NRI Secure SANS NewsBites 日本版

Vol.2 No.20 2007年5月21日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.20 2007年5月21日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Vision 2007 Tokyo国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京
     参加無料(事前登録制)詳細はこちら↓↓↓
               http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.38-39(原版:2007年5月11日、5月15日)

■はじめに(Alan Paller:SANS Director of Research)

セキュリティ分野において大きな変革が起きており、侵入検知やフォレンジッ
ク、ワイヤレス・セキュリティ、侵入テスト、セキュア・コンフィグレーショ
ン・マネジメント、アプリケーション・セキュリティ、技術的なセキュリティ
監査などに強みのあるセキュリティ専門家や監査人の需要が高まっているよう
だ。この現状に対して、権威のあるトレーニングを提供できるプログラムは、
SANSのプログラムしかない。
トップクラスのSANSインストラクターによるトレーニングに興味のある方はこ
ちらへ:

ブリュッセル: SANS Secure Europe (6コース): 6月25日-30日
http://www.sans.org/brussels07/

デンバー: Rocky Mountain SANS (14 コース): 5月31日-6月7日
http://www.sans.org/rockymnt2007/

ワシントンDC:SANSFire 2007 (57 コース): 7月25日-8月3日
http://www.sans.org/sansfire07/

東京でも2007年秋に3コースを開催する予定。詳細が決まり次第、Webやメール
などにてお知らせします。

────────────────

◆米国下院委員会 タッチスクリーンの投票マシンに紙面記録処理を義務付け
  る法案を承認(2007.5.7)

選挙を監督する米国議会下院委員会は、タッチスクリーンの投票マシンについ
て一票ごとに受理用紙作成機能を義務付ける法案を承認し、本会議にかけるこ
ととなった。また、投票者の信頼とアクセシビリティ拡大のための法案(Voter
Confidence and Increased Accessibility Act)では、選挙結果をランダムに
監査することが義務付けられている。同法案には、肯定否定両面から、さまざ
まな論議が生じている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9019024&source=rss_topic17
http://cha.house.gov/images/stories/Documents/hr_811_rep_lofgren_substitue.pdf
────────────────

◆知的財産侵害の男性 オーストラリアから強制送還(2007.5.7)

オーストラリアに30年以上在住している英国人男性、Hew Raymond Griffiths
が、知的財産法違反で米国に強制送還された。Griffithsは、著作権侵害罪に
ついて有罪を認めた。6月に判決が下れば、最高で10年の懲役刑に科せられる
可能性がある。Griffithsは、さまざまなデジタルコンテンツをハッキングし、
無料でそれらを提供していたと思われるグループ、Drink or Dieのリーダーだ
と考えられている。これまで3年間の間、強制送還措置に異議を唱えて戦って
きた同人が強制送還になったため、これで世界にまたにかけるデジタル著作権
侵害との戦いに大きな一歩を踏み出せるとの声もある。しかし、「米国に足を
踏み入れたことのない人間が、米国外で起こした容疑の刑事裁判のために米国
に強制送還されている」というのはいかがなものか、という懸念の声もあがっ
ている。
http://www.theage.com.au/news/national/australia-hands-over-man-to-us-courts/2007/05/06/1178390140855.html?page=fullpage#contentSwap1

【編集者メモ】(Schultz)
当該国に一度も足を踏み入れたことがないならその法を犯せたはずもない、と
いう論理は、現在のコンピュータ犯罪の様相を踏まえると全く当てはまらない。
著作権侵害、悪意あるコード、未承認アクセスなどこの種の犯罪は、当然のよ
うに国境を超えているのだから。
────────────────

◆米国労働組合 紛失したハードドライブについて運輸保安局を訴える
  (2007.5.8-10)

