NRI Secure SANS NewsBites 日本版

Vol.3 No.50 2008年12月22日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.3 No.50 2008年12月22日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

オーランド開催のSANS2009、もしくはラスベガス開催のSANS Security West参
加者には、ボーナス特典(他者に無料贈呈可)がある。1月半ばには詳細情報
告知予定。年度末の資金を有効活用してコースに申し込みを。
東京・アジア圏の皆様は、2月9日からのTokyo2009がお勧め。PCI/DSSやエシカ
ルハッキングなど、ユニークで有意義なコースが実施される。
SANS Security West:
http://www.sans.org/securitywest09/
SANS 2009:
http://www.sans.org/sans2009/
SANS Tokyo
http://www.sans.org/sanstokyo2009_spring/
日本語 http://www.entryweb.jp/sans/09spring/

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
SANS Tokyo 2009 Spring 開催決定!!

2009年2月9日(月)~14日(土)  会場:UDXカンファレンス(秋葉原)

!セキュリティ技術の最先端が学べる大人気のハンズオン3コースを実施!

■PCI/DSS準拠・実装・監査のための具体的手法の習得 -> AUD521
■ペネトレーション手法の完全習得、エシカルハッカー養成 -> SEC560
■アプリケーションの脆弱性診断スキルの短期習得 -> DEV538
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

他の研修では、担当講師が自ら教材も作成しているケースが多いためか、私自
身が公開情報から見つけることのできる内容も多いが、SANSのコースは、ほん
とうに多くの人の知恵と経験が集められたものであると実感した。(製造大手)
講師の実践的なスキルの高さにはほんとうに感心しました。社内のIT担当者へ
この研修で習得したことを伝えたり、システムリスクの実査業務に役立てたい
と思います。(大手銀行)

■■SANS NewsBites Vol.10 No.97-98
(原版:2008年12月13日、17日配信)

◆Sony 児童オンラインプライバシー保護法違反で罰金(2008.12.11)

米国連邦取引委員会(FTC)によると、Sony BMG Music Entertainmentは、児童
オンラインプライバシー保護法(COPPA: Children's Online Privacy
Protection Act)違反で100万ドルの罰金を払うことになるという。Sony BMGは、
COPPA法で保護者の同意取得が必須となっているにもかかわらず、保護者の同
意なしに、13歳以下の3万人以上の児童からデータを収集していた。「Sony
BMGは、同社サイトを児童が他の訪問者と会話できる(保護者の同意なしに他
の大人などと会話できる)状態にしていた」とFTCは述べている。Sony BMGの
プライバシーポリシーによれば、13歳以下の同社サイトのユーザーは、サイト
上で特定のアクティビティができないように制限されているものの、未成年の
登録は受け入れていたという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9123219&source=rss_topic17

【編集者メモ】(Ranum)
これは、ソーシャルネットワーキングサイトについてのたいへん興味深い問題
である。多くのサイトでは、未成年の操作と閲覧を統制しているものの、成人
と未成年を確実に区別できる方法はないのが実情だ。私は、とあるオンライン
・アート・サイトに参加しているが、そこでは「成人向けコンテンツ」を未成
年に閲覧させないようにしている。しかし結局のところ、未成年のプロフィー
ルに不正の年齢が入力されていれば意味がない。いったいどうすればサイトが
信頼できるものになるのだろう? 個人的には、それは両親の問題であってイ
ンターネットの問題ではないと思う。つまり、COPPA法は根本的に大きな欠陥
ありと言わざるをえない。
────────────────

◆McAfeeのバーチャル犯罪報告書(2008.12)

