Home > Security NewsLetter(NRI Secure Information) > Vol.6 No.32 No.33 合併号  2011年8月17日発行

Security NewsLetter(NRI Secure Information)

Vol.6 No.20 2011年5月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.32 No.33 合併号  2011年8月17日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

勢いに乗っているプログラマーのために、クールな「安全なプログラミング・ チャレンジ(Secure Coding Challenge)」を開催。

Java と.NETにおける2つの安全なプログラミング・チャレンジが無料で開催さ れており、これに、40以上の組織からプログラマーが参加している。参加者は、 もしかすると、iPad2という賞品があるから楽しんでいるのかもしれない。こ こで、ある大手の国防請負業者からのフィードバックを1つ紹介しよう。
「脆弱性の姿を知っていれば、その脆弱性を回避するのはさほど難しくはない。 以前は、品質とセキュリティに関して、一方を立てると他方が立たないものだ と考えていたが、もはやそうは思わない。このチャレンジで最もクールなこと は、Javaの知識をセキュリティと混ぜ合わせているところだ。このようなもの は、他にない。」
貴組織のプログラマーで参加されたい人がいたらこちらへ:
http://www.sans.org/info/82624

SANS Technology Instituteの最近の卒業生が、サイバー上の脆弱性を介して 広がる公衆衛生上の意外な脅威を見つけた。これが、Black Hatの大ニュース の1つのとなっている。
http://blogs.computerworld.com/18744/black_hat_lethal_hack_and_wireless_attack_on_insulin_pumps_to_kill_people
他の卒業生は、現在、SCADAセキュリティや金融関連のセキュリティでトップ クラスの職務に就いている。SANS Technology Instituteの卒業生は、優秀な 人材のコミュニティとして拡大の一途をたどっているようだ。セキュリティ分 野で理系修士号を取得しようと考えていて、技術者たちを導くスキルをお持ち の方は、以下のリンクでプログラムをチェックされたい。
http://www.sans.edu/

「20の重大なコントロール(20 Critical Controls)」のオートメーション化 レースにおいて、どのセキュリティ製品が勝利していると言えるだろうか?  「20の重大なコントロール(20 Critical Controls)」は、現在、重要なデー タを保持している全ての組織において、セキュリティ上最も優先度の高いもの とされている。該当する製品に関してのご意見を、
http://www.sans.org/critical-security-controls/
にお寄せいただきたい。
結果もご覧いただけるようになる。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されているコースのうちのひとつ!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)〜19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.13 No.60-61
(原版:2011年7月29日、8月3日)

◆英国の電話ハッキングの審理 始まる(2011.7.29)

英国の電話ハッキングのスキャンダルに関する審理が正式に始まった。(英国 控訴院)裁判官のBrian Leveson によれば、公聴会は9月から行われるという。 この審理は、同国のDavid Cameron首相の命で開かれることとなった。審理で は、英国報道機関だけでなく、BBCやソーシャルメディアの倫理や規制につい ても精査される。このような審理において求められる情報の広さと厚みを考え ると、報告書が1年という期間で準備できるかどうかは疑わしいという声もあ がっている。

http://www.abc.net.au/news/2011-07-29/british-phone-hacking-inquiry-opens/2815008?section=world
http://www.irishtimes.com/newspaper/world/2011/0729/1224301562415.html
http://www.independent.co.uk/opinion/leading-articles/leading-article-there-must-be-no-delay-2327708.html

【編集者メモ1】(Pascatore)
この件は、まさに、英国の「留守番電話のパスワードはひどいものだった」ス キャンダルと称されるべきである。しかしながら、これによって、ユーザーに は、仕事用ではないシステムに仕事用のパスワードを使わっては「ならない」 と絶えず言い聞かせる必要があることがいやでもわかった。

【編集者メモ2】(Murray)
この件における違反行為は、「電話ハッキング」ではなくて、「留守番電話の 悪用」と言った方がふさわしい。電話とは何の関係もないし、ハッキングとい うレベルにまでは達していない。となると、実際に誰かが電話をハッキングす ることがあったら、それは何と呼ぶべきなのだろうか?