米国公務員連合は、紛失したハードドライブに個人情報があったとする運輸保
安局(TSA)職員を代表して、同局を相手取り、集団訴訟を起こした。原告側
は、「TSA職員の個人情報を保管する機器の電子的な監視、当該データの暗号
化など、より厳しいセキュリティ防御策の施行」をTSA側に要請する裁判所命
令を求めている。データ侵害で発生した問題を修正するために休暇が必要な
TSA職員には懲戒なしの有給休暇が付与され、データ侵害による損失額が補填
されることになっている。
http://www.sfgate.com/cgi-bin/article.cgi?file=/n/a/2007/05/08/national/w150926D86.DTL&type=printable
http://www.scmagazine.com/us/news/article/656868/union-sues-tsa-data-breach/
────────────────

◆Googleの研究で Webページの10%にマルウェアがあることが明らかに
  (2007.5.11)

Googleの研究によると、Webページの10%に、悪意あるコードが含まれている
という。Googleが1年かけてWebページ450万件を綿密に分析したところ、その
10%にあたる45万件に、ユーザーに知られることなくマルウェアをインストー
ルできる機能が備わっていることが確認された。また、70万件は、ユーザーの
コンピュータにダメージを与えうるコードに感染していた。同社は、「インター
ネットに存在している悪意あるWebページを全て特定する」取り組みを始めた。
こういったマルウェアのほとんどは、甘い言葉でユーザーを誘導して危険なペ
ージを訪問させたり、Microsoft Internet Explorer(IE)のセキュリティホー
ルを悪用して、マルウェアそのものをユーザーのコンピュータにインストール
させたりするものだ。Googleはまた、これらのWebページを感染させるために
アタッカーが用いる手法についても調査した。悪意あるコードのほとんどは、
バナー広告やウィジェットなど、Webサイトの所有者の管理下にはない部分に
存在していていたようだ。
http://news.bbc.co.uk/2/hi/technology/6645895.stm
http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

【編集者メモ1】(Skoudis)
これはたいへん素晴らしい研究だ。マルウェアの脅威についての理解も大いに
深まるだろう。ぜひ一読をおすすめする。また、この研究で今日のインターネッ
トは、マルウェアの巣窟であることがわかった。エクスプロイトが出回ってか
ら数週間経て、やっとパッチが発行されることも多い。主流ブラウザがそのよ
うな状態では、危険度がますます高まっていると言えよう。
────────────────

◆テキサス州でPCI基準を州法化する法案が提案される(2007.5.14)

テキサス州下院議会では、ペイメントカード産業(PCI:Payment Card
Industry)データセキュリティ基準の遵守を州法化する法案が、満場一致で可
決された。この法案、HB 3222では、侵害を受けた企業が侵害当時PCI基準をク
リアしていなかった場合、侵害されたカードのブロック、新カード発行費用の
銀行や信用組合への払い戻しを義務付けている。基準に達していたにもかかわ
らず侵害を発生させた企業は、免責条項で保護される。この法案が成立するに
は、今後テキサス州議会上院で可決されなければならない。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9019361&source=rss_topic17

【編集者メモ】(Schultz)
とても興味深い節目である。PCI-DSS基準の作成者らもこのような展開になる
とは夢にも思わなかっただろう。PCI-DSS基準は、完全とはほど遠いものの、
法的遵守を義務付ければ、クレジットカード発行企業のセキュリティが高まる
だろう。
【編集者メモ】(Pescatore)
大きな間違いのように思える。店舗はすでに、クレジットカード詐欺や侵害に
よる費用負担を被っている。カード発行者やカード協会だけが無賃乗車できる
わけがない。PCIのプロセスには素晴らしい要素がたくさんあるが、検査の統
制やコンプライアンスの設定にあったては、目指すべきセキュリティレベル引
き上げのために改善すべきことが山積している。
【編集者メモ】(Paller)
PCIには欠陥もあるが、機密情報を保護する上では、NIST(米国国立標準技術
研究所)の基準よりも随分妥当性が高い。PCI監査人にも同様の考えを持つ人
がいる。しかし、NIST基準を使用しているFISMA監査人はそう考えていないよ
うだ。NISTが、PCI監査ガイドラインをNIST基準を満たすものとして承認し、
推奨するようになれば、米国政府のセキュリティは一気に前進するだろう。
ISO基準にも同じことが言える。PCI監査ガイドの改正版(特別に、John
Pescatoreが推奨する改善事項も含める)を、ISO基準下における最低限の許容
範囲を示す監査ガイドにするべきだ。
────────────────

