NRI Secure SANS NewsBites 日本版

Vol.2 No.51 2007年12月25日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.51 2007年12月25日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!

■はじめに(Alan Paller:SANS Director of Research)

2008年は、セキュリティプロフェッショナルにとって、波乱万丈かつチャンス
に満ちた一年になるだろう。新しいスキルに関する需要が一気に高まりそうだ。
政府高官や民間企業の経営層らも、やっと自組織のシステムがすでに侵害され、
システムをコントロールできていないことに気がつくだろう。つまり、それに
対する反応が新たな「チャンス」を生み出すのである。ニューオリンズで開催
予定の「SANS Security 2008」で、このチャンスをうまく利用するための準備
についてイブニングワークショップがあり、カンファレンスのトレーニング参
加者なら、どなたでも参加できる。コース情報は下記URLで。
http://www.sans.org/security08/event.php.
────────────────

■■SANS NewsBites Vol.9 No.98-99 (原版:2007年12月15日、20日)

◆データ紛失関連事件のトップ10(2007.12)

Scott Berinatoによる、2007年に発生したセキュリティ侵害事件のトップ10リ
ストを見れば、悲しい笑みが広がるだろう。
http://www2.csoonline.com/exclusives/column.html?CID=33366
────────────────

◆SCADAセキュリティ規則 高くつく?(2007.12.11)

米エネルギー企業のIT要員らは、 コンピュータシステムのセキュリティ強化
のために懸案されている規則に従うには、既存のSCADAシステムを完全に入れ
替えなければならないと述べている。このクリティカルインフラストラクチャ
防御(CIP)基準は、12月20日の連邦エネルギー規制委員会の会合でほぼ承認さ
れる見通しである。しかし、現在使用されているSCADAシステムは、新基準
(重大なサイバー資産ID、セキュリティ管理コントロール、エレクトロニック
セキュリティぺリメター、システムセキュリティ管理、災害復旧プランなどを
含む)を満たすような改良ができないおそれがある。現行技術の中には、あま
りにも旧式で事実上パッチの適用が不可能なものもあるようだ。かと言って、
問題のシステムは一国の電力網を管理しているため、既存システムをいっぺん
に入れ替えるというのも実行不可能である。
http://www.networkworld.com/news/2007/121007-energy-companies.html

【編集者メモ1】(Pescatore)
自動車メーカーが、「燃料タンクをトランクから移動するのに費用がかかり過
ぎる」と嘆いていたことも過去にあった。しかし結局、フォード車Pintosの爆
発炎上欠陥に対応する方が、リエンジニアリングよりも高くついた。アタッカ
ーがパッチ未適用部分を悪用している限り、Windows PC/サーバへのパッチ適
用は、所有者が負わなくてはならない費用の一部である。2-3年のスパンで考
えると、脆弱なシステムを運用している方が、間違いなく高くつくはずだ。
【編集者メモ2】(Schultz)
このような状況下で行うべきことは、巨大な変更よりむしろより新しく安全な
SCADA技術を段階的に導入することである。旧式の技術を全面的に差し替える
には費用がかかるが、セキュリティの観点から見れば正しいことであろう。
【編集者メモ3】(Northcutt)
「費用がかかる」とは、興味深い言葉である。私は昨日、コロンビア州の電力
網を閉鎖寸前まで追いやったハッカーを食い止めたインシデントハンドリング
チームのメンバーから直接証言を聞いたばかりである。国の電力供給を停止し
た場合の被害額(いったいいくらになるのだろう?)の方がずっと大きいよう
な気がするのだが……。
────────────────

◆連邦政府職員 ルール承知のうえ違反 (2007.12.13)

SecureInfoの調査によると、連邦政府職員のほとんどがサイバーセキュリティ
の脅威を認識しているにもかかわらず、政府コンピュータシステムをアタック
の危険に晒すようなポリシー違反がまだ行われているという。「あなたの同僚
は、セキュリティポリシー・手順に従っているか」という問いに対し、「常に
従っている」と答えたのは20%、「おおむね従っている」は58%、「彼らが情
報セキュリティポリシーに従う割合は半数を下回る」は22%だった。また、97
%が情報セキュリティトレーニングへの参加を義務付けられたが、そのトレー
ニングで教えられた内容全体の3分の1しか覚えていないという。トレーニング
内容についてのテストが実施されていたのはたったの48%だった。
http://www.fcw.com/online/news/151066-1.html?topic=security