McAfeeの年次・バーチャル犯罪報告書には、主に3つの結果が示されている。
1つ目は、サイバー犯罪は世界各国で対策優先項目に入れられていないことで
ある。他にテロや経済問題などの切迫した国際問題があるため、サイバー犯罪
の対策優先度が低い状態になっている。2つ目は、サイバーワールドには境界
がないため、サイバー犯罪の起訴が難しいということだ。最後に、警察ではフォ
レンジックから裁判の進行まで、サイバー犯罪に関して十分なトレーニングが
行われていないことがあげられる。この報告書には、このような問題を緩和す
るための推奨策が以下のとおり、多数掲載されている。
警察官や検察官、裁判官のトレーニングを強化する。
インターネットサービスプロバイダ(ISP)によるネットワーク設計・運営時の
ベストプラクティス遵守を促すため、報奨制度を設ける。
セキュリティ侵害の情報開示を必須化する。
官民両方の組織に対して、インターネット関連の侵害やデータ紛失の責任を法
的に負わせる。
消費者を教育する。
ソフトウェアベンダーが、設計や運営におけるセキュリティのベストプラクティ
スに従わない場合に、有限的な責任を課す。
そして、政府の調達力を盾に、ソフトウェアやサービスのセキュリティに対し、
大幅にハードルを上げた基準を満たすよう要求する。
http://www.mcafee.com/us/local_content/reports/mcafee_vcr_08.pdf
http://voices.washingtonpost.com/securityfix/2008/12/report_cybercrime_is_winning_t.html
────────────────

◆ムンバイのテロリスト アタック計画・実行にVoIPや衛星写真、GPSを利用
(2008.12.10)

インドのムンバイで破壊的攻撃を行ったテロリストは、3日間の攻撃の間、リー
ダーとコンタクトを取るために、VoIP技術を使用していた。テロリストは、通
信監視の網をくぐりぬけるため、この通信方法を使用していた模様。また、ム
ンバイを攻撃したテロリストは、海を移動するためにGPSも使用していたと考
えられる。さらに彼らは、街のレイアウトを衛星画像で習得したようだ。その
ため、インドの裁判所にGoogle Earthや同様のサービスの使用禁止を求める申
し立てが申請されている。アフガニスタンのタリバンのメンバーも、Skypeを
使用して通信傍受を回避しているようだ。他のテロリストらも、Google Earth
から得た情報を使用して攻撃を仕掛けていたという。
http://www.timesonline.co.uk/tol/news/world/asia/article5317075.ece

【編集者メモ1】(Schultz)
テロリストがこれらの技術を使用して汚い行為を行っていたことから、やはり
技術の進歩は諸刃の剣であることがわかる。時が経てば経つほど、このような
問題は悪化していくようだ。
【編集者メモ2】(Ranum)
かと言って、これらの技術は今や当たり前のものなので、彼らがそれを駆使し
ていなかったら、そちらの方が驚きである。
【編集者メモ3】(Pescatore)
何ともくだらない。アタッカーはニュースを見るためにTVも使用するではない
か。昨年、私は休暇に家族をイタリアに連れて行った。その時も、GPSやノー
トパソコン、携帯電話、Google EarthやSkypeを使用した。多分、これらを利
用している旅行者の割合は高いはずだ。携帯電話内蔵のカメラなど、ほか多数
の技術を皆使用する。もちろん、警察も同じ技術を使ってテロリストの攻撃に
迅速に対応するようにしている。問題は技術にあるわけではない。結局のとこ
ろ、テロリストが使用した技術の中で最も有効だったのは、1000年以上も前に
発明された火薬なのである。
────────────────

◆米国・国土安全保障省 データマイニング・プロジェクトのプライバシー上
の懸念を指摘(2008.12.15)

米国土安全保障省(DHS)は、「科学技術研究プロジェクトにプライバシー保護
を導入する原則」をリリースした。この文書は、同省のデータマイニング技術
とポリシーについて、DHSの議会向けに提出した報告書の一部である。プライ
バシー擁護団体は、以前からDHSのデータマイニングプログラムに懸念の声を
発していた。今回のこの原則で、DHS Privacy Office(プライバシー局)と
Scientific Directorate(科学局)は、プロジェクトの目的を説明する文を作
成し、個人を識別できるデータについては、そこに明記されている目的以外に
は使用しないことを義務付けられる。また、同原則で、研究者らは研究に使う
データを最小限にとどめるよう求められている。さらに職員にもプライバシー
ポリシーについてのトレーニングを課すほか、個人情報濫用の懸念が発生した
場合に、当人がその懸念に対処できるようなシステムを設ける必要がある。
http://www.fcw.com/print/22_39/news/154665-1.html?topic=homeland_security