◆米国国立標準技術研究所 PRISMAデータベースをリリース(2007.5.7)

米国国立標準技術研究所(NIST)は、情報セキュリティ管理支援プログラムレビ
ュー(PRISMA:Program Review for Information Security Management
Assistance)データベースをリリースした。このデータベースは、NISTが発表
したガイドラインや、連邦セキュリティ基準、ベストプラクティス、連邦情報
セキュリティマネジメント法(FISMA)の必須要件から構成されている。同デー
タベースは、ITセキュリティプログラムの検査を行う際に必要なデータを、各
政府局で収集できるよう設計された。NISTはまた、NISTの関連文書リスト
「NISTコンピュータセキュリティ文書のガイド」をリリースしている。これを
使えば、トピック群別、種類別、法的必須要件別に検索が行えるようになって
いる。
http://www.gcn.com/print/26_10/44216-1.html
http://prisma.nist.gov/
http://csrc.nist.gov/publications/CSD_DocsGuide.pdf

【編集者メモ1】(Schultz)
素晴らしい文書の作成、基準設定、ほか多くの活動を行い、セキュリティの促
進に貢献しているNISTには、多大な称賛を与えるべきだ。NISTは、常に素晴ら
しく筋の通った、よく練られたセキュリティ関連の文書・基準を生み出してい
る。
【編集者メモ2】(Paller)
セキュリティを文書にまとめたNISTの行為は英雄的であり、業界全体からの深
謝に値する。しかし、そのセキュリティ関連の取り組みには、ひとつ致命的な
欠陥がある。それは、NISTの推奨事項に優先順位が付けられていないというこ
とだ。政府局は「NISTの推奨事項の多くを導入するための十分な資金がない」
と口を揃えることだろう。優先順位付けがされていないため、推奨事項の信頼
性や有効性が測れず、結局は導入に至らないという事態を招く。その結果、連
邦政府局がFISMA(Federal Information Security management Act)において落
第点を付けられる主たる原因はNISTということになってしまうのだ。政府局が
実際のセキュリティの改善よりも報告書作成の方に多くを費やしてしまうのも、
NISTのせいになってしまうわけである。PRISMAによって、NISTが引き起こした
問題が証明されたことになるだろう。
────────────────

◆Visa 決済アプリケーション・ベストプラクティス基準を満たさないアプリ
ケーション名を示す(2007.5.13)

Visa USA Inc.は、クレジットカード決済権限を店舗に与えている金融機関に
書簡を送った。その書簡は、ペイメントカード産業(PCI)データセキュリティ
基準に伴う決済プラクティス(PABP:Payment Applications Best Practices)に
準拠していない特定のアプリケーションを使用しないよう要請するものだ。
PABP基準は今のところ任意であるが、Visaは最終的にこれをPCIの必須要件に
組み込む意向である。ここで言及されているアプリケーションには、暗証番号
やカード検証値番号など、カードに関する機密情報が保存されている。当該製
品を販売しているベンダーは、送付前にその旨通知されており、そのほとんど
は、問題の製品が機密情報を保持できないようパッチを発行している。Visaは
PABP基準に準拠していない製品を明らかにすることで、ソフトウェアベンダー
がより一層必須要件を満たす製品を開発するために尽力するようになるのでは
ないかと期待している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=292347&source=rss_topic17

【編集者メモ】(Grefer)
準拠していないベンダーのリストは、まだ公表されていないものの、準拠して
いるベンダーのリストはこちらで閲覧できる。
http://usa.visa.com/download/merchants/validated_payment_applications.pdf
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年5月14日配信 Vol.6 No.19)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 1(#1,#2)
Microsoft Office            6 (#6,#7,#8)
その他のMicrosoft製品          3 (#3,#5)
サードパーティのWindowsアプリ     24 (#4,#9,#10)
Mac OS                 2
Linux                  3
Solaris                 2
Unix                  3
Novell                 9
クロスプラットフォーム         9
Webアプリ…XSS             9
Webアプリ…SQLインジェクション     9
Webアプリケーション          39
ネットワークデバイス          1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、Microsoft製品3つ(Windows、Internet Explorer、Exchange)にある
重大な脆弱性のほかに、広範囲で使用されているセキュリティ製品(CA eTrust
Antivirus Server)に重大な脆弱性が確認されている。CAツールも、ログオン
スクリーンで簡単に悪用されてしまうことが明らかになった。
────────────────

