NRI Secure SANS NewsBites 日本版

Vol.2 No.32 2007年8月10日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.32 2007年8月10日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Autumn
┃ ~~~~~~~~~~~~~~~~~~~~~~
┃        2007年11月5日~10日 開催決定!
┃        ┏━━━━━━━━━━━━━━━━━━━━
┃        ┃早期割引き申込み受付中!(10月29日まで)
┃       ┃詳細はこちら
┃       ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃        http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今から計画を!

■■SANS NewsBites Vol.9 No.61-62(原版:2007年8月4日、8月8日)

■はじめに(Alan Paller:SANS Director of Research)

朗報および実施要請!

今週のNewsBitesの冒頭のストーリーで、サイバーセキュリティ界の「朗報」
の内容が明らかになった。米行政予算管理局(OMB)は、ハードウェアやソフ
トウェアのベンダーに、Windowsのセキュアバージョンを販売させるため、連
邦政府機関の購入部門を統率し、年間700億ドル(約8兆4,000億円)の購買力
を統合した。また、ベンダーが米国政府に向けて販売するWindowsソフトウェ
アは、全てスタンダードセキュアコンフィグレーションに準拠しており、管理
者権限でなくとも効果的に動作することが大前提となる。したがって、ヘルプ
デスクおよびパッチテストにかかる費用の大幅な削減が見込める。そして何よ
りも、パッチの適用が、より迅速かつ安全に行われるようになる。さらに、90
以上の非政府組織でも、システムに最低限必要なセキュリティコンフィグレー
ションを設ける。そして、それらの組織のほとんどは、連邦政府のデスクトッ
プ基準に移行し、不必要なアプリケーションやパッチテストを排除している過
程にある。水曜日の発表によれば、大なり小なり、世界中の全ての組織が、こ
の連邦政府のイニシアチブを利用してメリットを享受することができるとあっ
た。そのためには以下2点を実施すればよい。
  (1) ソフトウェアの購入契約には、連邦政府と同一のルール要件を入れる。
  (2) 米国国立標準技術研究所(NIST)のサイトからスタンダードコンフィグレー
    ション(バーチャルマシン実装版)を獲得し、更新すべきアプリケーショ
    ンを特定していく。
OMB-07-18の購入ルールをご所望の方は、以下のホワイトハウスのサイトへ:
http://www.whitehouse.gov/omb/memoranda/fy2007/m07-18.pdf
適用可能なグループポリシーオブジェクトや文書、スタンダードコンフィグレー
ションは以下のNISTサイトで:
http:/csrc.nist.gov/fdcc

Microsoftと企業協約している組織なら、スタンダードコンフィグレーション
のISO基準ファイルが、MicrosoftのMVLSサイトからダウンロードできる。
────────────────

◆米連邦政府のデスクトップコアコンフィグレーションのバーチャルマシン
  リリース(2007.8.1)

米行政予算管理局(OMB)は、連邦政府のデスクトップコアコンフィグレーショ
ン(FDCC:Federal Desktop Core Configuration)になっているWindows XP
Professional SP2およびVistaが実装されているバーチャルマシンをリリース
した。各政府局は、実際に局内のコンピュータにFDCCを導入する前に、このバー
チャルマシン上で使用しているアプリケーションの稼動テストができる。今年
3月、OMBは米国各政府局に対し、2008年2月1日までにWindowsのデスクトップ
コンピュータにFDCC設定を使用するよう要請している。
http://www.fcw.com/article103389-08-01-07-Web&printLayout
http://csrc.nist.gov/fdcc/

【編集者メモ】
バーチャルマシン・テクノロジーを使用するのは興味深く、素晴らしい方法だ
ろう。いいぞ、OMB!
しかしながら、アプリケーションの中には、バーチャル環境に置かれているか
どうかを特別にチェックするもの(例えば、メディアプレーヤー)もある。そ
の場合、そのアプリケーションは動作を拒否してしまう。このようなケースで
は、このプロジェクトの意義が損なわれてしまうことを念頭に置いておこう。
────────────────