────────────────

◆裁判所 デジタル著作権侵害に関係のあるサイトのブロックをBTに命令 (2011.7.28)

米国映画協会(MPAA)の国際部門であるモーション・ピクチャー・アソシエー ション(MPA)によって代表される映画スタジオのグループが、英国のISPのBTに 対し、Newzbin2ファイル共有Webサイトをブロックするように命令する裁判所 命令を勝ち取った。英国高等法院(high court)の判事は、BTに対し、Usenetの 掲示板にある映画やTV番組にリンクを提供している会員用Webサイトへのユー ザーのアクセスをブロックするように命令した。

http://www.eweek.com/c/a/Cloud-Computing/Hollywood-Wins-Court-Order-to-Force-BT-to-Block-Pirate-Site-Newzbin2-610329/
http://www.bbc.co.uk/news/technology-14322957
http://www.zdnet.co.uk/news/compliance/2011/07/28/film-studios-win-newzbin2-blocking-case-against-bt-40093554/
http://www.scmagazineuk.com/bt-ordered-to-block-newzbin-2-file-sharing-site-in-landmark-ruling/article/208534/
Newzbin2の回答
http://www.bbc.co.uk/news/technology-14293730

【編集者メモ】(Honan)
BTは、この判決に対して「今回の判決には従うが、今後新たなケースがあがっ てきた場合も、その全てに裁判所命令が必要だ」と回答している。
http://www.theregister.co.uk/2011/07/29/bt_on_web_blocking/

────────────────

◆韓国人3500万人の個人情報が侵害される (2011.7.28)

韓国のSK Communicationsのデータセキュリティ侵害で、オンラインのユーザー 3500万人の個人情報が侵害された。問題の攻撃は、7月26日に発生した模様。 この侵害で、広範に使用されている検索エンジンNate、および、およそ2500万 人の会員がいるソーシャルネットワーキングサイトCyworldのユーザーが影響 を受けたと考えられている。
NateとCyworldはいずれもSK Communicationsによって運営されている。警察は、 このインシデントの捜査を行う方針だ。侵害されたデータは、氏名、電子メー ルアドレス、住民登録番号(resident registration numbers)、パスワードな どを含む。

http://www.koreaherald.com/national/Detail.jsp?newsMLId=20110728000881
http://www.reuters.com/article/2011/07/28/us-hackers-attack-idUSTRE76R19M20110728
http://www.v3.co.uk/v3-uk/news/2097621/china-accused-massive-hack-exposes-details-35m-south-koreans

────────────────

◆LulzSecの容疑者 起訴されたが保釈される (2011.8.1)

先週、オンライン行動主義グループへの関与に関連して、18歳の男が逮捕され た。同人は、コンピュータ・システムへの未承認のアクセス、コンピュータ悪 用その他の違反行為の謀議の罪で起訴された。しかし、シェトランド諸島で先 週に逮捕されたこの男、Jake Davisは、保釈された。同人の保釈条件として、 インターネットへの直接的・間接的なアクセスは一切禁止で、電子タグを必ず 身に付け、同人の母親の観察の下、外出は午前10時から午後7時までの間のみ 許可されることになっている。Davisの弁護士によると、彼の依頼人とサイバー アタックを関連付ける証拠は何もないという。関係機関は、Davisが75万件の パスワードを処理し、多数件のサイバーアタックに関連したかどで告発してい る。また、同人のコンピュータとハードディスクに、LulzSecがThe Sun紙の Webサイトに掲示したRupert Murdoch死亡の捏造ニュースのコピーが見つかっ たと明らかにしている。

http://www.msnbc.msn.com/id/43970955/ns/technology_and_science-security/
http://www.informationweek.com/news/security/attacks/231003014

────────────────

◆政府のサイバーセキュリティ請負業者のデータ 盗まれてネットに掲示される (2011.7.29-8.1)

オンラインの活動家のグループが、米国政府の請負業者から盗ったとする文書 を公表した。 この400メガバイト分のデータは、ManTech International Corporationからの ものである。同社は、FBIのサイバーセキュリティを管理するという1億ドルの 5年契約をFBIと結んでいる。

http://news.cnet.com/8301-27080_3-20085723-245/hackers-strike-government-cybersecurity-contractor/
http://blogs.forbes.com/mobiledia/2011/08/01/hackers-hit-fbi-contractor/
http://www.theregister.co.uk/2011/07/30/anonymous_claims_mantech_hack/

────────────────

◆米国のサイバー・チャレンジ(US Cyber Challenge)のキャンプ ミズーリで開催(2011.7.30)