1.危険度【重大】:Microsoft WindowsのDNS RPCインタフェースにバッファオ
  ーバーフローの脆弱性(MS07-029)

<影響のある製品>
Microsoft Windows 2000 Server
Microsoft Windows 2003 Server

<詳細>
Microsoft DNSサーバは、サーバをリモート管理できるようにするために、
Remote Procedure Call(RPC)インタフェースをエクスポートする。しかし、特
定のファンクションコールは、不正形式のDNSゾーン名を正確に処理できない。
これらのファンクションコールが不正形式のゾーン名を含むように細工される
と、バッファオーバーフローが引き起こされるため、脆弱なプロセス権限(た
いていはSYSTEM権限)で任意のコードを実行できるようになってしまう。エク
スプロイトコードがすでに公表されている。当時、この問題は、zero-dayの脆
弱性として、Microsoftの正式な発表前に情報が開示された。開示当時、@RISK
のバックナンバーで、この脆弱性が紹介されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。ユーザーは、
使う必要がなければ、DNS serverのRPC管理インタフェースを無効にするとよ
い。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-029.mspx
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=16#widely1
SecurityFocus BID
http://www.securityfocus.com/bid/23470
────────────────

2.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS07-027)

<影響のある製品>
Microsoft Windows 2000/XP
Microsoft Windows Server 2003
Microsoft Windows Vista

<詳細>
Microsoft Internet Explorerには、COMオブジェクトやスクリプトを含むWeb
ページ、HTML文書の処理に複数の脆弱性がある。 細工されたWebページによっ
てこれらの脆弱性が悪用されると、現在のユーザー権限で任意のコードを実行
するか、もしくは現在のユーザーの許可で任意のファイルを上書きしてしまう。
これらの脆弱性の技術的詳細やエクスプロイトが、部分的に公表されている。

<詳細>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftのセキュリティ広告
http://www.microsoft.com/technet/security/bulletin/MS07-027.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-027.html
Secuniaのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0145.html
Andres Tarasco Acunaによる任意のファイル改ざんの概念実証コード
http://www.milw0rm.com/exploits/3892
SecurityFocus BIDs
http://www.securityfocus.com/bid/23770
http://www.securityfocus.com/bid/23769
http://www.securityfocus.com/bid/23771
http://www.securityfocus.com/bid/23772
────────────────

3.危険度【重大】:Microsoft Exchangeに複数の脆弱性(MS07-026)

<影響のある製品>
Microsoft Exchange 2000
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007

<詳細>
Microsoft Exchangeには、複数の脆弱性がある:

(1)Exchangeは、細工されたMIMEエンコードデータを正確に処理できない。
  MIMEエンコードは、メールにファイルを添付するときに用いられる。メー
  ルが細工されると、この脆弱性が引き起こされ、サーバのプロセス権限で
  任意のコードが実行されてしまう。この脆弱性を引き起こすには、単にメ
  ールが脆弱なサーバを通過するだけでよいので、注意が必要だ。

(2)ExchangeのiCalメッセージやIMAPコマンドの処理には、複数のDoS脆弱性が
  ある。細工されたiCalファイル(予定やスケジュール情報を保存するときに
  使用する) をメールに含ませると、サーバがクラッシュし、それ以後のメ
  ッセージ処理を停止してしまう。また、IMAPコマンドの処理にある欠陥に
  よって、メールサービスをクラッシュすることができるようになる。メー
  ルを送信するか、サーバに接続するだけでこれらの脆弱性を悪用すること
  ができるので、注意が必要だ。

