NRI Secure SANS NewsBites 日本版

Vol.4 No.14 2009年4月7日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.14 2009年4月7日発行
**********************************************************************

■はじめに

National Manpower Estimate for Cyberspace Security Skills(米国におけ
るサイバースペースのセキュリティスキル分野の人的資源見積もり):
米国の官民両組織のコンソーシアムが、専門的なセキュリティスキル要件の見
積もりをまとめた。この報告は主に、軍や諜報機関が作成した目的別の見積も
りに基づいてとりまとめられた。そのほか、重要インフラに関する推計も含め
る考えのようだ。そのため、関係者は、最後の仕上げ(4月が期日)に役立ち
そうなトピックで実質的な研究が行われているものがあれば、その研究結果を
知りたいところである。そのような研究報告をご存知の方は、
apaller@sans.orgまで。

Confickerによって何が起きるか、技術的な裏づけのある意見の閲覧はこちら
のサイトで:
http://isc.sans.org/

               Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.24-25
   (原版:2008年3月28日、4月1日配信)

◆Langevin議員 ホワイトハウスをもとにしたサイバーセキュリティのリーダー
  シップを支持(2009.3.24)

サイバーセキュリティ委員会の共同委員長であるJim Langevin下院議員(ロー
ドアイランド州、民主党)によると、Melissa Hathawayが指揮を執っている60
日間のサイバーセキュリティプログラム・レビューによって、どのような推奨
策が提示されるのかは彼自身にもわからないという。一方で、サイバーセキュ
リティプログラムを作れるような拡散防止プログラム構造の採用は、米国にとっ
て有益なものになるとの見解も明らかにした。彼は、第44代大統領のためのサ
イバーセキュリティに関する戦略・国際問題研究所委員会の共同委員長も務め
ているが、同委員会では、サイバーセキュリティのリーダーシップを1つの政
府局に置くよりも、ホワイトハウスの一部にする考えを支援していることを示
した。
http://www.house.gov/apps/list/speech/ri02langevin/stmtcyber032409.html
http://fcw.com/Articles/2009/03/26/cyber-Langevin.aspx
────────────────

◆米国立標準技術研究所(NIST)文書「PS800-53」と20の最重要セキュリティ
  コントロール(CAG)についての米国連邦政府CIOの観測(2009.3.26)

米国運輸省CIOをこのほど退職したDan Mintzは、Government Computer News編
集者のリクエストを受けて、SP800-53と20の重要なコントロール(CAG)にリ
ストアップされているコントロールを、セキュリティ監査の優先順位付けや連
邦政府のサイバーセキュリティ評価の中心軸にしてよいか、細かくチェックし
た。同氏は、「可能かどうかでなく、優先順位付けを必須にしなくてはならな
い。もし、NISTのガイドラインに関係しているFISMAのチェックリストが、20
のコントロールを導入するよう求めていたとしても、リソースの観点から、初
期は部分的にしか導入できない場合がある。そのような場合、最重要かつ最優
先作業項目を決定する前に、なるべく多くの項目を取り除こうとしてしまいが
ちである」とコメントしている。また、20のコントロールは、「部分的に自動
化可能なので、今後のセキュリティ関連の活動に統合すれば一層効率的になり、
結果としてセキュリティインフラも強化できる」とのことだ。
http://gcn.com/Articles/2009/03/26/Another-View-audit-guidelines.aspx?s=gcndaily_270309&Page=1
────────────────

◆中国の国防費 周辺他国よりも大幅に多い(2009.3.26-27)

国防総省の年次報告書、「2009年度・中華人民共和国(RPC)の軍事力」によ
ると、中国の国防費は周辺国より大幅に多いという。また中国は、米国政府な
ども含め、世界中のコンピュータネットワークに繰り返し侵入しているとのこ
とだ。しかし、報告書では問題の侵入が、中国政府や軍、それらの了解を得た
者のうち、誰によって行われているものかについては触れられていない。その
ほか、昨春、インドの外務省(Ministry of External Affairs)とベルギー政
府に仕掛けられたサイバー侵入は、中国からのものと説明されている。さらに、
米国政府のノートパソコンの中身が商務長官訪中の間にコピーされたと考えら
れているようだ。
http://www.washingtontimes.com/news/2009/mar/26/pentagon-beijing-boosting-cyberwarfare/print/
http://www.nytimes.com/2009/03/27/world/27military.html?_r=1&hp=&pagewanted=print
http://www.washingtonpost.com/wp-dyn/content/article/2009/03/25/AR2009032501058_pf.html
────────────────