【編集者メモ】(Schultz)
SecureInfoがもう一つ調べるべきだったのは、情報セキュリティ管理体制の実
施の有無、もしくはトレーニングに関連した習熟度測定の有無である。また、
成功度インジケータとして確認テストの点数があった方が何もないよりはマシ
だが、もっと有効なものもある。トレーニング後、実地のセキュリティ行動に
良好な変化が見られたどうかを測定するのだ。
────────────────

◆TJX社のケース 連邦裁判所扱いでなくなる(2007.11.30-12.12)

11月29日に連邦判事は、銀行によるTJXに対する集団訴訟を却下し、同ケース
を連邦政府裁判所からマサチューセッツ州裁判所に移した。William G. Young
判事によると、銀行側の主張内容が、あまりにもバラバラで一貫していなかっ
たから、とのこと。この決定を不服として控訴するには、決定から10日間の猶
予が与えられていた。この度の判決文の脚注として、「11月11日に開かれたマ
サチューセッツ州公正取引法の公聴会を受けた見解再査定の必要性」が加えら
れていた。集団訴訟のステータスを与えない決定がなされるにあたり、TJXが
保持データのセキュリティに関して、銀行に誤った誘導をしたという疑惑に触
れた。Young判事は「銀行によるカード発行の決断そのものがTJXから提供され
た情報に左右されていたとする有力な証拠はない」と判断したようだ。
http://online.wsj.com/article/SB119743288731823035.html?mod=googlenews_wsj
http://www.eweek.com/article2/0,1759,2225933,00.asp?kc=EWRSS03119TX1K0000594
http://www.eweek.com/article2/0,1895,2232061,00.asp
────────────────

◆Ask.com 検索データをユーザーが消去可能に(2007.12.11)

Ask.com 検索エンジンのユーザーは、検索クエリをAskのサーバから即座に一
掃するようリクエストできるようになった。他の検索エンジンでは、検索履歴
を最大で18か月間保管している。今回のAsk Eraserは、設定を有効にした場合、
IPアドレスやユーザーID、セッションID、クエリテキストなど、今後の検索情
報が消去されるようになる。
http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/2/hi/technology/7138260.stm

【編集者メモ1】(Pescatore)
うれしい話だ。次に行うべきは、検索情報を保存しないことをデフォルトにし、
情報保存の場合はユーザーにオプトインするよう義務付けることだ。私として
は、これをクリアした検索エンジンがあれば、今後、必ずこのその検索エンジ
ンを全ての検索で使用する。
【編集者メモ2】(Schultz)
この新オプション提供によって、Ask.comはプライバシー保護という新天地を、
輝かしく切り開いたことになる。他の検索エンジン提供企業もこの快挙に続く
べきだ。
【編集者メモ3】(Skoudis)
たいへん気に入った。自分の名前や趣味に関して検索を行う人が増加の一途を
たどる中、検索履歴はたいへん危険、かつ恐ろしいものとなっている。あるユ
ーザーが検索したさまざまな検索内容を相互に関連させれば、そのユーザーの
個人情報を大いに利用可能な状態にすることができる。自分の疾患について検
索した場合(まず間違いなく、そういった検索をするだろう)の機密医療記録
などもその一つだ。実際、HIPAA(医療保険の携行と責任に関する法律)は、大
規模な検索エンジン提供企業(あえてここでどこの企業とは言わない)に向
けたものだ。検索履歴に集約されたユーザー全員に関する医療記録を保持して
いるも同然なのだから……。この観点から、ask.comが先駆けとなった履歴消
去オプションは素晴らしい。
────────────────

◆英保険会社 貧弱なデータセキュリティで史上最高の罰金 (2007.12.17)