メールサービスをクラッシュするだけで、WebサービスやFTPサーバなど、他の
インターネットサービスもクラッシュしてしまう。技術的詳細の一部や概念実
証コードが公表されている。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-026.mspx
iDefenseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0131.html
Determinaのセキュリティアドバイザリ(概念実証コードも含む)
http://archives.neohapsis.com/archives/bugtraq/2007-05/0112.html
MIMEについてのWikipediaの説明
http://en.wikipedia.org/wiki/MIME
SecurityFocus BIDs
http://www.securityfocus.com/bid/23808
http://www.securityfocus.com/bid/23809
http://www.securityfocus.com/bid/23810
────────────────

4.危険度【重大】:Computer Associates eTrust AntiVirus Serverにバッファ
  オーバーフローの脆弱性

<影響のある製品>
CA eTrust Antivirus Serverのバージョン8

<詳細>
CA eTrust AntiVirus Serverは、広範囲で使用されているアンチウィルスソリ
ューションである。しかし、ユーザーログイン証明書に、バッファオーバーフ
ローの脆弱性がある。TCP 12168番ポートでリッスンする"inoweb"コンポーネ
ントは、過剰に長いユーザー名やパスワードを正しく処理できない。そのため、
どちらかのパラメータに長い値を送信して、バッファオーバーフローを引き
起こし、脆弱なプロセス権限で(多くの場合SYSTEM権限)、任意のコードを実
行できるようになってしまう。

<現状>
CAは、この問題を認めており、更新をリリースしている。ユーザーは、可能で
あれば、ネットワーク境界でTCP12168番ポートをブロックすること。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Zero Dayのイニシアチブアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-028.html
Computer Associatesのセキュリティ通知
http://supportconnectw.ca.com/public/antivirus/infodocs/caav-secnotice050807.asp
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=530
SecurityFocus BID
http://www.securityfocus.com/bid/23906
────────────────

5.危険度【高】:Microsoft CAPICOMのActiveXコントロールにリモートのコー
  ド実行の脆弱性 (MS07-028)

<影響のある製品>
Microsoft CAPICOM ActiveX Control
Microsoft BizTalk Server 2004

<詳細>
Microsoft CAPICOM ActiveXコントロールは、Microsoft Windows に含まれる
暗号処理システムへアクセスできるようにするものだ。このコントロールは、
エクスポートされたメソッドに向かう特定の不正形式のインプットを正しく処
理できない。そのため、このコントロールをインスタンス化するWebページが、
これらの脆弱なメソッドを呼び出すことができるようになってしまう。この脆
弱性の悪用が実現すると、現在のユーザー権限で任意のコードが実行できるよ
うになるおそれがある。

<現状>
Microsoftはこれを認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。同社
は、次期定例メンテナンススケジュールに合わせてパッチを導入する見込みで
ある。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-028.mspx
CAPICOMについてのMSDN記事
http://msdn2.microsoft.com/en-us/library/ms995332.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/23782
────────────────

6.危険度【高】:Microsoft Officeにリモートでコードが実行される脆弱性
  (MS07-025)

<影響のある製品>
Microsoft Office 2000/XP/2003/2007
Mac用Microsoft Office 2004

<詳細>
Microsoft Officeには、Office文書に組み込まれた描画オブジェクトを処理す
る際に欠陥がある。これらのオブジェクトは、グラフィックスやその他の画像
データを提供するときに用いられる。Office文書に細工された描画オブジェク
トが含まれていると、メモリ崩壊脆弱性が引き起こされる。この脆弱性の悪用
が実現すると、現在のユーザー権限で任意のコードを実行できるようになって
しまう。Officeの最近のバージョンはプロンプトなしで文書を開くことはない。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-025.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/23826
────────────────

7.危険度【高】:Microsoft Wordに複数の脆弱性 (MS07-024)

<影響のある製品>
Microsoft Word 2000/2002/2003
Microsoft Works Suite 2004/2005/2006
Microsoft Word Viewer 2003
Mac用Microsoft Office 2004