◆英高等法院 Madoff捜査で米国へのデータ移動を許可(2009.3.26)

高等法院(イングランド・ウェールズ)は、Bernard Madoff捜査関連のデータ
を米国に移動してもよいという判決を下した。データ保護法(DPA)では、欧
州経済地域(EEA)外の国へのデータ移動は、移動先国でデータのプライバシー
保護が確実に行われていないかぎり、禁じられている。米国はデータ保護の観
点では、対応不足である国の1つと見なされているのが実情だ。一方で、厳密
に言えば「公共の利益を大いにもたらす場合、または法的手続きを円滑に進め
るために必要な場合のデータ移動は」、前述の条件を満たさない国にも送って
よいとなっている。高等法院は以上の観点から、本件のデータ移動は適切であ
ると考えているようだ。
http://www.theregister.co.uk/2009/03/26/madoff_data_dpa_exempt/print.html
────────────────

◆カナダの研究者ら 巨大なサイバースパイネットワークの存在を暴く
  (2009.3.29-30)

カナダの研究者らは、世界103か国の政府や大使館のコンピュータに感染を拡
大させた、いわゆる巨大なサイバースパイネットワークの存在を暴いた。
Ghostnetと呼ばれるこのネットワークは、もっぱら中国のコンピュータによっ
てコントロールされているようだ。研究者らは、亡命中のダライ・ラマ・チベッ
ト政府のコンピュータを監視しているときにこのネットワークを発見したとい
う。同ネットワークで使用されていた悪意のあるソフトウェアを使えば、文書
やメールなどコンピュータの中身を監視できるほか、Webカメラやマイクをリ
モートでコントロールすることができるようになってしまう。研究者らは、こ
のネットワークが、中国政府によってコントロールされているとは言及してい
ない。ダライ・ラマのコンピュータから収集された情報は、活動家の逮捕に役
立てられていた。
http://www.h-online.com/security/Infiltrated-Chinese-software-spies-on-Tibetan-government-in-exile-s-computers--/news/112957
http://news.bbc.co.uk/2/hi/americas/7970471.stm
http://www.nytimes.com/2009/03/29/technology/29spy.html?adxnnl=1&adxnnlx=1238457724-1IJBVHl8mv4HSnb1EI%20hCA&pagewanted=print
http://www.scribd.com/doc/13731776/Tracking-GhostNet-Investigating-a-Cyber-Espionage-Network

【編集者メモ1】(Ranum)
これこそが、このような侵入を発見した際、とるべき態度である。この研究者
らは、言葉を慎重に選びながら証拠と事実を述べることに徹しており、特定の
課題を強く推進したりしていない。熟慮されたアプローチを目の当たりにでき
て、喜ばしいかぎりだ。
【編集者メモ2】(Ullrich)
昨年のSANS FIREカンファレンスで、ISCのハンドラーであるMaarten
Horenbeckは、複数の似たようなボットネットについて行った研究を発表した。
彼の「トロイの木馬は燃えているか(Is Troy Burning)」と題したプレゼン
は、isc.sans.org/presentaionで閲覧できる。
────────────────

◆研究者ら Confickerへの感染を判定できるテスト方法を見出す(2009.3.30)