先週、米国のサイバー・チャレンジ(US Cyber Challenge)の地域別サイバーセ キュリティ・キャンプが、コロンビア州のミズーリ大学で開催された。3人の 参加者が、最高賞として1,000ドルの奨学金を獲得したが、同時に全参加者は、 コンピュータ・ネットワークを防御し、サイバーセキュリティのキャリアを積 む際に役立つスキルに磨きをかけた。1週間にわたって開催されたこのキャン プには、倫理に関する討論などもあり、最後に4時間半の旗取りイベントで勝 者チームを決定してその幕が下ろされた。

http://www.columbiamissourian.com/stories/2011/07/30/cyber-security-camp-gives-lessons-future-midwest-students/
http://www.columbiatribune.com/news/2011/jul/30/cyber-guardians-test-their-skills/

────────────────

◆iFrameのインジェクション攻撃 Webページ380万件に影響を及ぼす (2011.8.1)

現在、osCommerceのオープンソースの電子商取引管理ソフトウェアの安全でな い実装をターゲットにしている攻撃によって、380件のWebページが影響を受け ていると考えられている。問題の攻撃は、これまでの15カ月間に開示された osCommerceの脆弱性3つを悪用している。悪意のあるiFrameのインジェクショ ンによって、ユーザーを一連のリダイレクトに送り込み、最終的にはユーザー のコンピュータをマルウェアに感染させようとするサイトにユーザーを着地さ せるという仕組みだ。

http://www.thetechherald.com/article.php/201131/7454/osCommerce-based-mass-injection-now-3-79-million-pages-strong

────────────────

■■SANS NewsBites Vol.13 No.62-63
(原版:2011年8月6日、8月10日)

◆Operation Shady RAT 世界中の72組織のネットワークに潜入(2011.8.3)

McAfeeの報告書に、過去5年間で世界各国の72のネットワークに影響を及ぼし た広範にわたるサイバー攻撃に関する詳細が掲載されている。問題の攻撃は、 Operation Shady RATと称されるもので、まずフィッシングアタックを介して ネットワークの足場を得た。McAfeeの研究者は、加害者らが侵害の記録を保持 している制御管制サーバへのアクセスを獲得した。攻撃のターゲットには、政 府各局、国防請負業者、ニュース組織などがある一方で、オリンピック関連組 織もターゲットになっており、この攻撃が、どこかの国家による仕業であると いう考えの信憑性が高まっている。この攻撃で影響を受けた組織の多くは、米 国にある。

http://www.csmonitor.com/USA/2011/0803/Massive-global-cyberattack-hits-US-hard-Who-could-have-done-it
http://www.latimes.com/la-fi-cyber-attacks-20110804,0,7350113.story
http://blogs.csoonline.com/1626/mcafee_smells_a_shady_rat_a_lot_of_em_actually
http://www.h-online.com/security/news/item/Operation-Shady-RAT-reveals-worldwide-espionage-attacks-1317710.html
http://www.bbc.co.uk/news/technology-14387559
http://www.v3.co.uk/v3-uk/news/2099030/mcafee-uncovers-operation-shady-rat-global-cyber-espionage-attack

【編集者メモ】(Northcutt)
McAfeeは。この報告を少しセンセーショナルにしてしまっているようだ。とは 言え、McAfeeは優れた研究を行っており、この成果は実際動かぬ証拠と言える だろう。私の推測では、今回の情報開示で次のような主だった影響がでると考 えられる。きっと次世代の制御管制サーバは、記録を残さておらず、やっとそ のサーバを見つけだしたとしても、蛇の頭を切断することはできるが、その蛇 が食べたものの痕跡は残っていないという事態になるであろう。

────────────────

◆米国自由人権協会 モバイルデバイスのデータを追跡用に警察が使用することについて情報を求める(2001.8.3-4)

米国中の米国自由人権協会(ACLU)グループが、米国居住者を警察が追跡する際 に、モバイルデバイスの位置情報を使用しているる方法についての詳細情報を 求めている。これに関する情報のリクエストが400件近くあがっていることから、警 察や民間企業がモバイルデバイスのユーザーを追跡する行為に関する倫理的・ 法的な解釈について関心が高まっていることがうかがえる。ACLUのリクエスト では、警察が、ユーザーの追跡を行う前に令状を獲得しているかどうか、また、 その実施がどれくらいの頻度で用いられているかの把握が要請されている。

http://www.computerworld.com/s/article/9218852/ACLU_wants_details_on_mobile_tracking_by_police?taxonomyId=17
http://latimesblogs.latimes.com/technology/2011/08/aclu-digs-into-mobile-location-privacy-with-huge-police-records-request.html
http://www.aclu.org/protecting-civil-liberties-digital-age/cell-phone-location-tracking-public-records-request