英保険会社Norwich Unionは、顧客データに十分な保護措置を提供しなかった
とされ、金融サービス機構(FSA)から126万ポンド(250万ドル)の罰金を命じら
れた。窃盗犯らがNorwich Unionの顧客を装ってコールセンターに電話し、保
険契約総額330万ポンド(660万ドル)を現金化しようとした事件で、11人が逮
捕されている。この事件で、銀行口座のいくつかの情報が外部に露呈した。今
回Norwichに科された罰金は、データセキュリティ問題でFSAが科した罰金とし
ては史上最高額となる。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9053298&source=rss_topic17
http://www.theregister.co.uk/2007/12/17/norwich_union_life_fsa_fine/print.html
http://business.timesonline.co.uk/tol/business/industry_sectors/banking_and_finance/article3062076.ece
http://dofonline.co.uk/governance/fsa-fines-norwich-union-over-data-losses9288.html

【編集者メモ】(Honan)
The Timesの記事には、「Norwich Union Lifeは、同社役員・元役員、および
所有企業であるAvivaに対しては通知・保護したが、事業に直接関係あるはず
の保険契約者には通知・保護を行わなかった」とある。顧客を軽視するこのよ
うな行為自体が、EUや英国が情報セキュリティ侵害情報開示法を導入する主な
理由であろうに。
────────────────

◆オハイオ州務長官 電子投票マシンの入れ替えを求める
  (2007.12.15-17)

オハイオ州のJennifer Brunner州務長官は、自らの命により作成させた報告書
を受けて、州内の全投票マシンを入れ替えるよう指示を出した。報告書による
と、オハイオ州で使用されている全5つのシステムには、選挙結果改ざんに利
用されかねない重大な欠陥があるという。例えば、ロックをピッキングし、メ
モリカードへのアクセスを獲得してポータブル保存デバイスを使用すると、偽
の投票をマシンに挿入できた。また、マシンに悪意のあるソフトウェアをイン
ストールできたケースもあった。Brunnerは州政府に対し、問題のマシンを光
学スキャンマシンに入れ替えるよう要請。2008年11月の大統領選までに、新マ
シンを稼動させる意向。
http://www.nytimes.com/2007/12/15/us/15ohio.html?_r=1&oref=slogin&pagewanted=print
http://www.securityfocus.com/brief/646

【編集者メモ】(Pescatore)
これは、セキュリティを重要な査定条件に入れないまま高価な技術を購入して
しまった悪例である。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2007年12月17日 Vol.6 No.51)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    5 (#1, #2, #3, #4)
Microsoft Office                2
その他のMicrosoft製品             5
サードパーティWindowsアプリ          8 (#5, #6, #10)
Mac OS                     2 (#8, #9)
Linux                     8
HP-UX                     1
Aix                      1
Novell                     1
クロスプラットフォーム            22 (#7)
Webアプリ…XSS                11
Webアプリ…SQLインジェクション        18
Webアプリケーション              23
ネットワークデバイス              1
======================================================================

1.危険度【重大】:Microsoft DirectXに複数の脆弱性(MS07-064)

<影響のある製品>
Microsoft DirectX 10.0までの製品

<詳細>
Microsoft DirectXは、Windows用のマルチメディアフレームワークであり、ス
トリーミングメディア形式のデコードおよび再生を担うサブシステムである。
しかし、これにはSynchronized Accessible Media Interchange (SAMI)、
Audio Video Interleave(AVI)、WAV音声ファイルなど、いくつかのメディアフ
ァイル形式処理に欠陥がある。これらのファイルのどれかが細工されると、
DirectXサブシステムにバッファオーバーフローの脆弱性が引き起こされ、現
在のユーザー権限で任意のコードを実行できるようになってしまう。問題のファ
イル形式は、多くのアプリケーションのデフォルト設定で、ユーザーに事前に
プロンプトすることなしに開かれてしまうので注意を要する。この脆弱性の技
術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS07-064.mspx
iDefenseセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=632
脆弱なファイル形式に関するWikipediaの説明
http://en.wikipedia.org/wiki/SAMI
http://en.wikipedia.org/wiki/AVI
http://en.wikipedia.org/wiki/WAV
SecurityFocus BIDs
http://www.securityfocus.com/bid/26789
http://www.securityfocus.com/bid/26804
────────────────