研究者らが、コンピュータがConflickerワームに感染しているかどうかを検知
する方法を見出した。今までの検知方法(ネットワーク内コンピュータの外部
への接続を監視し、個々にスキャンする)では、難易度が高いばかりでなく、
かなり多くのリソースの消費も招いていた。この新しいテクニックでは、リモー
トでNetpwPathCanonicalize()機能を呼び出すようになっている。Dan
Kaminskyによると、「Confickerに感染しているかどうかサーバに尋ねれば、
文字通りその答えが返ってくる」ということだ。
http://www.securityfocus.com/brief/936
http://www.theregister.co.uk/2009/03/30/conficker_signature_discovery/
http://www.h-online.com/security/German-researchers-develop-network-scan-for-Conficker-worm--/news/112963

【編集者メモ1】(Honan)
ボン大学の研究結果の全容:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/.
Nmap 4.85 Betaでも感染したコンピュータを検知できる。ダウンロード:
http://nmap.org/download.html.
国土安全保障省も検知ツールをリリース:
http://www.dhs.gov/ynews/releases/pr_1238443907751.shtm.
【編集者メモ2】(Ullrich)
Kaminskyのメソッドは、リモートで大量のシステムをテストしなくてはならな
いとき、重要になってくる。素早く個別にテストを行いたい場合は、
symantec.comやsans.orgのようなサイトに行けばよい。Confickerは、これら
のサイトへのアクセスをブロックしてしまうからだ。Conficker除去ツールと
その他のリソースのリストを望まれる方はisc.sans.org/confickerへ(もしく
は、すでに感染していてsans.orgにブロックされた方は、
dshield.org/confickerのご使用を)。そのほか、悪意のある偽除去ツールも
conficker用に出回っているので注意が必要。
【編集者メモ3】(Hoelzer)
これはグッドタイミングの素晴らしいニュースだ。明日、我々はコミュニティ
全体としてどれほど認識が高まっているか、調べることになっている。
────────────────

◆米最高裁 アンチスパム法に対する違憲判決を支持(2009.3.30)

合衆国最高裁判所は、バージニア州の厳格なアンチスパム法を復活させない見
込み。「同法では、迷惑メールのほか、政治的、宗教的、その他メッセージも
禁止しているため違憲である」とするバージニア州最高裁の判決を支持すると
いう。数百万件のスパムメッセージを送信して同法により有罪となったJeremy
Jaynesは、2004年度の判決であるため、有罪のままとなる。Jaynesは、現在、
別件のセキュリティ詐欺で懲役に服している。
http://www.msnbc.msn.com/id/29960046/

【編集者メモ】(Ranum)
こういう結果になってよかった。みなスパムは大嫌いだが、表現の自由はそれ
よりも重要なものである。結局、受信者側でフィルタリングを行うことが、
(今もこれからも)唯一の有効手段なのだ。
────────────────

◆連邦取引委員会(FTC) DRM技術について企業は誠実でなければならないと
  主張(2009.3.25)

米国連邦取引委員会(US Federal Trade Commission)のデジタル権利管理
(DRM)カンファレンスがシアトルで開催された。カンファレンスは、企業に
対し、使用しているDRM技術、また、製品に設けている制限について公開せよ
との勧告で幕を開けた。rootkitになるまでに至ったSony BMGのDRM処理が、過
去の事例として紹介された。また、FTCの副委員長代行(Acting Deputy
Director)のMary Engleも、企業がエンドユーザー・ライセンス契約(EULA)
で広告にうたっているポリシーに反するような詳細情報を隠ぺいしていた場合
は、FTCはその企業を問いただすつもりである旨述べた。
http://arstechnica.com/tech-policy/news/2009/03/ftc-well-come-calling-about-deceptive-drm.ars

【編集者メモ】(Pescatore)
賛成だ。ファストフードレストランに、カロリーとトランス脂肪酸の含有量を
明記させる法を可決した州にならい、ソフトウェアにも同様のことを行うのは
よいことだ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年3月27日 Vol.8 No.13)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          9 (#1, #6)
Mac Os                     5
Linux                      3
HP-UX                      1
BSD                       2
クロスプラットフォーム             15 (#2, #3, #4, #5)
Webアプリ- クロスサイトスクリプティング     3
Webアプリ- SQLインジェクション         14
Webアプリ                   13
ネットワークデバイス              3
======================================================================