【編集者メモ1】(Schultz)
モバイルコンピューティングの全領域において、セキュリティ上の、また、法 的・倫理的な問題が非常に多数提起されているものの、そうすぐには、解決策 は見つからないだろう。

【編集者メモ2】(Murray)
警察が、法の許すあらゆる範囲で、全ての技術を駆使して犯罪捜査を向上しよ うとしないなどと考えるのは愚直である。ここで言う法は、もの言わぬ存在だ。 法が何かを語るとしても、警察は、その限界を超えようとしてくるものだ。

────────────────

◆英国政府 海賊版のコンテンツをホスティングしているサイトのブロックをISPに命令しない意向(2011.8.3)

英国政府は、関係機関が裁判所に対し、海賊版のデジタルコンテンツをホスティ ングしているWebサイトのブロックをリクエストできるようにするという、デ ジタル経済法(Digital Economy Act)下の計画を廃止した。インターネットサー ビスプロバイダが、法の条項に不満であったため、英国通信規制局(Ofcom: Office of Communication)は、ポリシーを再検討し、条項には「効果がない」 ことが明らかになった。モーション・ピクチャー・アソシエーション(MPA)は 最近、海賊版のコンテンツへのリンクをホスティングしている特定のサイトを ブロックするようにBTに義務付ける禁止命令を勝ち取った。しかし、このケー スでは、デジタル経済法の条項を行使していない。

http://www.bbc.co.uk/news/technology-14372698
http://www.pcmag.com/article2/0,2817,2390366,00.asps
http://www.guardian.co.uk/technology/2011/aug/03/government-scraps-filesharing-sites-block

────────────────

◆裁判官より「不正取引の責任は銀行にはなし」との判決 (2011.8.8)

「顧客の口座を最小限の認証で保護している民間金融機関は、連邦政府のオン ラインバンキングのセキュリティ必須条件に従っている」と判断した判事の推 奨は保留となっていたが、この決定がメイン州の米国地方裁判所判事に承認さ れた。この件では、総額58万8,000ドルにのぼる一連の資金振替が不正で行われ たとし、Patco ConstructionがOcean Bankを訴えていた。 Patcoの論拠は、 「Ocean Bankが十分な措置を設けてなかったため、問題の取引の正当性を確認 しないままその取引が許可された」ことに一部基づいていた。5月下旬に、判 事は銀行に有利な判決を下し、8月4日に(地方裁判所の)判事がその判決を正式 なものとした。Patcoは、この判決を控訴するかどうかについてまだ決めかね ているようだ。同様の複数件の訴えが、さまざまな連邦地方裁判所で審理され ているが、控訴裁判所の判決を要する判例法としての要件を満たしたものはな い。また、(米国)国家の判例として定めるには、米国最高裁判所の決定が必要 である。

http://krebsonsecurity.com/2011/08/judge-nixes-patcos-ebanking-fraud-case/
http://krebsonsecurity.com/wp-content/uploads/2011/08/dbh_08042011_2-09cv503_patco_v_peoples.pdf

────────────────

◆インド政府 通信を監視するアクセスを求める (2011.8.8)

Blackberryの親会社であるResearch In Motion (RIM)は、「傍受しやすい」の ネットワークを介してデータを送信するという要件に従えなかったため、イン ド政府からさらに別の期日を設定される至りとなった。インド政府が通信を傍 受できるようにするためには、RIMは同国内にサーバを設置せざるをえないと いう声もある。RIMは先に、ユーザーの企業用サーバのIPアドレスとPIN、加入 者が使用しているBlackberryデバイス全てのIMEI(訳注:携帯電話の機体識別 番号:international mobile equipment number)番号を提供すると提案した が、その提案は、インド政府にとっては承服し難いものだったようだ。また同 国政府は電気通信局に対し、「ツイッターとフェイスブックを効果的に監視で きるように」するよう要求している。

http://www.theregister.co.uk/2011/08/08/indian_blackberry_crackdown/
http://timesofindia.indiatimes.com/tech/social-media/Govt-wants-to-monitor-Facebook-Twitter/articleshow/9530919.cms