【編集者メモ】(Schultz)
このDHSの原則は、非常に理にかなうものだと思う。問題は、この原則で個人
情報の実際の取り扱い方まで統制できているのか、ということだ。
────────────────

◆米国・戦略国際問題研究所委員会 大量破壊兵器拡散防止モデルをもとにし
たサイバーセキュリティモデルを推奨(2008.12.15)

第44代大統領のためのサイバーセキュリティについての米国・戦略国際問題研
究所(CSIS)委員会は、政府が核兵器拡散防止に使用していたモデルをもとにし
て国のサイバーセキュリティに取り組むモデルを推進している。また、同委員
会は、政府が冷戦の終結に向けて核兵器に対処するために行ったのと同じよう
に、国家安全保障会議内にサイバーセキュリティ総局を設けることを推奨して
いる。CSISの上級研究員および技術・公共政策プログラム責任者James Lewis
は、「新種の脅威に直面していることを認識する必要がある」ため、拡散防止
モデルを手本にするのが適切であると述べている。サイバー上の脅威は通常の
境界を越えてしまうため、民間、軍、経済、国家、および国際的な視点でセキュ
リティに注意を払うことが必要だ。
http://www.fcw.com/print/22_39/news/154668-1.html?type=pf
────────────────

◆ブラウザのパスワードのセキュリティテスト(2008.12.14-15)

Chapin Information Services(CIS)がとりまとめた統計によると、主要なブラ
ウザのほとんどに、パスワード管理のセキュリティに関する懸念があるという。
CIS(Center for Internet Security)が、Opera 9.62、Firefox 3.0.4、IE
7.0、Safari 3.2、Google Chrome 1.0に21のテストを行った結果、Opera、
Firefoxが合格した回数は7回、IEは5回、SafariとChromeは2回だったという。
テストで診断されたChromeのバージョンはベータであったが、この調査で検知
された問題は、先週正式にリリースされたときにも修正されていなかった。
http://www.heise-online.co.uk/security/Google-Chrome-bottom-in-Password-Security--/news/112248
http://www.theregister.co.uk/2008/12/15/browser_password_security_tests/
http://www.info-svc.com/news/2008/12-12/

【編集者メモ】(Schultz)
重要なことであるが、パスワードのセキュリティなど、ブラウザのセキュリティ
全体のほんの一部にすぎない。
────────────────

◆ハッカーがブラジルの森林伐採に一役買っていた可能性(2008.12.15)

ブラジルの木材および木炭会社は、ブラジルのアマゾン流域の熱帯雨林で伐採
できる材木の量を定めるコンピュータ制御をハッカーを雇って改ざんしていた
という。アタックによって、追加で材木が輸出できるようになってしまい、あ
る予測によると、警察がこれに気付くまでに170万立方メートルの材木が過剰
輸出されてしまっていたという。ブラジル当局は、問題の企業に20億レアル
(8億4,200万ドル)の賠償を求めて起訴している。この事件によって、200人以
上の人間が嫌疑を受ける見込み。
http://www.theregister.co.uk/2008/12/12/brazil_hackers_deforestation/
http://news.bbc.co.uk/2/hi/technology/7783257.stm