パッチが発行されていない重大な脆弱性が、Windowsのほぼ全てのバージョン
のコア部分にある。そのほか、Adobe AcrobatとHP OpenViewに重大な脆弱性が
あるが、パッチが発行されている。

PS.
アプリケーションセキュリティ業務に従事していて(アプリケーションセキュ
リティマネージャなどのクールな職務に就いている人も含む)、欠陥の特定や
アタックのブロックにどのツールが最も有効か知りたい方は、ワシントンDCで
開催されるワークショップにぜひご参加を。このワークショップでは、広範に
使用されているアプリケーションのセキュリティツール(white box、black
box、ファイヤウォール)のほとんど全てについて、連邦政府や金融機関のユー
ザーによる使用経験談が披露される。以下のサイトから参加登録を。
http://www.sans.org/appsec09_summit/
また、ログ管理に関する同様のワークショップはこちら:
http://www.sans.org/logmgtsummit09
────────────────

1.危険度【重大】:MicrosoftのGDIPlus EMFの「GpFont.SetData()」にバッファ
  オーバーフローの脆弱性

<影響のある製品>
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Gold 0
Microsoft Windows XP 0
Microsoft Office XP SP2までのバージョン

<詳細>
Graphics Device Interface(GDI)は、Microsoft Windowsのアプリケーショ
ンプログラミングインタフェースであり、画像オブジェクトを表示するための
OSシステムのコアとなるコンポーネントである。しかし、Microsoft Windows
GDIには、拡張メタファイル(EMF)の処理時、gdiplus.dllにインテジャーオー
バーフローの脆弱性がある。欠陥を悪用する方法は以下のとおり:
(a) 悪意のあるWMFかEMF画像ファイルを含むWebページを作成し、ユーザーが
   そのWebページを訪問するよう仕向ける。
(b) 細工したEMF画像ファイルを添付したメールを送信し、ユーザーに閲覧さ
   せる。
(c) オフィス文書に悪意のある画像ファイルを組み込み、ユーザーに開かせる。
悪用が実現すると、コードの実行やDoSに至る場合がある。脆弱性の技術的詳
細が公表されている。

<現状>
ベンダーはこの問題をまだ認めていないため、更新もリリースしていない。

<参考>
[Black Security]redsand@blacksecurity.org によるブログ記事
http://bl4cksecurity.blogspot.com/2009/03/microsoft-gdiplus-emf-gpfontsetdata.html
Graphical Device InterfaceについてのWikipediaの説明
http://en.wikipedia.org/wiki/Graphics_Device_Interface
ベンダーのホームページ
http://www.microsoft.com/en/us/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/34250/
────────────────

2.危険度【重大】:Adobe ReaderおよびAcrobatのJBIG2処理にさまざまな脆弱
  性(APSA09-04)

<影響のある製品>
Adobe Acrobat Standard 8.1.3 までのバージョン
Adobe Acrobat Standard 7.0.8 までのバージョン
Adobe Acrobat Standard 9
Adobe Acrobat Standard 8.1 までのバージョン
Adobe Acrobat Standard 7.1
Adobe Acrobat Reader (UNIX) 7.0.1 までのバージョン
Adobe Acrobat Reader 8.1.3 までのバージョン
Adobe Acrobat Reader 7.0.9 までのバージョン
Adobe Acrobat Reader 9
Adobe Acrobat Reader 8.1 までのバージョン
Adobe Acrobat Reader 7.1
Adobe Acrobat Professional 8.1.3 までのバージョン
Adobe Acrobat Professional 7.0.9 までのバージョン
Adobe Acrobat Professional 9
Adobe Acrobat Professional 8.1 までのバージョン
Adobe Acrobat Professional 7.1
Adobe Acrobat 7.0.3 までのバージョン