【編集者メモ】(Honan)
Blackberry Messengerサービスが、ロンドンや英国の各所で発生した暴動に関 係していた人に用いられていたという報告が広がっていることを考えると、 http://www.siliconrepublic.com/new-media/item/23066-london-rioters-used/ 英国や他国の政府が、インド政府がリクエストしたアクセスと同様のアクセス を求めるようになるのかどうか見ものである。RIMが、同社のサービスを用い た人の特定を英国警察と協力して行うと発表した後、同社のブログが「活動家」 によってハッキングされている。
http://www.scmagazineuk.com/blackberry-blog-defaced-and-threats-made-over-co-operation-with-police-over-londonriots/article/209305/
ハッキングされたブログでは、暴徒に対してRIMの従業員の個人情報を漏えい すると脅すメッセージが掲示されている。

────────────────

◆NERC  SCADA欠陥の実証を受けてエネルギー供給業者らにセキュリティ強化するように警告 (2011.8.8)

北米電力信頼度協議会は、 エネルギー供給業者らに対し、サイバー攻撃に対 する防御を強化するように求める警告を発した。この警告は、エネルギー供給 業者の施設のシステムの攻撃に使われうるプログラマブルロジックコントロー ラ(PLC)にある多数の脆弱性について情報が開示されたことを受けて発行され た。問題の脆弱性は、エネルギー供給業者の施設のシステムを攻撃する際に用 いられる可能性がある。

http://www.computerweekly.com/Articles/2011/08/08/247546/US-standards-body-issues-warning-to-energy-suppliers-over-cyber.htm
http://www.ft.com/cms/s/2/78f94f14-bec0-11e0-a36b-00144feabdc0.html?ftcamp=rss#axzz1UPjgH7bW

【編集者メモ】(Pescatore)
これは、現在、(情報技術=Information Technologyに対して)「操作技術 (operational technology)」と称されているものに存在する主要な問題のうち の1つを説明するよい例であろう。PLCやその他のプロセス制御システム (process control system)には脆弱性はなかったという前提が明らかにあった ように思えるが? それかもしくは、制御ネットワーク(control network)が 隔離されているという前提がまだあった、と。 Conficker、Stuxnet、ほか数 々の侵入テストの結果が示したとおり、これらの前提が本当であったことは間 違いなくほとんどない。

────────────────

◆バージニア州とデラウェア州でサイバーチャレンジ・キャンプ(2011.8.6)

招待でのみ参加できる米国サイバーチャレンジ・キャンプ(US Cyber Challenge Camp)が先週バージニア州リッチモンドのJ. Sargeant Reynolds Community Collegeで開催され、それに85人が参加した。 今夏に開催された他のキャンプ と同じように、その一週間は、バーチャルの旗取り競争で完結した。参加者は、 チームを組み、競技用に作成されたシステムへの侵入を試みた。今週、もう1 つ他のキャンプがデラウェア州ドーバーのDelaware Technical and Community Collegeで開催されている。これらのキャンプは、サイバーセキュリティ分野 に関心と才能のある人材を見出して養成し、(将来的には)米国の重大なイン フラ、政府、民間産業を支える組織でより安全なネットワークを構築・防御で きるようにしようという取り組みの一環である。

http://www2.timesdispatch.com/business/2011/aug/06/tdbiz01-future-cyberguardians-get-training-ar-1221289/
http://www.tmcnet.com/usubmit/-reynolds-hosting-national-cyber-camp-/2011/08/05/5685255.htm
http://www.uscyberchallenge.org/competitions-camps/cyber-camps/

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年7月30日 Vol.10 No.31)

今週報告された脆弱性情報のサマリー

======================================================================
カテゴリー
件数(#は本稿掲載番号)
======================================================================
Other Microsoft Products
1
Third Party Windows Apps
5
Linux
2
Cross Platform
7(#1)
Web Application - Cross Site Scripting
2
Web Application - SQL Injection
2
Web Application
6
Hardware
2
======================================================================