【編集者メモ】(Dick)
興味深い。なぜなら、手ぬるいサイバーセキュリティで生じる影響は経済的な
ことだけではなく、我々の環境にまで及ぶ可能性があることが強調されている
からだ。一般市民が、生活に影響を及ぼす全てのシステムにサイバーセキュリ
ティを導入することを要求するようになるには、まず、その問題が個人的なも
のになる必要がある。我々の環境を守るということは、今や世界中の聖戦の大
義名分となっている。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【ついに実現!】
日本人SANSインストラクターによる
SEC401:SANS Seucrity Essentials Bootcamp Style
2009年2月19日(木)より10週にわたって開講!!
毎週木曜日 午後6:00~8:00 会場:丸の内北口ビル9Fセミナールーム
!! 講義とオンライン学習を通じて、効率的にスキルアップ!!
↓↓↓詳しくはこちら↓↓↓
http://www.entryweb.jp/sans/09spring/program401.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2008年12月12日 Vol.7 No.50)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    7 (#1, #4, #5, #6, #7)
Microsoft Office               11 (#2, #8, #9)
Other Microsoft Products           13
サードパーティのWindowsアプリ         5 (#10)
Linux                     3
Aix                      1
HP-UX                     1
Solaris                    1
Unix                      2
Novell                     1
クロスプラットフォーム            26 (#3)
Webアプリ-クロスサイトスクリプティング    13
Web アプリ- SQLインジェクション        28
Webアプリ                   25
ネットワークデバイス              2
======================================================================
今週は、3年間で最も「重大」な新脆弱性が多数確認された週であろう(計9件)。
そればかりか、それも含めて150以上の新脆弱性が報告されている。重大な新
脆弱性のほとんどは、Microsoft製品(序章にリストアップするには多すぎる)。
しかし、BMCのユーザーもPatrolの脆弱性を見逃してはならない。Patrolのよ
うな脆弱なシステム管理ツールおよびバックアップ・セキュリティツールが、
バックドアとしてハイレベルな多数のアタッカーに悪用されてしまうのだ。
────────────────

1.危険度【重大】:Microsoft Internet Explorerにリモートでコードを実行さ
れる脆弱性

<影響のある製品>
Microsoft Internet Explorer 7までのバージョン

<詳細>
Microsoft Internet Explorerには、特定のXML構造の処理にリモートでコード
を実行される脆弱性がある。特に、Webページが細工されると現在のユーザー
権限で任意のコードが実行されるおそれがある。現在この脆弱性は悪用されて
おり、最新のMicrosoftのパッチでも緩和できないようだ。この脆弱性につい
て、これ以上の情報はリリースされていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsofのセキュリティ警告
http://www.microsoft.com/technet/security/advisory/961051.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/32721
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/493881
Network Worldの記事
http://www.networkworld.com/news/2008/120908-new-web-attack-exploits-unpatched.html?fsrc=rss-security
SecurityFocus BID
http://www.securityfocus.com/bid/32721
────────────────

2.危険度【重大】:Microsoft WordPadテキストコンバータにリモートでコード
を実行される脆弱性(0day)

<影響のある製品>
Microsoft Windows XPサービスパック3より以前のバージョン

<詳細>
Microsoft WordPadは、Microsoft Windowsにデフォルトで含まれているリッチ
テキスト形式(RTF)エディタであり、RIFファイルのデフォルトのビューアでも
ある。しかし、テキストコンバータには欠陥がある。RTF文書が細工されると
脆弱性が引き起こされ、現在のユーザー権限で任意のコードを実行できるよう
になる。現在激しく悪用されており、最新のMicrosoftのパッチでも緩和でき
ないようだ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/960906.mspx
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/926676
SecurityFocus BID
http://www.securityfocus.com/bid/32718
────────────────

3.危険度【重大】:BMC Patrolに書式文字列の脆弱性

<影響のある製品>
BMC Patrol 3.7.30より以前のバージョン

<詳細>
BMC Patrolは企業用監視ソフトウェアパックであるが、ロギングコードに欠陥
がある。細工されたメッセージが脆弱なプロセスに送信されると、書式文字列
の脆弱性が引き起こされ、脆弱なプロセス(SYSTEMの場合が多い)権限で、任意
のコードを実行できるようになる。この脆弱性の技術的詳細がいくつか公表さ
れている。また、同脆弱性の悪用に認証は必要ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。TCP73181ポート
へのアクセスをネットワーク境界でブロックすれば、影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-082/
ベンダーのホームページ
http://www.bmc.com/
SecurityFocus BID
http://www.securityfocus.com/bid/32692
────────────────

