NRI Secure SANS NewsBites 日本版

Vol.2 No.3:2007年1月22日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.3 2007年1月22日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~~~~~
┃   2007年2月19日~24日 開催決定!

┃■SANS認定インストラクターの高いスキル、豊富な実例■
┃■講師と受講者相互によるディスカッション形式の講義■
┃■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃詳細はこちら
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━

渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!
────────────────

■■SANS NewsBites Vol.9 No.4-5 (原版:2007年1月13、17日)

■はじめに(Alan Paller: SANS director of research)

今後数週間のうちに、米国陸軍サービスが、共通OS (手始めにVISTA とXP) の
安全な設定を標準化し、「標準設定」を設けるというニュースを耳にするだろ
う。それが実現すれば:
(1) 独自の保護策強化を行っている数多くの拠点の費用を削減しミスを回避で
きる。
(2) OSベンダーに対して「標準設定」でパッチをテストさせることができる。
つまり、パッチがより迅速にインストールされるようになる。
(3) ソフトウェアが「標準設定」と相容れないがために、その設定を変更せざ
るをえないという状態に発展してしまうようなソフトウェアを、アプリケー
ションベンダーが販売できなくなる。
これは大きなニュースだ。Civilian US Government Agenciesは、国防総省の
この功績を迅速に活用するだろう。他の政府機関やその他多くの大企業も然り
だ。国防総省のこの功績は、国家安全保障局(NSA)やインターネットセキュリ
ティセンター(CIS:Center for Internet Security)がコミュニティ全体に、
コンセンサスを形成してくれたおかげだ。SANSも、CISの活動を一貫して支援
してきた。
http://www.cisecurity.org
http://www.sans.org/score/index.php
────────────────

◆米国国家安全保障局 VISTAの一層の安全化を支援
  (2007.1.7-9)

Microsoftによると、米国国家安全保障局(NSA)は、Windows VistaのOS開発を
支援したという。NSAは、米国国防総省のセキュリティ必須要件を満たせるよ
うに、設定に手を貸したようだ。NSAは過去に、セキュリティに関連した事項
について相談を持ちかけられたことはあったが、同局が、OSのリリース前に関
与したのは今回が初めてである。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9007719&source=rss_topic17
http://www.washingtonpost.com/wp-dyn/content/article/2007/01/08/AR2007010801352_pf.html

【編集者メモ1】 (Ullrich)
NSAは、過去にOS開発を行っている。NSAが最初に開発した"Security Enhanced
Linux Patch" (SE Linux) は、今やほとんどのLinuxにおいて標準となってい
る。
【編集者メモ2】 (Northcutt)
NSAのWebページにあるSecurity Enhanced Linuxを試してみてはいかがだろう。
このOSは素晴らしいもの発展しそうだ。
http://www.nsa.gov/selinux/
【編集者メモ3】(Paller)
VISTAに対するNSAの貢献は、 長年にわたって行われてきたもので、貢献内容
も前述のものだけにとどまらない。同局は当初、 Microsoftに対してWindows
の初期バージョンのために、SE Linuxにおける素晴らしいアイデアを提供して
いた。Linuxには、より安全な技術が組み込まれているということを、それま
で否定していたMicrosoftが、それを認めるようになってからのことである。
NSAは、数年もの間、VISTAの設計に多大な貢献をもたらし、Microsoftが、周
知のアタック手法をブロックできる機能を構築する手助けをしてきた。安全な
設定への支援というのは、それとは全く別の貢献である。NSAと米国空軍の主
導の下、 国防総省全体がより安全な設定のVISTAのみを使用するように変わり
つつある。民間の組織でも、セキュリティに関心ある皆さんが中心となって、
MicrosoftやDell、その他の企業に対し、米国空軍と同じ設定のVISTAを販売す
るように要請するとよいだろう。
────────────────

◆Feinstein上院議員 ID盗難に対抗する2つの法案を提案
  (2007.1.10)

Dianne Feinstein上院議員 (カリフォルニア州民主党) は、国民の個人情報を
保護するための2つの法案を提案した。これらの法案のうちの1つ、個人情報の
リスク通知法(Notification of Risk to Personal Data Act)によって、組
織はセキュリティ侵害で個人情報を漏えいされた人に通知するように義務付け
られている。もう1つの法案、社会保険番号乱用防止法(Social Security
Number Misuse Prevention Act)では、連邦・州・地方政府も含めた組織に対
し、本人の同意なしに社会保険番号(SSN)を売り渡したり、開示したりするこ
とを禁じている。
http://www.allamericanpatriots.com/m-news+article+storyid-17552.html