2.危険度【重大】:Microsoft Windows MediaとASF解析の脆弱性(MS07-068)

<影響のある製品>
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows 2000 Server

<詳細>
Advanced Systems Format (ASF) ファイル形式は、Microsoftが開発したデジ
タルメディアコンテナファイル形式だ。しかし、Microsoft Windowsで使用さ
れているコンポーネント(Windows Media Format Runtime、もしくはWindows
Media Servicesなど、いろいろな呼び方がある)においては、ASFファイル解析
に欠陥がある。ASFファイルが細工されるとこの脆弱性が引き起こされ、現在
のユーザー権限で任意のコードを実行できるようになってしまう。ほとんどの
アプリケーションのデフォルト設定でASFコンテンツは受信時、自動的に開か
れてしまう。この脆弱なコンポーネントで、アプリケーション自身、脆弱にな
る。脆弱なアプリケーションには、Windows Media Playerもある。この脆弱性
の技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティの警告
http://www.microsoft.com/technet/security/Bulletin/MS07-068.mspx
Advanced Systems Formatファイル形式に関するWikipediaの記事
http://en.wikipedia.org/wiki/Advanced_Systems_Format
SecurityFocus BID
http://www.securityfocus.com/bid/26776
────────────────

3.危険度【重大】:Microsoft Internet Explorer複数の脆弱性(MS07-069)

<影響のある製品>
Microsoft Internet Explorer 7までのバージョン

<詳細>
Microsoft Internet ExplorerのWebコンテンツ処理には複数の脆弱性がある。
Webページで運用されているスクリプトが細工されると、これらの脆弱性のど
れかが引き起こされ、現在のユーザー権限で任意のコードを実行できるように
なってしまう。これらの脆弱性を悪用するのに、悪意あるページを訪問する以
外にユーザーの操作は必要ない。この脆弱性の技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-069.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-075.html
http://zerodayinitiative.com/advisories/ZDI-07-074.html
http://zerodayinitiative.com/advisories/ZDI-07-073.html
iDefenseセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=631
SecurityFocus BIDs
http://www.securityfocus.com/bid/26816
http://www.securityfocus.com/bid/26817
http://www.securityfocus.com/bid/26427
http://www.securityfocus.com/bid/26506
────────────────

4.危険度【高】:Microsoft Windows Message Queueing Serviceバッファオー
  バーフロー(MS07-065)

<影響のある製品>
Microsoft Windows 2000 Server
Microsoft Windows 2000
Microsoft Windows XP

<詳細>
Microsoft Windows Message Queuing Service(MSMQ)は、Microsoft Windowsシ
ステムに対し、高信頼、かつ非同期メッセージサービスを提供する。このサー
ビスは、Remote Procedure Call(RPC)インタフェースをエクスポートし、リモ
ートによりこのサービスにアクセスできるようにする。しかし、このRPCサー
ビスに向かう特定のコール処理に欠陥があり、バッファオーバーフロー脆弱性
が引き起こされる。また、このサービスコールが細工されるとバッファオーバ
ーフローにより、現在のユーザー権限で任意のコードを実行できるようになっ
てしまう。Microsoft Windows 2000 ProfessionalやWindows XPでは、この脆
弱性を悪用するのに認証信用証明書が必要になる。問題の脆弱なサブシステム
は、デフォルトでインストールされたり、有効化されたりすることはないが、
たまに使用可能になっていることもある。この脆弱性の概念実証コードが公表
されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-065.mspx
Zero Dayイニシアチブアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-076.html
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/ms07_065_msmq.rb
Microsoft Message Queuing についてWikipediaの説明
http://en.wikipedia.org/wiki/Microsoft_Message_Queuing
SecurityFocus BID
http://www.securityfocus.com/bid/26797
────────────────