<詳細>
Microsoft WordのWord文書およびリッチテキストフォーマット(RTF)文書処理
には、複数の脆弱性がある。Word文書に、細工されたarray配列やdocument
stream elementがある場合、もしくはRTF文書に細工されたプロパティがある
場合、これらの脆弱性のどれかが引き起こされてしまう。どれか一つでも脆弱
性の悪用が実現すれば、現在のユーザー権限で任意のコードを実行できるよう
になってしまう。これらの脆弱性のうち少なくとも1つに対するエクスプロイ
トが、ちまたに出回っていると思われる。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-024.mspx
iDefenseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0133.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/23836
http://www.securityfocus.com/bid/22567
http://www.securityfocus.com/bid/23804
────────────────

8.危険度【高】:Microsoft Excelに複数の脆弱性(MS07-023)

<影響のある製品>
Microsoft Excel 2000/2002/2003/2007
Microsoft Excel Viewer 2003
Mac用Microsoft Office 2004

<詳細>
Microsoft ExcelのExcel表ファイル処理に複数の脆弱性がある。Excelの表に、
細工されたBIFF、フィルタ、フォント記録が含まれると、これらの脆弱性のど
れかが引き起こされてしまう。どれか一つでも脆弱性の悪用が実現してしまう
と、現在のユーザー権限で任意のコードを実行できるようになってしまう。こ
れらの脆弱性の技術的詳細の一部が、公表されている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。それらの企
業のうちほとんどは、次期定例メンテナンススケジュールに合わせてパッチを
配信する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-023.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-026.html
iDefenseセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0132.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/23780
http://www.securityfocus.com/bid/23779
http://www.securityfocus.com/bid/23760
────────────────

9.危険度【高】:McAfee Security CenterのActiveXコントロールにバッファオー
  バーフローの脆弱性

<影響のある製品>
McAfee Security Centerバージョン6から6.0.0.25まで
McAfee Security Centerバージョン7から7.2.147まで

<詳細>
McAfee Security Centerは、McAfeeセキュリティ製品を中央で管理するときに
用いられる。 しかし、これのActive Xコンポーネントには、バッファオーバ
ーフローの脆弱性がある。このコントロールをインスタンス化するWebページ
が細工されると、このバッファオーバーフローが引き起こされ、現在のユーザ
ーの権限で任意のコードが実行されてしまう。この脆弱性の技術的詳細の一部
と、作用するエクスプロイトが公表されている。

<現状>
McAfeeはこの問題を認めており、更新もリリースしている。ユーザーはCLSID
"9BE8D7B2-329C-442A-A4AC-ABA9D7572602"に、Microsoftの"kill bit"機能を
設定して影響のあるコントロールを無効にすれば、この脆弱性の影響を軽減で
きる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は次期定例メンテナンススケジュールに合わせてパッチを適用する見込み
である。

<参考>
iDefenseのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-05/0114.html
概念実証コード
http://www.milw0rm.com/exploits/3893
Microsoftナレッジベースの記事 ("kill bit"機能について解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/23888
────────────────

10.危険度【高】:トレンドマイクロServer Protectに複数の脆弱性

<影響のある製品>
トレンドマイクロServer Protectのバージョン5.58、もしくはそれ以前のバー
ジョン

<詳細>
トレンドマイクロServer Protectは、企業用アンチウィルス製品として、広範
囲で使用されている。しかし、これのRemote Procedure Call (RPC) リクエス
ト処理には複数の脆弱性がある。サーバは、脆弱なインタフェース2つ(1つは
TCP5168番ポート、もう1つは3628番ポートで運用されている)をエクスポート
する。これらのインタフェースのどちらかに細工したRPCリクエストを送信す
れば、バッファオーバーフローを引き起こせるようになってしまう。これらの
脆弱性の悪用が実現すると、脆弱なプロセス権限で任意のコードを実行できる
ようになってしまう。これらの脆弱性の技術的詳細が公表されている。また、
これらの脆弱性のうち一つに対するエクスプロイトが、Immunity's partners
programのメンバー用に公表されているようだ。

<現状>
トレンドマイクロはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
zero-dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-024.html
http://www.zerodayinitiative.com/advisories/ZDI-07-025.html
トレンドマイクロのホームページ
http://www.trend.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/23866
http://www.securityfocus.com/bid/23868

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。