<詳細>
Adobe Acrobatは、Portable Document Format(PDF)を作成、管理、閲覧する
ためのプログラムである。一方、Adobe Readerは、PDFを閲覧、印刷するため
だけのプログラムである。しかし、このAdobe AcrobatとReaderには、PDFファ
イルの中のJBIG2ストリームの処理にバッファオーバーフローの脆弱性がある。
JBIG2は、2層画像のエンコードを行うための画像エンコード基準である。欠陥
の1つは、表の数値を表示する、また、バッファを割り当てる4バイトが原因で
引き起こされる。この値は、十分なチェックが行われないままファイルから引
きださされるので、PDFファイルが細工されると、バッファオーバーフローを
引き起こすのに悪用されてしまう。もう1つの欠陥は、PDFファイルにある不正
のJBIG2記号辞書セグメントが原因で生じる。ほか、JBIG2ストリームの処理に
は、複数のその他のエラーがある。アタック手法としては、悪意のあるPDFを
メールに添付して送信する、悪意のある文書があるWebサイトを訪問させる
(iframeを介したり、ファイル共有セクションに文書を置いたりして誘い込む)、
などがある。どちらの場合もアタッカーは、ユーザーにファイルを開かせなけ
ればならない。悪用が実現すると、コードの実行に至る。この問題の技術的詳
細が公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
iDefense Labsのパブリックアドバイザリ: 03.24.09
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=776
Secunia Research: Adobe ReadeのJBIG2 Symbol Dictionary にバッファオー
バーフローの脆弱性
http://secunia.com/secunia_research/2009-14/
AdobeのセキュリティアドバイザリAPSB09-04)
http://www.adobe.com/support/security/bulletins/apsb09-04.html
ベンダーのホームページ
http://www.adobe.com/
SecurityFocus BID
http://www.securityfocus.com/bid/34229
────────────────

3.危険度【重大】:HP OpenView Network Node Managerにさまざまな脆弱性
<影響のある製品>
HP OpenView Network Node Manager 7.53
HP OpenView Network Node Manager 7.51
HP OpenView Network Node Manager 7.53 patch NNM_01195

<詳細>
HP OpenView Network Node Manager(NNM)は、HP OpenViewのアプリケーショ
ンストートのネットワークおよびシステム監視、管理コンポーネントである。
NNMは、NNMサーバをWebベースで管理するためのCGIスクリプトを提供する。し
かし、これには3つのバグがあり、そのうち1つは、
http://www.sans.org/newsletters/risk/display.php?v=8&i=2#widely1に説明
されている通り、NNMのバグの派生だ。1つめの問題は、"Toolbar.exe"のCGIア
プリケーションにスタックベースのバッファオーバーフローがあるために生じ
る。過剰に長い"OvOSLocale"のクッキーパラメータがついたHTTPリクエストを
送信すると、このエラーが悪用されるおそれがある。2つめの問題は、"ov.dll"
にあるバッファオーバーフローである。過剰に長い"OvAcceptLang"のクッキー
パラメータがついたHTTPリクエストを"Toolbar.exe"アプリケーションに送る
と悪用につながる。3つめの問題は、"libovwww.so.4"と"ovwww.dll"にあるヒー
プベースのバッファオーバーフローである。大きな"Accept-Language"のHTTP
のヘッダーを送信すると悪用されるおそれがある。いずれかの悪用が実現する
と、任意のコード実行に至る。これらの脆弱性の技術的詳細と概念実証コード
が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Core Security Technologies
http://www.coresecurity.com/content/openview-buffer-overflows
HPのサポート文書:セキュリティ警告(HPSBMA02416 SSRT090008 rev.1)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729
製品のホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-119^1155_4000_100
SecurityFocus BID
http://www.securityfocus.com/bid/34134/
http://www.securityfocus.com/bid/34135/
────────────────

4.危険度【高】:さまざまなMozilla製品にメモリ崩壊の脆弱性

<影響のある製品>
Mozilla Firefox 3.0.x
Mozilla SeaMonkey 1.1.15までのバージョン

<詳細>
広範に使用されているFirefox Webブラウザやインターネットスイートの
SeaMonkeyなど、Mozilla Foundationの製品にはメモリ崩壊の脆弱性がある。
細工されたExtensible Stylesheet Language Transformations(XSLT)を処理
すると、"txMozillaXSLTProcessor::TransformToDoc()"機能にエラーがあるた
めに、DoSや任意のコード実行のどちらかに至るおそれがある。悪用には、悪
意のあるWebページの訪問、といったユーザーによる操作が必要だ。この脆弱
性の技術的詳細と概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めているが、更新はリリースしていない。

