー-、___/::::://       ヽ  }
_/`丶 /::::::::::::::::::::::::::‾`ー-{:::...       イ  もっと恐ろしいものの片鱗を味わったぜ…

 Windows の TCP/IP スタックは UDP パケットのフローをメモリ上に記録するのだが、その処理において整数オーバーフローが発生するため、一連の攻略 UDP パケットを閉じられたポートに送ると任意のコードを実行できる。 CVE-2011-2013

 ただし Exploitability Index は 2 なので、安定的に成功させるのは難しいということか。

 詳細: Assessing the exploitability of MS11-083 (Microsoft Security Research & Defense, 2011.11.08)。 この手のパケットは通常は境界フィルタで落とされてるだろうし、 攻略のためのタイミングが短くて、しかも大量の UDP パケットが必要なので Exploitability Index は 2、ですか。LAN 経由での実行ならそれなりに安定的なんですかね。

MS11-084 - 警告: Windows カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (2617657)

 Windows 7 / Server 2008 R2 に欠陥。Windows カーネルモードドライバーにおける TrueType フォントの処理に欠陥があり、攻略 TrueType フォントによって PC が再起動する。 CVE-2011-2004

 Exploitability Index: N/A

MS11-085 - 重要: Windows メールおよび Windows ミーティング スペースの脆弱性により、リモートでコードが実行される (2620704)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Windows メールと Windows ミーティングスペースに、DLL 読み込みに関する脆弱性がある。 CVE-2011-2016

 Exploitability Index: 1

MS11-086 - 重要: Active Directory の脆弱性により、特権が昇格される (2630837)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Active Directory、Active Directory Application Mode (ADAM)、Active Directory Lightweight Directory Service (AD LDS) に欠陥があり、Active Directory が LDAPS を使う場合に、失効した証明書であってもそのまま利用できてしまう。

 Exploitability Index: 1

 関連:

2011.11.28 追記:

 MS11-083(CVE-2011-2013)の実証コードを試してみた (思い立ったら書く日記, 2011.11.26)

2011.12.02 追記:

 MS11-083 TCP/IP の脆弱性により、リモートでコードが実行される (2588516) (IIJ, 2011.11.09)。IIJ では再現実験 (crash) に成功しているそうです。

2011.11.08

JuniperのBGPに問題があり、広範囲にネットワークがダウン
(yebo blog, 2011.11.08)

 Juniper のルータが各地でダウン。BGP UPDATE の処理に欠陥があり、更新版 JunOS が 2011.08.08 付で用意されていたが、未更新だった場合に crash してしまった模様。

The trigger for the MPC crash was determined to be a valid BGP UPDATE received from a registered network service provider, although this one UPDATE was determined to not be solely responsible for the crashes. A complex sequence of preconditions is required to trigger this crash. Both IPv4 and IPv6 routing prefix updates can trigger this MPC crash.

 その「a complex sequence」が実際に発生した模様。関連:

2011.11.07

いろいろ (2011.11.07)
(various)

追記

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明

 マイクロソフト セキュリティ アドバイザリ (2639658) TrueType フォント解析の脆弱性により、特権が昇格される が改訂されました。

V1.2 (2011/11/07): 「T2EMBED.DLL のアクセスを拒否する」の回避策を更新し、英語版以外のWindows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 でのサポートが向上されました。英語版以外の Microsoft Windows をご利用のお客様は、これらの環境の改定された回避策の適用性を再評価する必要があります。

いろいろ (2011.10.13)

 DAEMON Tools の件: [FFRRA-20111020] DAEMON Tools におけるサービス運用妨害 (DoS) の脆弱性 (FFR, 2011.10.20)。CVE-2011-3987

2011.11.05

2011.11.04

いろいろ (2011.11.04)
(various)

SSL認証局問題が再び発覚、MicrosoftとMozillaが対応表明
(ITmedia, 2011.11.04)

 Microsoft と Mozilla は、 Entrust から提供された情報に基づき、 DigiCert Sdn. Bhd の中間認証局を信頼しないことを決定。

2011.11.11 追記:

 DigiCert Sdn. Bhd の件、Microsoft からアドバイザリと更新プログラム出ました:

 また Firefox 8 / 3.6.24 は 2011.11.09 にリリース済です。

マイクロソフト セキュリティ情報の事前通知 - 2011 年 11 月
(Microsoft, 2011.11.04)