【編集者メモ1】(Pescatore)
情報開示についても連邦法を統一してもよいだろう。しかし、連邦法は、個人
よりも経済や企業の利益を優先させる傾向があるので、そうならないような仕
組みを検討することも重要だ。
【編集者メモ2】(Schultz)
これらの法案が可決されれば、個人情報の盗難やデータセキュリティ侵害から、
被害者を守るうえでかなりの前進を遂げられる。データセキュリティ侵害の影
響がある人には、必ずその旨を通知しなくてはならないという連邦法が過去に
提案された。しかし、その法案自体はあまり前進しなかった。民主党が上院下
院両院を主導している今、これらの両法案が可決される可能性はかなり高い。
ただ、これらの法案が可決されても、ブッシュ大統領が拒否権を行使するかも
しれないという問題は残る。
【編集者メモ3】(Ullrich)
これは、今やかなり解決期限の過ぎた問題だ。多くの州が、すでに同じような
情報開示法を可決しているため、それらの互換性に関して混乱が生じている。
連邦法でそれらが統一されれば、企業にとっても法律遵守がしやすくなり、そ
れにかかる費用も削減される。しかし、連邦の標準法ができると、それによっ
て最小公倍数的な妥協が発生してしまい、現存の州法の効力が弱まる危険性が
ある。
────────────────

◆企業のセキュリティホール:社員がメールを個人の私用メールアドレスに転送
  (2007.1.11)

社員が、業務上のメールをWeb上の個人私用アカウントに転送する問題が深刻
化している。社内ネットワークから離れているときは、これらのアカウントか
らメールにアクセスする方が、企業のメールソリューションを利用するより、
一般的に迅速で簡単である。しかし、このような個人用アカウントからメール
を送信すると、それらのメールは、社内のメールシステムを通過しない。その
ため、該当企業は、訴訟中に要請があった場合に社内メールを提出しなくては
ならないという連邦法に違反してしまうおそれがある。医師や看護士が、当た
り前のように機密医療記録を個人のWebメールアカウントに転送していること
が発覚したため、アトランタのDeKalbメディカルセンターは、外向きのメール
の監視を始めた。
http://www.nytimes.com/2007/01/11/technology/11email.html

【編集者メモ1】(Pescatore)
Webメール問題は、今となっては時代遅れの問題だ。外向きのメールやインス
タントメッセージを監視している企業でも、顧客データや機密情報が含まれた
メッセージを多数発見する。そのため、コンテンツ監視や外向きのメッセージ
のフィルタリングを行う組織が急激に増加している。
【編集者メモ2】(Schultz)
職務上のメールをWeb上の個人用メールアカウントに転送することによって生
じるもう1つのリスクは、これらのメールを保存しているメールサーバは、企
業のセキュリティ基準を満たしていないため、承認なしにメールの内容が外部
にさらされる危険性が高まってしまうということである。
【編集者メモ3】(Northcutt)
この問題は、新しくはないが確実に大きな問題である。「機密メールを非保護
アカウントに送信することによって、自分の仕事や企業をリスクにさらしてい
ることを理解しているか?」という問いかけを社員に行うことは、セキュリティ
のアウェアネスを高めるためのよい事例になろう。6ドルを惜しまないという
のなら、ぜひハーバードビジネスレビューを購読してほしい。「企業に欠かせ
ない技術顧問のエンジニアが、組織外に機密メールを送信しようとしたために
クビになった」という情状酌量なしのストーリーをもとに行われたケーススタ
ディが掲載されている。この記事を読めば、機密情報のポリシーを施行しつつ、
従業員をある程度監視し続けた方がよいことがわかるだろう。
http://harvardbusinessonline.hbsp.harvard.edu/b02/en/common/item_detail.jhtml;jsessionid=HTW2JT4UYVEJQAKRGWDSELQBKE0YIISW?id=R0611A
────────────────

◆PayPal 認証のレイヤーをもう一層追加
  (2007.1.11)