◆米政府説明責任局の報告書:FISMAの測定尺度は効果なし(2007.7.30)

米政府説明責任局(GAO)によれば、政府局のコンピュータシステムのセキュリ
ティには数多くの弱点があるという。それら弱点は、主にアクセスコントロー
ル、設定管理、責務の分離、動作の継続性に存在する。そして、連邦情報セキ
ュリティ管理法(FISMA:Federal Information Security Management Act)で設
けられた測定尺度では、各政府局が行っているさまざまな活動が効率的かどう
かを測定できない、と報告書にある。また、行政予算管理局(OMB)がFISMA関連
で改善できる3つの推奨策が記載されている。まず、各政府局は、パッチの管
理方法を報告すること。2番目に、OMBはFISMA関連の活動の有効性を測定でき
る成果尺度を別途設けること。最後に、各政府局は、情報セキュリティプロセ
スのクオリティに関する報告書を、検査官に追加リクエストすること、となっ
ている。
http://www.fcw.com/article103357-07-30-07-Web&printLayout
http://www.gao.gov/new.items/d07837.pdf

【編集者メモ】(Liston)
コンピュータとネットワークの安全性を確立することと、チェックリスクにチ
ェックをすることは違うということに、いつになったら皆が気づくのだろうか?
素晴らしいセキュリティポリシーおよび手順を作成するには、関係する知識も
さることながら、安全化された環境と情報資産について理解する必要がある。
こういったものは、チェックリストからは一切得られない。チェックリストが
必要とされるにふさわしい場所はある。しかし、チェックリストによってわか
るのは、せいぜい最低限クリアしているかどうかだけだ。
────────────────

◆ストームワームによる巨大なボットネット(2007.8.2)

報告によれば、ストームワーム(Storm worm)に感染しているコンピュータは
200万台存在し、その台数はこれまでの2年間で他のメールアタックで感染した
コンピュータの10倍の台数である。このワームの背景には、ゾンビPCを使って
スパムを送信する以上の目論みがあり、被害台数は増加の一途をたどっている。
アタッカーは、ボットネットを使用して分散DoSアタックを仕掛けようとして
いる可能性もある。この巨大ボットネットのごく一部は、すでに分散DoSアタ
ックを発撃しているようだ。侵害されたコンピュータ全てを使用してアタック
が実行された場合、その影響は広範囲におよび、深刻な事態をまねくおそれが
ある。このストームワームの背景に潜む一団が、今年はじめ、エストニアの政
府や民間のWebサイトにアタックを仕掛けた犯人ではないかとも考えられてい
る。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201202711

【編集者メモ】(Liston)
このストームワームは素晴らしくよくできている。時間を割いてリバース・エ
ンジニアリングをした人は皆、大変高度なソフトウェアなので、単にスパムを
送信するためだけに作られたとは考えにくいと言っている。
────────────────

◆英国委員会 電子投票を保留に(2007.8.2)

英国選挙委員会は、政府に対し、投票システムの更新とセキュリティの改善を
求めている。同委員会は、最近のパイロット運用で多くを学ぶことはできたも
のの、得られた教訓をもとに改善がなされないかぎり、このようなシステムを
またパイロット運用することは無意味だと述べている。5月の地方選挙では、
投票システムで13台のパイロットシステムが使用された。中でも特に懸念され
ているのは、インターネットや電話投票の際のアクセスセキュリティに対する
大衆の信頼性の低さと、技術的な問題だという。
http://news.bbc.co.uk/2/hi/uk_news/politics/6926625.stm
http://www.eweek.com/article2/0,1759,2165663,00.asp
http://www.electoralcommission.org.uk/files/dms/Keyfindingsandrecommendationssummarypaper_27191-20111__E__N__S__W__.pdf
────────────────