 4 件。緊急 x 1、重要 x 2、警告 x 1。Windows のみ。

追記

Zero Day Vulnerability in many WordPress Themes

 またしても、TimThumb の欠陥を利用した WordPress への大規模攻撃が行われているそうで: Thousands of WordPress blogs hijacked to deploy malicious code (H Online, 2011.11.03)。

 この欠陥は、最新版である TimThumb 2.0 では修正されています。

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明

 Microsoft から Advisory 出ました。

 その他、duqu 関連:

  • Zero-Day Exploit Used for DUQU (trendmicro blog, 2011.11.02)

  • Duqu」攻撃のインストーラを発見 (エフセキュアブログ, 2011.11.02)

     以下のように考えると良い:「Duqu攻撃」は「Stuxnet攻撃」で使用されたのと同じ「コンポーネント」が使用されている。しかしそれは攻撃が同じという意味ではない。実際、攻撃そのものはそれほど似ていない。そして「Stuxnetワーム」は「Duquバックドア」と同じ物ではない。
     実際、「Duqu」攻撃は、少々類いまれなほどに普通の標的型攻撃だ。つまり、標的型攻撃の手順は非常に一般的(添付ファイル付きの電子メール)だが、攻撃に使用されるツールは非常に高度なもの(添付書類にすごいエクスプロイト…)なのだ。

  • Duqu: Questions and Answers (F-Secure blog, 2011.11.03)。興味深い。 日本語版: Duqu:質問と回答 (エフセキュアブログ, 2011.11.04)

  • The Mystery of Duqu: Part Three (Kaspersky, 2011.11.02)

    We discovered a similar vulnerability (see MS10-073) a year ago when analyzing the Stuxnet worm. Another interesting problem in win32k.sys (MS11-077) was fixed by Microsoft on 11 October this year - a code execution vulnerability than can be exploited through font files.

    Microsoft said it was working on the vulnerability used by Duqu, although it looks like a patch won't be available in November's updates.

2011.11.03

追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

 ePolicy Orchestrator: CVE-2011-3192 にて報告された Apache HTTP Server の脆弱性について (マカフィー, 2011.11.02)。ePO 4.0 / 4.5 / 4.6 で使われてる Apache にもこの欠陥があります、hotfix あるので適用してください。あと ePO 4.0 は 2011.09.30 でサポート終了してます。

2011.11.02

いろいろ (2011.11.02)
(various)

マルウェア「Duqu」のドロッパーは Windows カーネルの 0-day 欠陥を利用していたことが判明
(various, 2011.11.02)

 Word ファイルを開くと Windows カーネルの欠陥を突かれてシェルコードが実行され、シェルコードがデバイスドライバを実行し、デバイスドライバが Service.exe にインストーラを埋め込み、インストーラが Duqu 本体をインストール・実行するのだそうで。

 patch は開発中。

2011.11.04 追記:

 Microsoft から Advisory 出ました。

 その他、duqu 関連:

2011.11.07 追記:

 マイクロソフト セキュリティ アドバイザリ (2639658) TrueType フォント解析の脆弱性により、特権が昇格される が改訂されました。

V1.2 (2011/11/07): 「T2EMBED.DLL のアクセスを拒否する」の回避策を更新し、英語版以外のWindows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 でのサポートが向上されました。英語版以外の Microsoft Windows をご利用のお客様は、これらの環境の改定された回避策の適用性を再評価する必要があります。

2011.11.11 追記:

 KB 2639658 英語版 が revision 1.3 になっている。 こんな文言が追加されている:

After you apply this workaround on a system that is running Windows XP or Windows Server 2003, you may be reoffered security updates 982132 and 972270. You will be unable to install these reoffered updates. The reoffering is a detection logic issue. Users who have previously applied both security updates successfully can ignore the reoffer.

 Windows XP / Server 2003 に回避策を実施すると、Windows Update で更新プログラム 982132 と 972270 を再適用するように促されるだろう。回避策を実施した状態では、これらはインストールできない。更新プログラムの検出ロジックの問題であり、既に更新プログラムを適用済であるなら無視してよい。……だそうです。

 cadz さん、石塚さん情報ありがとうございます。

2011.11.14 追記:

 複数の Duqu 発見ツールが公開されてます。

2011.11.18 追記:

 関連:

2011.12.09 追記:

 関連:

2011.12.14 追記:

 MS11-087 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2639417) で修正されました。

2012.03.20 追記:

 関連:

2012.03.21 追記:

 関連:

2011.11.01

いろいろ (2011.11.01)
(various)

[セキュリティホール memo]
[私について]