PayPalは、認証に2つ目のレイヤーを追加し、セキュリティを強化する予定だ。
このeBayの出資会社は、顧客にPayPalセキュリティキー・デバイスを提供する
という。このデバイスは、30秒ごとに数字のパスワードを生成する。ユーザー
は、取引の際に、通常のパスワードとこのキーデバイスがランダムに生成する
パスワードを入力する必要がある。このように、セキュリティのレイヤーがも
う一層追加されることによって、フィッシャー阻止に役立つ。最新のセキュリ
ティキー・パスワードや、他のアカウント情報なくしては、フィッシャーはユー
ザーのアカウントにアクセスできない。このデバイスの使用に当たっては、個
人ユーザーは5ドルを支払わなければならない。しかし、企業ユーザーには、
セキュリティキーの使用料は発生しない。キー使用の動作については、現在テ
スト中であるが、最終的には、段階的に全てのユーザーのために導入されてい
くだろう。
http://www.computerworld.com/action/article.do?command=printArticleBasic&articleId=9007818

【編集者メモ1】 (Honan)
顧客が自身を保護できるように手助けする措置に踏み切ったPayPalに称賛を。
フィッシングに対抗できるという完全な保証はないものの、5ドルでPayPalの
アカウントがより安全になるなら、安いものだ。
【編集者メモ2】(Schultz)
PayPalのこの試みは素晴らしい。キーストロークやスニファによるリスクが高
まっていることを考えると、ワンタイム認証証明書の導入は明らかに正しい方
向への一歩だ。
【編集者メモ3】(Pescatore)
犯罪者から顧客を守るために、顧客にそのための費用を払わせるようなビジネ
スモデルは、うまくいかないものだ。
PayPalが、顧客サービスの改善や、詐欺で生じる費用の削減に真剣ならば、
PayPalがその費用を負担するべきだろう。eBayには、Skypeに大金を投じるほ
ど余裕があるのだから、なおさらだ!?
────────────────

◆オーストラリアの銀行 オンライン詐欺被害を消費者の責任に
  (2007.1.15)

オーストラリアの銀行関係者は、インターネット詐欺による損失被害額が年間
2,500万ドルを超えており、ひどく苦悩している。 彼らは、オーストラリアの
証券投資委員会(Australian Securities & Investments Commission)に対し、
オンライン取引中の誤操作やフィッシングアタックによる顧客の損失を、顧客
自身に支払わせるようにする許可を働きかけている。現在の銀行は、これらが
原因で生じた顧客の損失を補償している。しかし、消費者グループはこれに反
対している。中には、「オンライン環境で次々に浮上する新しい問題に対応す
るだけで精一杯である。このような状況の中で、産業全体をあげてしても困難
であるこの問題に対応することを平均的な消費者に期待するなど、それは少し
求めすぎではないか」という声もあがっている。
http://www.abc.net.au/pm/content/2007/s1827360.htm

【編集者メモ1】(Paller)
米国の銀行の方が、より大きな詐欺被害額を抱えているが、預金者の損失をす
べて補償しているわけではない。米国の銀行では、2005年から2006年にかけて、
500%被害額が増加している。そういった銀行のCEOは、一体いつまで我々が損
失を補填できるのだろうかと自問自答している。しかし、今のところ銀行は、
損失補償額より厳しい認証機能を設ける費用の方が高いと考えているようだ。
これらの転換点は2年以内に訪れる。そのときに銀行は、より厳しい認証機能
を設けるように求められるだろう。
【編集者メモ2】(Pescatore)
銀行が、両サイドで認証機能の甘いオンライン取引を許可している中で(ユー
ザー側がパスワードを入力、銀行側がもはや無意味なSSL証明書のみしか使用
していない)、フィッシングアタックが成功した場合、一体だれが責任のある
行動をとれるのだろう?
【編集者メモ】(Kreitner)
銀行は、このポリシーについて再考した方がよい。このポリシーが裏目に出れ
ば、顧客がオンラインバンキングに関心を示さなくなる事態に発展する。
【編集者メモ】(Dhamankar)
銀行は、この問題に関して、そう簡単にさじを投げてはならない。少なくとも、
費用を投じて、オンラインユーザー全員に向けた「対フィッシング訓練プログ
ラム」を設けるべきだ。そういったテストをパスしたユーザーのみに対して、
オンライン取引を許可すべきである。これは、運転免許取得に必要な「防御運
転(Defensive Driving)」に似ている。
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年1月15日配信 Vol.6 No.3)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