◆電子投票システムのベンダー カリフォルニア州のテスト結果に不満
  (2007.8.1)

カリフォルニア州・州務長官Debra Bowen氏は投票システムテストを要請し、
そのテスト結果が報告された。しかし、電子投票システムのベンダーは、7月
30日の公聴会で、今回のテスト結果は「コンピュータ化されたシステムがその
環境から取り除かれ、かつ、阻止する意図のある研究機関に設置された場合、
アタックが成功するシステムと見なされてしまう」ことを実演したにすぎない、
と主張。選挙関係者は、彼らが設けたセキュリティ手順がレビュー失敗の原因
であることに苛立ちを隠せない。投票権提唱者らはBowen州務長官に対し、紙
面投票の使用を要請するよう懇願している。この報告書を受け、9月に上院運
営委員会で公聴会を開くことになった。この公聴会では、研究者らの調査結果
をより綿密に吟味していく予定である。
http://www.sci-tech-today.com/story.xhtml?story_id=0010003OSTT7
http://blog.wired.com/27bstroke6/2007/07/senate-to-hold-.html

【編集者メモ】(Schultz)
電子投票システムのベンダーが、同社製品に欠陥を見つけたアナリストや研究
者の面目をつぶすためではなく、製品のセキュリティ(電子投票システムのセ
キュリティ)を改善する目的で資金を費やしていれば、電子投票マシンがそれ
ほど欠陥を多く抱えるものとならずに済んでいただろう。
────────────────

◆米国税庁職員の60% ソーシャルエンジニアリングにひっかかる(2007.8.3)

米税務管理局財務監査官(TIGTA:Treasury Inspector General for Tax
Administration Office)が送り出した監査人らは、米国税庁(IRS)の職員や請
負業者に、IRSヘルプデスク職員のふりをして電話をかけ、彼らのユーザー名
を聞き出し、さらに提案したパスワードに変更するよう指示する、というテス
トを行った。その結果、電話を受けた職員の60%が従ってしまったという。
2001年行った同様のテストでは71%もの職員がパスワードを変更してしまって
いたが、2004年のテストでは35%になっていた。このテストは、「是正措置」
を促し、ソーシャルエンジニアリングの駆け引きについて認識を高めるために
行われた。最近のテストでは、102人の職員がテスト対象となった。この電話
を受けて、TIGTA調査局の監査チームかIRSコンピュータセキュリティ組織に連
絡をとり、このテストが正式なTIGTA監査であると検証したのは8人にすぎなかっ
た。
http://news.com.com/8301-10784_3-9754689-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9028960&source=rss_topic17
http://www.fcw.com/article103417-08-03-07-Web
http://www.ustreas.gov/tigta/auditreports/2007reports/200720107fr.pdf

【編集者メモ1】(Schultz)
このテスト結果は、過去に行われた他の同様の研究結果と同様、典型的なもの
である。ソーシャルエンジニアリングに関係するリスクを軽減することは、情
報セキュリティ専門家が最も頭を抱える課題であるに違いない。
【編集者メモ2】(Honan、Liston)
このテスト結果には残念だが、IRSがテストを行ったこと自体は素晴らしい。
ユーザー教育は、境界保護と同じくらい重要なことだ。
【編集者メモ3】(Paller)
ニューヨーク州は、ソーシャルエンジニアリングのリスクを軽減するために、
「イノキュレーション」と呼ばれるアプローチを構築した。これは、組織が複
数回にわたって組織内人員のテストを行い、策略にひっかかった者をその度に
教育していくというものである。そして、「テスト結果は課ごとにランク付け
される。テストは継続的に行われ、合格しなかった者の氏名がそのうち発表さ
れる」と通告するのである。
成果:
犠牲者数は急速に、かつ大幅に減少した。この「イノキュレーション」は手軽
に行えるだけでなく、費用もあまりかからない。しかし、実行するには職員を
も騙す必要があるので、CISOの実質的なリーダーシップが必要である。
成功の秘訣:
経営トップの支援が大事。ニューヨーク州知事は、州政府機関におけるテスト
プログラムに、個人的に貢献している。
────────────────