<参考>
ベンダーのホームページ
http://www.mozilla.com/en-US/
SecurityFocus BID
http://www.securityfocus.com/bid/34235/
────────────────

5.危険度【高】:Sun Java JDK/JREにさまざまな脆弱性

<影響のある製品>
Sun JDK and JRE 6 Update 12 までのバージョン
Sun JDK and JRE 5.0 Update 17 までのバージョン
Sun SDK and JRE 1.4.2_19 までのバージョン
Sun SDK and JRE 1.3.1_24 までのバージョン

<詳細>
Sun Javaにはさまざまな脆弱性が報告されている。これらの脆弱性は、悪用さ
れるとシステムの侵害や機密情報の開示、セキュリティ制限の回避、DoSを引
き起こすおそれがある。1つめの問題は、Javaランタイム環境(JRE)にあるエ
ラーで、LDAP接続の初期化時に発生し、DoSやコード実行を引き起こすおそれ
がある。2つめの問題は、JARアンパックユーティリティ"unpack200"を使用し
ているJREにあるバッファオーバーフローの脆弱性で、アプレットやJava Web
Startアプリケーションの解凍時に引き起こされ、任意のコード実行に至るお
それがある。3つめの問題は、JREにあるバッファオーバーフローの脆弱性で、
不正の画像ファイルや細工されたフォントを処理にするときに引き起こされる。
4つめの問題は、一時的なフォントファイルの保存や処理にエラーがあるため
に引き起こされるもので、悪用の実現により、ディスクスペースが大量に消費
され、DoSに至るおそれがある。5つめの問題は、JREのHTTPサーバ実装にある
エラーで、JRE上で動作するJAX-WSサービス・エンドポイントにDoS状態が引き
起こされる可能性がある。6つめの問題は、コード生成付きJRE仮想マシンにあ
り、信頼されていないアプレットが権限を昇格できるようになるおそれがある。
7つめの問題は、Javaプラグインにある複数のセキュリティ脆弱性で、悪用さ
れると、権限昇格、機密情報の開示につながる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Sun Solve のセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1
iDefenseのパブリックアドバイザリ:03.26.09
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=777
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=778
ベンダーのホームページ
http://java.sun.com/
SecurityFocus BID
http://www.securityfocus.com/bid/34240
────────────────

6.危険度【高】:IBM Access Supportの ActiveX Controlにバッファオーバー
  フローの脆弱性

<影響のある製品>
IBM Access Support ActiveX Control 3.x

<詳細>
IBMのeGatherer Access Support ActiveXコントロールは、IBM PCのサポート
を自動化するために設計されたものだ。しかし、"IbmEgath.dll"によって提供
されるActive Xコントロールには、"GetXMLValue()"メソッドで供給された入
力の解析時にバッファオーバーフローの脆弱性が生じる。これらのコントロー
ルが悪意のあるWebページやHTMLメールに悪用されると、クライアントシステ
ムでひそかに任意のコードが実行されるおそれがある。今のところベンダーか
らパッチは提供されていないが、当面の回避策として、kill bitを
{74FFE28D-2378-11D5-990C-006094235084}のCLSIDに設定するとよい。悪用の
実現により、任意のコードの実行に至るおそれがある。

<現状>
ベンダーはこの問題をまだ認めていないため、更新もリリースしていない。

<参考>
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
悪用の実現によりMicrosoftのパッチが有効性を失う件について
http://blog.ncircle.com/blogs/vert/archives/2009/03/successful_exploit_renders_mic.html
SecurityFocus BID
http://www.securityfocus.com/bid/33988/
http://www.securityfocus.com/bid/33982/
http://www.securityfocus.com/bid/33989/
http://www.securityfocus.com/bid/34013/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。