新たに発生したMicrosoft VMLの脆弱性(#1)のエクスプロイトを避けるために
は、ユーザーはプレーンテキストモードのメールだけを読むようにするとよい。
また、CA BrightStor ARCserve (#2)に、重大なバッファオーバーフローの脆
弱性が複数発見された。不運なことに、バックアップサーバの脆弱性に注目す
る人はそう多くはない。しかし、悪意ある者は、鋭敏にも、バックアップサー
バを悪用しようとつけ狙っている。バックアップサーバには、たくさんの有益
なデータがあり、悪者に対して、他の機密システムへアクセスできる抜け道を
与えてしまうおそれがある。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー件数(#はPart1掲載番号)
======================================================================
Windows2
Microsoft Office  8 (#3, #6)
サードパーティのWindowsアプリ 8 (#2)
Mac Os 6 (#5)
Linux 4
HP-UX 1
BSD1
Novell 2 (#2)
クロスプラットフォーム20 (#4)
Webアプリ…クロスサイトスクリプティング9
Webアプリ…SQLインジェクション11
Webアプリケーション  24 (#3)
ネットワークデバイス  7
======================================================================

1. 危険度【重大】:MicrosoftのVector Markup LanguageにInteger Overflowの脆弱性 (MS07-004)

<影響のある製品>
Microsoft Internet Explorer 5/6/7

<詳細> Microsoft Vector Markup Language (VML)パーサには、VMLデータの解析処理
にinteger overflowの脆弱性がある。VMLは、ベクトルをベースにした高度な
画像や、その他の文書を処理する際に用いられる。VMLパーサは、Internet
Explorerに使用されており、Outlook、Outlook Express、Microsoft Officeに
も使用されているようだ。細工されたVML文書によってこの脆弱性が悪用され
ると、現在のユーザーの権限で任意のコードが実行されてしまう。VML文書は、
自動的にMicrosoft Internet Explorer やMicrosoft Outlook Expressにレン
ダリングされる。Microsoftのアドバイザリによると、この欠陥は、現在活発
に悪用されているという。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。ユーザーは、
プレーンテキストモードのメールのみを読まれるように設定するといい。この
対策によって、メール経由のアタックを回避することができる。また、
"%SystemRoot%\System32\regsvr32.exe"コマンドや、
"%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"を使用する"vgx.dll"
システム・コンポーネントの登録を解除すれば、ユーザーはこの脆弱性の影響
を軽減できる。Microsoftのセキュリティ警告には、ほかの影響軽減対策も掲
載されている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。全社とも、
次期定例メンテナンススケジュールに合わせて、パッチを適用する予定だ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-004.mspx
iDefenseのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/456414
Vector Markup Languageに関するWikipediaの説明
http://en.wikipedia.org/wiki/Vector_Markup_Language
Microsoft知識ベースにある"Regsvr32"についての記事
http://support.microsoft.com/kb/249873
SecurityFocus BID
http://www.securityfocus.com/bid/21930
────────────────

2. 危険度【重大】: CA BrightStor ARCserve に複数のバッファオーバーフロー脆弱性

<影響のある製品>
BrightStor ARCserve Backup r11.5, r11.1, r11
BrightStor Enterprise Backup r10.5
BrightStor ARCserve Backup v9.01
CA Server および Business Protection Suite r2
Microsoft Small Business Server用CA Business Protection Suite
Standard/Premium Edition r2

<詳細>
Computer AssociatesのBrightStor ARCserve Backup製品は、Windowsプラット
フォーム用にバックアップサービスを提供するものだ。しかし、この製品には、
複数のバッファオーバーフロー脆弱性がある。
(a) BrightStor ARCserve Tape Engineサービスは、デフォルト設定では、
tcp6502番ポートをからの信号を受けるようになっている。しかし、これ
には、細工されたRPCコールによって引き起こされる2つのバッファオーバー
フローがある。これらの欠陥を悪用されると、"SYSTEM/root"権限で、任
意のコードを実行される。この脆弱性のエクスプロイトコードが、公表さ
れている。
(b) BrightStor ARCserve Message Engine RPCサービスは、デフォルトで
tcp6503番ポートとtcp6504番ポートの呼びかけを受ける。しかし、これに
は、細工されたRPCコールによって引き起こされる2つのバッファオーバー
フローがある。これらの欠陥を悪用されると、"SYSTEM/root"権限で、任
意のコードを実行される。このエクスプロイトの作成のための、技術的な
詳細が公表されている。
(c) BrightStor ARCserve Mediaserv RPCサービスには、細工されたRPCコール
によって引き起こされる2つのバッファオーバーフローがある。これらの
欠陥を悪用されると、"SYSTEM/root"権限で、任意のコードが実行される。
この脆弱性の技術的詳細が、部分的ではあるが公表されている。