◆カリフォルニア州・州務長官 電子投票マシンの使用に制限設置(2007.8.4-6)

カリフォルニア州・州務長官Debra Bowen氏は、電子投票システムのセキュリ
ティの調査結果を検討し、同システムの使用に関して決定を下した。Bowen氏
は、システムのいくつかに制限を設け、あるシステムに対しては、証明を取り
消した。投票所では、Diebold Accu-Vote-TSxとSequoia Edge Modelシステム
の使用が許可され、ソフトウェアやファームウェアの再インストールや、暗号
キーのリセットを行う場合は、郡への登録が義務付けられる。また、物理的な
セキュリティ措置を別途導入する必要がある。Hart InterCivicマシンも、投
票所がそれ以外の他のマシンを使用している場合は、他のマシンと同じセキュ
リティ要件に従わなければならない。Election Systems & Software(ES&S)Inc.
のマシンは、製品の納入に遅れが生じたため、証明が取り消された。S&S Inka
Vote Plus システムは、2008年2月のカリフォルニア州大統領予備選挙への採
用を見込んで、現在診断が行われている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9029038&source=rss_topic17
http://blog.washingtonpost.com/securityfix/2007/08/citing_security_concerns_calif.html?nav=rss_blog
http://www.theregister.co.uk/2007/08/06/california_evoting_decertification/print.html

【編集者メモ】(Schultz)
Debra Bowen氏は、再度素晴らしい決定を下した。カリフォルニア州の投票結
果の完全性に安全措置的な役割を果たすだけではなく、電子投票システムのベ
ンダーに対し、セキュリティの貧弱な製品はもはや受け入れられないという強
いメッセージを発信したことにもなる。
────────────────

◆消費者レポート:マルウェアやフィッシングで 過去2年間に消費者に70億ド
  ルの費用(2007.8.6)

消費者レポート「State of the Net」の調査によれば、米国民は、ウィルスや
スパイウェア、フィッシングアタックで、過去2年間に70億ドルの損失を被っ
たと推定される。この調査は、米国の2,000世帯を対象に行われた。回答者の
38%が、何らかのウィルス感染を経験している。また、4分の3の回答者が、自
分のマシンがスパイウェアに感染していると答えた。フィッシングスキームに
騙されたことがあると認めたのは、回答者の8%のみだった。フィッシングア
タックによる被害額の平均は200ドルである。そして、昨年は、180万世帯が過
去2年間にウィルスが原因でコンピュータを買い直したことになる。また、ス
パイウェアの横行によって、85万世帯が、過去6ヶ月にコンピュータを買いか
えたようだ。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201203030

【編集者メモ1】(Ullrich)
注目すべきはマルウェア感染で、非常に多くのシステムが買いかえられている
にもかかわらず、消費者の多くが、アンチマルウェアおよびファイアウォール
を使用していないということだ。今は、使用できる全てのシステムに、アンチマ
ルウェアやファイアウォールの無料のソリューションがあるというのに。
【編集者メモ2】(Liston)
この結果は、ユーザー教育の問題を明確に映し出している。アンチウィルスや
アンチスパイウェア、ファイアウォールによって出来ることは限られるため、
ユーザーを教育する必要性が顕著に表われるようになった。現在のコンピュー
タは、使用するのに知識やスキルのいらない家電と同じような形で市場に出
回っている。その結果がこれだ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年8月7日配信 Vol.6 No.32)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
サードパーティWindowsアプリ         17 (#2,#3,#4)
Mac OS                    1 (#1)
Linux                    4
HP-UX                     2
Solaris                    2
Aix                     2
クロスプラットフォーム           18 (#5)
Webアプリ…XSS               14
Webアプリ…SQLインジェクション       15
Webアプリケーション             21
ネットワークデバイス             1
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Apple Macは、Windowsと同じアタックのターゲットになりつつある。今週は、
細工されたPDFや悪意あるWebサイトの両方から、Mac OS XとSafari、OS Xに同
梱されているさまざまなサードパーティのアプリケーションを汚染できること
が証明された。また、セキュリティスキャナー、Nessusに複数の脆弱性が
確認され、Windows用Novellクライアントにも、重大なバッファオーバーフロ
ー脆弱性があることがわかった。
────────────────