1.危険度【高】: Apple Safariにさまざまな脆弱性

<影響を受ける製品>
Safari 5.0.6
Safari 5.1

<詳細>
Appleは、同社製SafariのWebブラウザにあるさまざまな脆弱性に対処するパッ チをリリースした。問題の脆弱性としては、FrameOwnerのエレメントのWebKit 実装での解放領域使用の欠陥、Scalar Vector Graphics (SVG)マーカー、DOM 属性のコピー、HTML用に暗黙にスタイルが定義されてしまうことなどがある。 Appleがリストアップしたその他の脆弱性には、さまざまな方法で悪用可能な ライブラリ(CoreGraphicsなど)に内在する問題などもある。悪意のあるサイト を閲覧するようにターゲットを仕向けられれば、アタッカーは、これらの脆弱 性を悪用してターゲットのマシンに任意のコードを実行できるようになってし まう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティのアドバイザリ
http://support.apple.com/kb/HT4808
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-228/
http://www.zerodayinitiative.com/advisories/ZDI-11-239/
http://www.zerodayinitiative.com/advisories/ZDI-11-240/
http://www.zerodayinitiative.com/advisories/ZDI-11-241/
http://www.zerodayinitiative.com/advisories/ZDI-11-242/
http://www.zerodayinitiative.com/advisories/ZDI-11-243/
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/43228
http://www.securityfocus.com/bid/46262
http://www.securityfocus.com/bid/46614
http://www.securityfocus.com/bid/46703
http://www.securityfocus.com/bid/46785
http://www.securityfocus.com/bid/47020
http://www.securityfocus.com/bid/47029
http://www.securityfocus.com/bid/47604
http://www.securityfocus.com/bid/47668
http://www.securityfocus.com/bid/48416
http://www.securityfocus.com/bid/48426
http://www.securityfocus.com/bid/48427
http://www.securityfocus.com/bid/48429
http://www.securityfocus.com/bid/48437
http://www.securityfocus.com/bid/48820
http://www.securityfocus.com/bid/48823
http://www.securityfocus.com/bid/48825
http://www.securityfocus.com/bid/48827
http://www.securityfocus.com/bid/48828
http://www.securityfocus.com/bid/48831
http://www.securityfocus.com/bid/48832
http://www.securityfocus.com/bid/48833
http://www.securityfocus.com/bid/48837
http://www.securityfocus.com/bid/48839
http://www.securityfocus.com/bid/48840
http://www.securityfocus.com/bid/48841
http://www.securityfocus.com/bid/48842
http://www.securityfocus.com/bid/48843
http://www.securityfocus.com/bid/48844
http://www.securityfocus.com/bid/48845
http://www.securityfocus.com/bid/48846
http://www.securityfocus.com/bid/48847
http://www.securityfocus.com/bid/48848
http://www.securityfocus.com/bid/48849
http://www.securityfocus.com/bid/48850
http://www.securityfocus.com/bid/48851
http://www.securityfocus.com/bid/48852
http://www.securityfocus.com/bid/48853
http://www.securityfocus.com/bid/48854
http://www.securityfocus.com/bid/48855
http://www.securityfocus.com/bid/48856
http://www.securityfocus.com/bid/48857
http://www.securityfocus.com/bid/48858
http://www.securityfocus.com/bid/48859
http://www.securityfocus.com/bid/48860

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年8月6日 Vol.10 No.32)

今週報告された脆弱性情報のサマリー

======================================================================
カテゴリー
件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps
4(#1)
Linux
1
Unix
1
Cross Platform
12
Web Application - Cross Site Scripting
3
Web Application
4
Network Device
1
Hardware
1
======================================================================

1.危険度【高】: RockWell FactoryTalkにメモリ崩壊の脆弱性

<影響を受ける製品>
Rockwell Automation FactoryTalk Diagnostic Viewer Version 2.10.x (SPR9 SR2)までのバージョン

<詳細>
Rockwell Automationは、同社製FactoryTalk Diagnostics Viewerにある詳細 不明なメモリ崩壊の脆弱性に対処できるパッチをリリースした。FactoryTalk は、工業環境用に設計されたRockwell製ソフトウェア製品のパッケージソフト で、企業と産工業環境にある製造プロセスの間の通信を容易にするために用い られる。FactoryTalk Diagnosticsは、活動、ステイタス、警告、エラー・メッ セージのログを記録し、利用可能にする。この脆弱性の詳細情報は公表されて いないが、アタック手法は判明している。悪意のある".ftd"ファイルを開くよ うにターゲットを誘い込めれば、アタッカーは、この脆弱性を悪用してターゲッ トのマシンに任意のコードを実行できるようになってしまう。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.rockwellautomation.com
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/48962/

────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。 組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。 ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。

http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。 今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