<現状>
CAは、バッファオーバーフローの脆弱性に対処できる更新をリリースした。ユー
ザーは、ネットワーク境界でtcp6502/6503/6504番ポートへのアクセスをブロッ
クすれば、外部からのアタックを防止できる。CERTは、tcp6502番ポートをス
キャンする活動が増加していることを確認した。つまり、Tape Engineのオー
バーフローの脆弱性の活発な悪用行為が横行している。

<特記事項>
CA BrightStor ARCServeのバッファオーバーフローは、過去数年にわたって活
発に悪用されてきた。SANSは、このソフトウェアによって開かれる全てのポー
トを、ネットワーク境界でブロックすることを推奨する。ブロックすべきポー
トリストは、こちら:
http://www.ca.com/at/local/partner/techtalk_mar05_faq.pdf
http://supportconnectw.ca.com/public/ca_common_docs/brightstorwinxpsp2matrix.asp

<参考>
Computer Associatesのアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-01/0340.html
http://supportconnectw.ca.com/public/storage/infodocs/babimpsec-notice.asp
TippingPoint ZDIのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-002.html
http://www.zerodayinitiative.com/advisories/ZDI-07-003.html
http://www.zerodayinitiative.com/advisories/ZDI-07-004.html
IBM ISSのアドバイザリ
http://www.iss.net/threats/252.html
http://www.iss.net/threats/253.html
iDefenseの研究所
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=467
US-CERTの現在の活動
http://www.us-cert.gov/current/current_activity.html#brstrexp
Tape Engineオーバーフローのエクスプロイトコード
http://www.milw0rm.com/exploits/3086
SecurityFocus BIDs
http://www.securityfocus.com/bid/22005
http://www.securityfocus.com/bid/22006
http://www.securityfocus.com/bid/22010
http://www.securityfocus.com/bid/22015
http://www.securityfocus.com/bid/22016
────────────────

3. 危険度【高】:Microsoft Excelに複数の脆弱性 (MS07-002)

<影響のある製品>
Microsoft Office 2000 SP3
Microsoft Office XP SP3
Microsoft Office 2003 SP2
Microsoft Works 2004/2005
Mac用Microsoft Office 2004
Mac用Microsoft Office v.X

<詳細>
Microsoft ExcelのExcel表ファイルの解析には複数の脆弱性がある。不正形式
のレコードもしくはストリングを含むようにExcelファイルが細工され、その
ファイルによってこれらの脆弱性のうちどちらかが悪用されると、現在のユー
ザーの権限で、任意のコードが実行されるおそれがある。現在、これらの脆弱
性の技術的詳細やエクスプロイトは、リリースされていないようだ。Office
2003およびそれ以降のバージョンでは、ユーザーへのプロンプトなしにExcel
文書は開かないようになっている。そのため、影響範囲は比較的狭いようだ。

<現状>
Microsoftはこの問題を認識しており、更新もリリースされている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。全社とも、
次期定例メンテナンススケジュールに合わせて、パッチを適用する予定だ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-002.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=460
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=461
SecurityFocus BIDs
http://www.securityfocus.com/bid/21925
http://www.securityfocus.com/bid/21922
http://www.securityfocus.com/bid/21856
http://www.securityfocus.com/bid/21877
http://www.securityfocus.com/bid/21952
────────────────

4. 危険度【高】: Adobe Acrobat Readerヒープメモリ崩壊の脆弱性

<影響のある製品>
Adobe Acrobat Reader 7.0.8 以前のバージョン

<詳細>
Adobe Acrobat Readerには、ヒープメモリ崩壊の脆弱性がある。細工された
PDFファイルによってこの脆弱性が悪用されると、ファンクションポインタが
上書きされてしまう。そして、結果としてアタッカーは、現在のユーザーの権
限で任意のコードを実行できるようになってしまう。 PDFファイルは通常、
ほとんどのプラットフォームにおいて、プロンプトなしで開くように設定され
ている。この脆弱性の技術的詳細がすでに公表されている。