1.危険度【重大】:Apple Mac OS X およびSafariに複数の脆弱性(セキュリテ
  ィ更新(2007-007)

<影響のある製品>
Apple Mac OS X 10.4.10までのバージョン
Apple iPhone 1.0.1までのバージョン

<詳細>
Appleは、セキュリティアップデート2007-007をリリースし、Mac OS Xや
Safari、Mac OS Xに含まれているさまざまなサードパーティアプリケーション
にある複数の脆弱性に対処した。WebCoreとWebKit(Webページをレンダリング
するためにMac OS Xアプリケーションが使用しているWebフレームワーク)、
Core Audio (Mac OS Xのオーディオフレームワーク)、Quartz Composerには欠
陥がある。これらの欠陥によって細工されたWebページは、現在のユーザー権
限で任意のコードを実行できるようになってしまう。また、PDFファイルが細
工された場合も、現在のユーザー権限で任意のコード実行に至る。さらに、
mDNSResponderサブシステムにも欠陥があり、この欠陥によって、ルート権限
で任意のコードを実行できるようになってしまう。その他にも欠陥がいくつか
あり、それらの欠陥によって、任意のFTPコマンド実行の脆弱性、クロスサイ
トスクリプティング、Webレスポンス分割などの脆弱性が引き起こされる。サー
ドパーティのコンポーネントにも複数の欠陥があり、これらの欠陥によって、
任意のコード実行など、さまざまな脆弱性につながるおそれがある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。WebCore、WebKitや
その他のコンポーネントにある脆弱性も、iPhoneに影響を及ぼす可能性がある
ので注意が必要だ。これらの脆弱性の悪用が実現すると、この電話の制御を完
全に奪えるようになってしまう。Mac OS Xの更新は、Apple自動ソフトウェア
アップート機能を介してリリースされており、iPhoneの更新はiTunesを介して
のみリリースされている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、Appleデスクトップおよびサーバにすでに更新を適用している。

<参考>
Appleセキュリティ更新
http://docs.info.apple.com/article.html?artnum=306172
SecurityFocus BID
http://www.securityfocus.com/bid/25159
────────────────

2.危険度【重大】:Nessus脆弱性スキャナのActiveXコントロールに複数の脆
  弱性

<影響のある製品>
Nessus脆弱性スキャナ3.0.6 までのバージョン

<詳細>
Nessusは、脆弱性スキャン用アプリケーションとして広範囲で使用されている。
しかし、Nessusの"SCANCTRL"ActiveXコントロールには、複数の欠陥がある。
このコントロールは、"deleteReport"、"deleteNessusRC"、"saveNessusRC"お
よび"addsetConfig"メソッドへの呼び出しを正しく検証できない。そのため、
このコントロールをインスタンス化するWebページが細工されると、これらの
脆弱性が悪用され、任意のファイルを上書きされたり、任意のローカルファイ
ルをリモートホストに送信されたり、任意のファイルを削除されたりしてしま
う。特定のファイルを上書きされると、任意のコード実行が可能になってしま
うので注意が必要だ。これらの脆弱性の技術的詳細と概念実証コードが公表さ
れている。

