NRI Secure SANS NewsBites 日本版

Vol.4 No.17 2009年4月28日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.17 2009年4月28日発行
**********************************************************************

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
          SANS Future Visions 2009 Tokyo
      ~情報セキュリティパラダイムの次なる変革に向けて~
       2009年7月16日(木)~17日(金)@ホテル日航東京
             主催:SANS Institute
          http://www.entryweb.jp/sans/fv09/
    無料セッションの登録開始を案内する先行メール登録を開始!!

      ★併設トレーニングは特別価格で申し込み受付中★
       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
       http://www.entryweb.jp/sans/training/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.30-31
   (原版:2008年4月18日、4月22日配信)

◆海賊版のMacソフトにあるトロイの木馬 初のMac用ボットネットを作成
  (2009.4.19)

1月中ピアツーピアネットワークで提供されていたAppleのiWorkやMac版Adobe
Photshop CS4の海賊版に、マルウェアが組み込まれていた。これが原因で、史
上初のMac用ボットネットが形成されたようだ。形成されたゾンビネットワー
クは、あるWebサイト(詳細不明)に分散DoS攻撃を仕掛けようとしていたという。
問題のマルウェアは、検知されるまでにコンピュータ数千台に感染したと思わ
れる。
http://www.cbc.ca/technology/story/2009/04/15/ibotnet-trojan.html
http://blogs.zdnet.com/security/?p=3157

【編集者メモ】(Honan&Schultz)
どうやらMacのプラットフォームは、サイバー犯罪者にとってますます収穫の
多いターゲットになってきたようだ。
────────────────

◆Verizon Businessで2009年に発生したデータ侵害についての操作報告書
  (2009.4.14-16)

Verizon Businessの「2009年データ侵害捜査報告書」によると、昨年捜査を行っ
た一連の侵害事件において侵害された記録の件数は、それまで4年間の侵害事
件数全てを合わせた件数よりもはるかに多かったという。報告書によると、組
織的犯罪集団に何らかのつながりのある侵害事件は、全体の90%にのぼるとなっ
ている。Verizonが捜査したインシデントのうち、情報が公表されたのはたっ
たの3分の1だった。現在ある攻撃を見ると、個人の認証番号(PIN)やその他口
座情報がターゲットになっている。侵害時、PCI DSSに準拠できていなかった
システムに発生したセキュリティ侵害は、全体の87%にものぼる。捜査を行っ
た侵害事件のうち、外部のソースから何かを仕掛けられたものは約75%にのぼ
るという。
http://isc.sans.org/diary.html?storyid=6202
http://www.securityfocus.com/brief/947
http://fcw.com/Articles/2009/04/16/Verizon-Organized-crime-behind-data-breaches.aspx
http://www.theregister.co.uk/2009/04/16/pin_security_breach_survey/
http://www.washingtonpost.com/wp-dyn/content/article/2009/04/15/AR2009041501196_pf.html
http://blog.wired.com/27bstroke6/2009/04/pins.html
http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

【編集者メモ】(Weatherford)
興味深い事項が複数盛り込まれた素晴らしい報告書だ。統計というものはたい
てい信頼性があまり高くないことを踏まえると、「部内者の脅威」が原因で発
生した侵害事件は、必ず0~100%のどこかにおさまって当たり前ということだ。
統計結果として言及するのはよいが、その数字自体にはあまり意味がない。こ
の報告書を見れば、今回の調査は、発生した侵害全体のうち外部のソースから
仕掛けられたものが74%を占めるような調査対象のグループから統計をとった
ものだ、ということがわかる。もう1つ気になるのは、近頃多数開かれている
PCI関連の討議において、PCI自体が侵害を阻止しうる特効薬にはならないと言
われている点だ。確かに特効薬にはならないかもしれないが、決済カードの情
報を侵害された組織の80%以上がPCIに準拠していない、もしくは監査を受け
ていないというではないか。詳しくは報告書の全文参照。
────────────────

◆量刑委員会 プロキシは高度な知識を保持している証拠であるとの考えを否
  定(2009.4.15)