5.危険度【高】:Intuit QuickBooks Online Edition ActiveXコントロールに
  さまざまな脆弱性

<影響のある製品>
Intuit QuickBooks Online Edition 10までのバージョン

<詳細>
Intuit QuickBooks Online Editionは、WebベースのIntuit製QuickBooks簿記
ソフトとして広範囲で使用されている。このソフトの機能は、ActiveXコント
ロールの一群によって提供されている。悪意のあるWebページがこれらのコン
トロールをインスタンス化すると、脆弱性のどれかが引き起こされ、現在のユ
ーザー権限で任意のコードが実行されるおそれが生じる。この脆弱性は、
@RISKのバックナンバーで言及された脆弱性に関連性があるかもしれない。バ
ックナンバーに掲載されたMicrosoftセキュリティ警告MS07-069には、
Microsoftのkill bit機能を解して、このコントロールの脆弱なバージョンを
無効にできる更新が掲載されている。

<現状>
Intuitはこの問題を認めており、更新をリリースしている。

<参考>
Intuitセキュリティ情報
https://sc.accounting.quickbooks.com/Update/index.cfm?id=32
Microsoftのセキュリティ警告MS07-069
http://www.microsoft.com/technet/security/bulletin/ms07-069.mspx
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=37#widely5
製品のホームページ
http://oe.quickbooks.com/index.cfm
SecurityFocus BID
http://www.securityfocus.com/bid/26819
────────────────

6.危険度【高】:HP Info CenterのActiveXコントロールに複数の脆弱性

<影響のある製品>
HP Info Center

<詳細>
HP Info Centerは、HPやCompaqのデスクトップ/ノートPC用のシステム情報お
よびユーザー支援パックである。これを使用すればシステム設定情報を入手で
きる。機能の一部は、ActiveXコントロールによって提供されている。しかし、
このコントロールには複数の脆弱性がある。悪意のあるページがこのコントロ
ールをインスタンス化すると、脆弱性のどれかが引き起こされ、現在のユーザ
ー権限で任意のコードを実行したり、システム設定を改ざんしたり、任意のフ
ァイルを開示したりしてしまう。この脆弱性の技術的詳細や概念実証コードが
公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID"62DDEB79-15B2-41E3-8834-D3B80493887A"
に設定して問題のコントロールを無効にすれば、この脆弱性の影響を軽減でき
る。しかし、通常の機能に影響が出るおそれもあるので注意。

<参考>
概念実証コード(技術艇詳細を含む)
http://milw0rm.com/exploits/4720
「kill bit機能」について説明しているMicrosoft知識ベースの記事
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/26823
────────────────

7.危険度【高】:Trend Microの複数の製品にUuencodedデータ処理の脆弱性

<影響のある製品>
Trend Micro Antivirus 2008
Trend Micro Internet Security 2008
Trend Micro Internet Security Pro 2008

<詳細>
Multiple Trend Micro製品は、不正形式のuuencode文書を正しく処理できない。
uuencodeとは、 バイナリデータをテキストとしてエンコードするときに用い
られるエンコード形式であり、これによって、テキストのみの環境でも送信が
可能になる。しかし、uuencodeされたか、もしくは、uuencodeデータを含む文
書やメッセージが細工されると、さまざまなTrend Micro製品に脆弱性が生じ
る。これらの脆弱性を悪用すると、脆弱なプロセスの権限で任意のコードを実
行できるようになってしまう。悪意のある文書やメッセージをソフトウェアに
スキャンさせれば、これらの脆弱性の悪用が可能になってしまう。したがって、
この脆弱性を引き起こすのにユーザーの操作は必要ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Trend Microのセキュリティアドバイザリ
http://esupport.trendmicro.com/support/viewxml.do?ContentID=1036464
Uuencode形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/Uuencode
SecurityFocus BID
http://www.securityfocus.com/bid/26818
────────────────