<現状>
Nessusはこの問題を認めていないため、更新もリリースしていない。Microsoft
の"kill bit"機能を介して問題のコントロールを無効にすれば、これらの脆弱
性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。その
うち1社はバージョン3.0.6.1に更新し、もう1社は次期定例システムメンテナ
ンススケジュールに合わせて更新を行う見込み。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/26243/
概念実証コード
http://milw0rm.com/exploits/4237
http://milw0rm.com/exploits/4230
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.nessus.org/
SecurityFocus BID
http://www.securityfocus.com/bid/25088
────────────────

3.危険度【重大】:Novell ClientのNWSPOOL.DLLにバッファオーバーフロー

<影響のある製品>
Microsoft Windows用Novell Client 4.91までのバージョン

<詳細>
Microsoft Windows用Novellクライアントは、Microsoft Windowsを運用してい
るマシンにNovellネットワークサービスへのアクセスを与える。このクライア
ントは、指定パイプを介してRemote Procedure Call(RPC)インタフェースをエ
クスポートする。このインタフェースを通じてエクスポートされるいくつかの
手順は、自身の引数の長さを正しく検証できない。そのため、過剰に長い文字
列がインタフェースに提供されると、バッファオーバーフローの脆弱性が引き
起こされる。そして、システムに任意のコードを実行できるようになってしま
う。この脆弱性の技術的詳細が、部分的ではあるが公表されている。

<現状>
Novellはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-045.html
Novell更新情報
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5005400.html
SecurityFocus BIDまでリリースされておらず
────────────────

4.危険度【高】:Ipswitch Internet Collaboration Suiteに複数の脆弱性

<影響のある製品>
Ipswitch Internet Collaboration Suite 2006
Ipswitch IMail Premium 2006.21までのバージョン

<詳細>
企業メールおよびMicrosoft Windows用コラボレーションシステムとして広範
囲で使用されているIpswitch IMailおよびIpswitch Internet Collaboration
Suiteには、IMAPの“SEARCH”コマンド実装に複数の脆弱性がある。IMAP
SEARCHコマンドが過剰に長いと、脆弱なプロセス(SYSTEMの場合が多い)権限で
任意のコードを実行できるようになってしまう。アタッカーがこれらの脆弱性
を悪用する場合、認証が必要である。

<現状>
Ipswitchはこの問題を認めていないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/26193/
Vendorのホームページ
http://ipswitch.com/
SecurityFocus BID
http://www.securityfocus.com/bid/25176
────────────────

5.危険度【高】:Xpdfにバッファオーバーフローの脆弱性

<影響のある製品>
Xpdf 3.0までのバージョン
Kpdfを含むXpdfをベースにしたビューア

<詳細>
X Window System用Portable Document Format(PDF)ビューア、XpdfのPDF文書
処理には、バッファオーバーフローの脆弱性がある。Xpdfか、もしくは、それ
をベースにしたアプリケーションは、Unixの多くや、Unixに類似したシステム、
および、Linuxシステムにデフォルトでインストールされている。PDF文書が細
工されると、このオーバーフローが引き起こされ、現在のユーザー権限で任意
のコードを実行されるおそれが生じる。設定によっては、PDF文書はユーザー
にプロンプトする前に、脆弱なアプリケーションによって自動的に開かれてし
まう可能性があるので、注意が必要だ。PDFビューアやその他のアプリケーシ
ョンの多くは、XpdfかXpdfのコードを使用しているため、脆弱である。Xpdfは
オープンソースであるため、この脆弱性の技術的詳細は、ソースコードを分析
すれば入手できる。

<現状>
Vendorはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを制限的に使用してい
た。同社らは、次期定例システムメンテナンススケジュールに合わせてソフト
ウェアにパッチを適用するか、もしくはソフトウェアを差し替える見込み。

<参考>
KDEセキュリティアドバイザリ
http://www.kde.org/info/security/advisory-20070730-1.txt
Xpdfホームページ
http://www.foolabs.com/xpdf/
SecurityFocus BID
http://www.securityfocus.com/bid/25124

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。