合衆国量刑委員会(US Sentencing Commission)は、プロキシサーバを使用した
コンピュータ犯罪で有罪となった者の刑を厳罰化できるとする提案を却下した。
この改正案では、サイバー犯罪の通信にプロキシを使用していた場合には高度
な技術を保持していると見なし、より厳しい罰を与えるに値するとなっていた。
しかし、市民の自由提唱団体が、プロキシは広範に使用されている(合法的な
目的で使われることも多い)ほか、提案された文章の内容が曖昧であることか
ら、反対している。この内容からは、刑罰がサイバー犯罪者のみに適用され、
一般的なプロキシの使用を指しているのではないということが明確に汲み取れ
ないからだという。
http://arstechnica.com/tech-policy/news/2009/04/us-sentencing-guidelines-wont-punish-online-proxy-use.ars
http://www.google.com/hostednews/ap/article/ALeqM5gOnXxJrRQW4p8xPFXKy9UfgO0I1gD97J70OG0

【編集者メモ】(Schultz)
高度な攻撃方法はたくさんあるのだから、委員会がプロキシサーバを使用した
者だけに的を絞っているのは、単純におかしい。
────────────────

◆スパイ 国防総省の統合打撃戦闘機を侵害(2009.4.21)

サイバースパイらが、米国最高額の戦闘システム(3000億ドル級のJoint Strike
Fighter計画)についての設計データ、10テラバイト分を盗み出していた。同様
の侵害が空軍の航空管制システムにも発生していたという。問題の攻撃は2007
年から始まっており、翌年に入っても継続的に行われていた。スパイらは盗み
出したデータを暗号化し、捜査員による盗取データの特定を困難にしていた。
戦闘機のデータがサイバースパイに持ち去られたという事実は、対敵諜報活動
局長官(Counterintelligence Chief)Joel Brennerによって初めて公表された。
また、Brennerは戦闘機のパイロットが自分のレーダーを信頼できない事態に
陥るときが来るかもしれないと述べ、スパイらが航空管制システムのコントロー
ルを奪う懸念も表明している。
http://online.wsj.com/article/SB124027491029837401.html
────────────────

◆英国文化振興会 データ保護法に違反:情報長官事務局談(2009.4.17-20)

英国情報長官事務局(ICO:UK Information Commissioner's Office)によると、
英国文化振興会が個人情報の入った暗号化されていないディスクを紛失したの
は、データ保護法違反になると述べた。問題のディスクには、職員2,000人以
上の機密情報が保存されていたという。侵害事件発生の報告は、ICOに速やか
になされた。ICOは英国文化振興会に、多数のセキュリティ対策とデータ紛失
の発生防止策の実施を約束させた。措置としては、携帯デバイスは全て必ず暗
号化することなどがあげられている。
http://www.computing.co.uk/computing/news/2240575/british-council-breacheds
http://www.theregister.co.uk/2009/04/20/british_council_data_loss/
────────────────

◆米国保健社会福祉省 電子医療記録データ・セキュリティガイダンスを発表
  (2009.4.20)

米国保健社会福祉省(HHS)は、電子医療記録データの保護についてのガイダン
ス文書をリリースした。これによると、電子医療データについては閲覧する権
限のない者にとって「使用不能・読取り不能・判読不能」にしておかなければ
ならないこと、および必須条件を満たすには、データの暗号化または破壊を行
うことが推奨されている。同文書は、経済刺激対策法案の一部であるHITECH
(Health Information Technology for Economic and Clinical Health Act:
経済的および臨床的健全性のための医療情報技術に関する法律)で義務となっ
ている2つの侵害通知規制に関係している。1つ目の通知に関するガイドライン
はHHSが発行し、もう一方は、HIPAA(医療保険の携行性と責任に関する法律)
の対象になっていない団体のために連邦取引委員会が発行する。ガイドライン
に準拠した組織は、侵害通知の必須条件にとらわれることはない。HHSは文書
についての一般からのコメント募集を、2009年5月21日まで受け付けている。
http://fcw.com/Articles/2009/04/20/HHS-releases-guidance-on-securing-electronic-health-data.aspx
http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hitechrfi.pdf
http://www.nextgov.com/nextgov/ng_20090420_8620.php
http://govhealthit.com/articles/2009/04/20/health-it-privacy-guidelines.aspx

【編集者メモ1】(Pescatore)
個人の医療情報に関して既存の規制を徹底すべきか、それとも新しい規制への
真の需要を模索すべきか。
【編集者メモ2】(Liston)
「わが社は暗号化を行っている」にチェックしたというだけで、その組織に侵
害通知義務のフリーパスを与えるなど、全くもって反対である。暗号化を行う
のは簡単だ。だが、確実に行うのは難しい。放置されたままのデータや継続的
にメンテされているデータを暗号化するのもよいが、もし、今この瞬間誰かが
使用しているデータをターゲットにする侵害が発生したらどうするのか。
────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    SANS Future Visions 2009 Tokyo 併設トレーニング
┃         ★特別価格で申し込み受付中★
┃         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┃    http://www.entryweb.jp/sans/training/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■Meeting the Minimum: PCI/DSS 1.2: Becoming and Staying Compliant■
     -PCI/DSSに準拠したセキュリティ実装とその手法-
     ◆2009年7月15日(水)~16日(木) 2日間
     ◇http://www.entryweb.jp/sans/training/aud521.html