4.危険度【重大】:Microsoft WindowsのGDIにさまざまな脆弱性(MS08-071)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Graphics Device Interface(GDI)は、グラフィックやテキストを作成してデバ
イスに出力するコンポーネントである。しかし、Windows Metafile(WMF)画
像ファイルの処理に、さまざまな脆弱性がある。WMFファイルが細工されると、
脆弱性のいずれかが引き起こされ、現在のユーザー権限で任意のコードを実行
できるようになる。一般論として、GDIを使用するWMFファイルを解析するアプ
リケーションは、全て脆弱だと考えられている。設定によっては、WMFファイ
ルは受信時にユーザーへのプロンプト無しで開かれるおそれがある。これらの
脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-071.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=762
GDIについてのWikipediaの説明
http://en.wikipedia.org/wiki/Graphics_Device_Interface
WMFについてのWikipediaの説明
http://en.wikipedia.org/wiki/Windows_Metafile
SecurityFocus BIDs
http://www.securityfocus.com/bid/32634
http://www.securityfocus.com/bid/32637
────────────────

5.危険度【重大】:Microsoft Windowsの検索にさまざまな脆弱性(MS08-075)

<影響のある製品>
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Windows Searchは、ユーザーによるファイルシステム内やその他の
ソースにある情報の検索を可能にするWindowsのコンポーネントである。しか
し、WebページがWindows Searchによって処理される"search-ms"プロトコルハ
ンドラーを使用しているURLを含むように細工されると、現在のユーザー権限
での任意のコード実行につながるおそれがある。また、ユーザーが細工された
"search-ms"ファイルを保存すると、リモートでコードが実行される脆弱性が
引き起こされるおそれも生じる。後者の脆弱性を悪用するには、Webページを
訪問するほかにユーザーの操作が必要だ。これら脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx
Microsoft Technetのブログ記事
http://blogs.technet.com/swi/archive/2008/12/09/ms08-075-reducing-attack-surface-by-turning-off-protocol-handlers.aspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/32651
http://www.securityfocus.com/bid/32652
────────────────

6.危険度【重大】:Microsoft Internet Explorerにさまざまな脆弱性
(MS08-073)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Internet ExplorerのWebページ構造およびスクリプトの処理にはさ
まざまな脆弱性がある。Webページが細工されると、これらの脆弱性が引き起
こされ、現在のユーザー権限での任意のコード実行など、さまざまことをでき
るようになってしまう。これらの脆弱性の技術的詳細がいくつか公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-073.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-087/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=761
SecurityFocus BIDs
http://www.securityfocus.com/bid/32596
http://www.securityfocus.com/bid/32586
http://www.securityfocus.com/bid/32593
http://www.securityfocus.com/bid/32595
────────────────

7.危険度【重大】:Microsoft Visual BasicのActiveXコントロールにさまざま
な脆弱性(MS08-070)

<影響のある製品>
Microsoft Visual Basic 6.0
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Visual FoxPro 8.0
Microsoft Visual FoxPro 9.0
Microsoft Office FrontPage 2002
Microsoft Office Project 2003
Microsoft Office Project 2007