<現状>
Adobeはこの問題を認識しており、更新もリリースしている。

<参考>
Piotr Baniaによるアドバイザリ
http://www.piotrbania.com/all/adv/adobe-acrobat-adv.txt
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb07-01.html
Adobe Acrobatホームページ
http://www.adobe.com/products/acrobat/
────────────────

5. 危険度【重大】:Appleに複数のDisk Image処理の脆弱性

<影響のある製品>
Apple Mac OS X 10.4.8 およびそれ以前のバージョン

<詳細>
Apple Mac OS XのMac OS X Disk Image (DMG)ファイル処理には、 2つの欠陥
がある。これらのファイルには、埋め込みファイルシステムが保存されている
だけでなく、データやアプリケーションの移行にも用いられる。1つ目の脆弱
性は、Finder (デフォルトの画像シェルおよびファイル管理システム) がDMG
ファイルのボリューム名を処理する方法が原因で生じたものである。DMGファ
イルのボリューム名を細工されると、そのファイルによってこの脆弱性が悪用
され、現在のユーザーの権限で任意のコードを実行されるおそれがある。2つ
目の脆弱性は、Fast File System (FFS)の処理に使用するkernelコードに、
integer overflowがあるために発生する。FFS画像を含むようにDMGファイルが
細工され、そのファイルがこの脆弱性を悪用すると、ルート権限で任意のコー
ドが実行されてしまう。DMGファイルは、Apple Safariにおいては、デフォル
トで自動的に開くようになっている。これらの脆弱性の技術的詳細と概念実証
コードが公表されている。

<現状>
Appleは、この問題を認識していないため、更新もリリースしていない。ユー
ザーは、Safariの設定の「安全なファイルを開く」オプションを無効にすれば、
これらの脆弱性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用している。
パッチがリリースされれば、すぐ適用する見込みだ。それまでは、Safariユー
ザーは、「安全なファイルを開く」機能を無効にしておくとよい。

<参考>
Month of Apple Bugs のアドバイザリ (概念実証コードも含む)
http://projects.info-pull.com/moab/MOAB-09-01-2007.html
http://projects.info-pull.com/moab/MOAB-10-01-2007.html
Kevin Finisterreによる文書
http://www.digitalmunition.com/DMA%5B2007-0109a%5D.txt
Apple Mac OS X Finderのホームページ
http://www.apple.com/macosx/features/finder/
Disk ImageについてのWikipediaの説明
http://en.wikipedia.org/wiki/.dmg
SecurityFocus BIDs
http://www.securityfocus.com/bid/21980
http://www.securityfocus.com/bid/21993
────────────────

6. 危険度【高】: Microsoft Outlookに複数の脆弱性 (MS07-003)

<影響のある製品>
Microsoft Outlook 2000/2002/2003

<詳細>
Microsoft Outlookには、以下の脆弱性がある: (1) 不正形式のVEVENT記録を含むようにiCalendarのミーティングリクエスト
(ミーティングや予定の情報の送信に使う) を細工すれば、メモリ崩壊の
脆弱性が引き起こされる。Exchangeサーバ(MAPI経由など)を介して送信さ
れた iCalミーティングリクエストは、自動的にサニタイズされる。
(2) 細工されたOffice Saved Searches (OSS)ファイル(検索情報の保存に使用
される)によって、メモリ崩壊の脆弱性が引き起こされる。メールに添付
されているOSSファイルは自動的に開かれない。
これらの脆弱性のうちどちらかの悪用が実現すると、現在のユーザーの権限で
任意のコードを実行されてしまう。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、この問題に何らかの対策を講じている。全社とも、
次期定例メンテナンススケジュールに合わせてパッチを適用する予定だ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx
コンピュータ・テロに関する英国のアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-01/0302.html
iCalendarについてのWikipediaの説明
http://en.wikipedia.org/wiki/ICalendar
RFC 2445 (defines the iCalendar standard)
http://tools.ietf.org/html/rfc2445
SecurityFocus BIDs
http://www.securityfocus.com/bid/21936
http://www.securityfocus.com/bid/21931
────────────────