8.危険度【高】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.3.1までのバージョン

<詳細>
Apple QuickTimeは、Apple Mac OS XおよびMicrosoft Windows用のApple製ス
トリーミングメディアフレームワークである。しかし、QuickTimeには、いく
つかのファイル形式解析に複数の脆弱性がある。QuickTime Link (QTL)ファイ
ルや Flashファイルが細工されると、脆弱性のどれかが引き起こされ、現在の
ユーザー権限で任意のコードを実行できるようになってしまう。QuickTimeフ
ァイルは、一般的にほとんどのアプリケーションのデフォルト設定で、事前に
ユーザーのプロンプトなしに開かれてしまう。また、Real Time Streaming
Protocol(RTSP)レスポンス処理にある欠陥はバッファオーバーフローの脆弱性
を引き起こすおそれがあり、実際に引き起こされると、現在のユーザー権限で
任意のコードを実行できるようになってしまう。Microsoft Windowsおよび
Apple Mac OS X版QuickTimeが脆弱であると考えられている。この脆弱性のい
くつかは、@RISKのバックナンバーに掲載されて問題に関連性がある可能性も
ある。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307176
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=48#widely1
QuickTimeのホームページ
http://www.apple.com/quicktime
SecurityFocus BID
http://www.securityfocus.com/bid/26866
http://www.securityfocus.com/bid/26868
────────────────

9.危険度【高】:Apple Mac OS X版Javaに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.5までのバージョン

<詳細>
Apple Mac OS Xで使用されているJava Runtime Environmentには複数の脆弱性
がある。WebページやJavaアプリケーションが細工されると、これらの脆弱性
のどれかが悪用され、任意のコードの実行や、現在のユーザーのキーチェーン
改ざんなど、さまざまなことを行えるようになってしまう。キーチェーンは、
パスワードなどのsecure情報を保存する際に用いられるものだ。Webページに
組み込まれているJavaアプレットは、Webブラウザの一般設定では、ユーザー
に事前にプロンプトすることなしに自動的にロードされてしまう。これらの脆
弱性の技術的詳細のいくつかが公表されている。また、Sun Java Runtime
Environmentにもこの脆弱性のいくつかが存在しているが、それ以外の脆弱性
は、Apple Java Runtime Environmentにのみあるようだ。脆弱性のいくつかは、
@RISKのバックナンバーでも言及されている。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307177
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=44#widely4
http://www.sans.org/newsletters/risk/display.php?v=6&i=41#widely5
SecurityFocus BIDs
http://www.securityfocus.com/bid/26877
http://www.securityfocus.com/bid/25918
http://www.securityfocus.com/bid/21674
http://www.securityfocus.com/bid/24004
http://www.securityfocus.com/bid/24690
http://www.securityfocus.com/bid/25054
http://www.securityfocus.com/bid/22085
http://www.securityfocus.com/bid/24695
http://www.securityfocus.com/bid/24846
http://www.securityfocus.com/bid/24832
http://www.securityfocus.com/bid/25340
http://www.securityfocus.com/bid/21673
http://www.securityfocus.com/bid/23728
http://www.securityfocus.com/bid/21675
────────────────

10.危険度【高】:ジャストシステムの一太郎にバッファオーバーフローの脆弱
  性

<影響のある製品>
ジャストシステム 一太郎 2007までのバージョン

<詳細>
ジャストシステムの一太郎は、日本語のワープロスイートとして広範囲で使用
されている。しかし、特定の文書の処理に欠陥がある。文書が細工されると、
バッファオーバーフローの脆弱性が引き起こされ、現在のユーザー権限で任意
のコードを実行できるようになってしまう。設定によっては、一太郎文書は事
前にユーザーにプロンプトすることなく開かれてしまうおそれがある。この脆
弱性は現在、"Trojan.Tarodrop.F"というウィルスによって盛んに悪用されて
いる。この脆弱性に関するこれ以上の技術的詳細は、今のところ公表されてい
ない。

<現状>
ジャストシステムはこの問題を認めており、更新をリリースしている。

<参考>
Symantecウィルスメモ
http://www.symantec.com/security_response/writeup.jsp?docid=2007-121308-3953-99
一太郎ホームページ (日本語)
http://www.ichitaro.com/
SecurityFocus BID
http://www.securityfocus.com/bid/26846

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。