<詳細>
Visual Basicは、Microsoftのプログラミング言語として広範に使用されてい
る。これは、ランタイム機能のいくつかを、ActiveXコントロールの集合体を
介して提供している。しかし、これらのコントロールのいくつかに、複数のイ
ンプット処理の脆弱性がある。細工されたWebページがこれらのコントロール
のどれかをインスタンス化すると、脆弱性のいずれかが引き起こされ、現在の
ユーザー権限で任意のコードを実行できるようになる。これらの脆弱性の技術
的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能を介して問題のコントロールを無効にすれば、これらの脆弱性
の影響を軽減できる。影響を受けるCLSIDについては、Microsoftのアドバイザ
リをご覧いただきたい。また、これらのコントロールを無効にすると、通常の
アプリケーション機能に影響があるかもしれないので注意が必要だ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms08-070.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-083/
SecurityFocus BID
http://www.securityfocus.com/bid/32591
http://www.securityfocus.com/bid/32592
http://www.securityfocus.com/bid/32612
http://www.securityfocus.com/bid/32613
http://www.securityfocus.com/bid/30674
────────────────

8.危険度【重大】:Microsoft Office Wordにさまざまな脆弱性(MS08-072)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office Word Viewer 2003
Microsoft Works 8
Mac 用Microsoft Office 2004
Mac 用Microsoft Office 2008
Mac 用Open XML File Format Converter

<詳細>
Microsoft OfficeのMicrosoft Office Wordおよびリッチテキスト形式(RTF)ファ
イルの処理にはさまざまな脆弱性がある。WordファイルかRTFファイルが細工
されると、これらの脆弱性のいずれかが引き起こされる。悪用が実現すると、
現在のユーザー権限で任意のコード実行など、さまざまな行動に及べるように
なる。ほとんどの設定では、悪意のあるファイルを開く前にユーザーにプロン
プトが表示される。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-072.mspx
TippingPoint DVLabs のセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-08
http://dvlabs.tippingpoint.com/advisory/TPTI-08-09
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-086/
http://zerodayinitiative.com/advisories/ZDI-08-085/
http://zerodayinitiative.com/advisories/ZDI-08-084/
SecurityFocus BIDs
http://www.securityfocus.com/bid/32580
http://www.securityfocus.com/bid/32579
http://www.securityfocus.com/bid/32583
http://www.securityfocus.com/bid/32581
http://www.securityfocus.com/bid/32585
http://www.securityfocus.com/bid/32642
http://www.securityfocus.com/bid/32594
────────────────

9.危険度【重大】:Microsoft Office Excelにさまざまな脆弱性(MS08-074)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office Excel Viewer 2003
Mac 用Microsoft Office 2004
Mac 用Microsoft Office 2008
Mac 用Open XML File Format Converter

<詳細>
Microsoft Office の表作成コンポーネントであるMicrosoft Excelにおいては、
Excelファイルの解析にさまざまな脆弱性がある。Excelファイルが細工される
と脆弱性のいずれかが引き起こされ、現在のユーザー権限で任意のコードを実
行できるようになる。ほとんどの設定では、悪意のあるExcelファイルを開く
前にユーザーにプロンプトが表示される。これらの脆弱性の技術的詳細がいく
つか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-074.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=763
SecurityFocus BID
http://www.securityfocus.com/bid/32618
http://www.securityfocus.com/bid/32621
http://www.securityfocus.com/bid/32622
────────────────

10.危険度【高】:Microsoft SQL Serverにリモートのメモリ崩壊脆弱性(0day)

<影響のある製品>
Microsoft SQL Server 2000
Microsoft SQL Server 2005

<詳細>
Microsoft SQL Serverの"sp_replwritetovarbin"手続きの処理には欠陥がある。
このプロシージャへのコールが細工されると、メモリ崩壊状態に至るおそれが
ある。この状態が悪用されると、現在のユーザー権限で任意のコードが実行さ
れる可能性があると考えられている。悪用には認証が必要だが、SQLインジェ
クションを介して悪用される可能性があるため、脆弱なWebアプリケーション
の認証証明書が使用される可能性がある。この脆弱性の概念実証コードが公表
されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
SEC Consultのアドバイザリ(概念実証コードも含む)
http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt
製品のホームページ
http://www.microsoft.com/sqlserver/2008/en/us/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/32710

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。