■SANS Security Essentials■
     -Defense In-Depth(多層防御)-
     -Internet Security Technology(インターネットセキュリティ技術)-
     ◆2009年7月16日(木)~17日(金) 2日間
     ◇http://www.entryweb.jp/sans/training/sec401.html

■Cutting-Edge Hacking Techniques■
     -最新ハッキングテクニック-
     ◆2009年7月17日(金) 1日コース
     ◇http://www.entryweb.jp/sans/training/sec517.html

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年4月17日 Vol.8 No.16)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                     6 (#3)
Microsoft Office                1 (#2)
その他のMicrosoft製品              8 (#1, #5, #6)
サードパーティのWindowsアプリ          9 (#7, #8)
Linux                      1
BSD                       1
Solaris                     1
クロスプラットフォーム             20 (#4)
Webアプリ - クロスサイトスクリプティング    11
Webアプリ - SQLインジェクション        15
Webアプリ                   22
ネットワークデバイス              3
======================================================================

OracleとMicrosoftは、非常に重大なバグの存在を発表した。
Alan
────────────────

1.危険度【高】:Microsoft Internet Explorerにさまざまな脆弱性(MS09-014)

<影響のある製品>
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4までのバージョン
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows 2000

<詳細>
Microsoft Internet Explorerにあるさまざまな脆弱性が特定された。1つ目の
問題は、Internet Explorerがシステム上のファイルの位置を特定して開く方
法にエラーがあることだ。これによって、ダウンロードしたファイルを
Windowsシステムではなくデスクトップからロードするようになってしまう。2
つ目の問題は、Windows Internetアプリ・プログラミング・インタフェース
(WinInet)にあるエラーである。このエラーは、犠牲者(ユーザー)がHTTPプロ
トコルを介してアタッカーのサーバに接続する際、WinlnetがNTLM再利用防止
機能を正しく使用できないために発生する。これによって、ユーザーの信用証
明書はアタッカーに逆反映されてしまう。3つ目の問題は、Webページの舵取り
をする際、Internet Explorerの移行処理が原因で発生する。このエラーは、
メモリ崩壊につながって任意のコードを実行されるおそれがある。4つ目の問
題は、Internet Explorerが、削除されていないもしくは正しく初期化されて
いないオブジェクトにアクセスするときに発生するエラーだ。悪用されると、
メモリ崩壊に至って、任意のコード実行につながるおそれがある。5つ目の問
題も、Internet Explorerが、削除されていないもしくは正しく初期化されて
いないオブジェクトにアクセスする方法が原因で生じるメモリ崩壊のエラーで
ある。6つ目の問題も同様。どちらのケースも、悪用されると任意のコード実
行につながるおそれがある。また、全てのケースにおいて、アタッカーは悪意
のあるWebサイトにユーザーを訪問させる必要がある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告(MS09-014)
http://www.microsoft.com/technet/security/bulletin/ms09-014.mspx
製品のホームページ
http://www.microsoft.com/windows/internet-explorer/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/29445
http://www.securityfocus.com/bid/34423
http://www.securityfocus.com/bid/34424
http://www.securityfocus.com/bid/34426
http://www.securityfocus.com/bid/34438
http://www.securityfocus.com/bid/34439
────────────────

2.危険度【重大】:Microsoft Excelにさまざまな脆弱性(MS09-009)

<影響のある製品>
Microsoft Office Excel 2000 SP 3
Microsoft Office Excel 2002 SP 3
Microsoft Office Excel 2003 SP 3
Microsoft Office Excel 2007 SP 1
Mac版Microsoft Office 2004
Mac版Microsoft Office 2008
Microsoft Office Excel Viewer 2003 SP 3
Microsoft Office Excel Viewer

<詳細>
Microsoftの表作成アプリケーションであるMicrosoft ExcelのExcel文書の解
析に、さまざまな脆弱性がある。最初にあげられる問題は、細工されたExcel
文書を解析する際、"excel.exe"にメモリ崩壊エラーが生じるというもの。こ
のエラーは、文書内の特定のオフセットや2バイト値に依存しているメモリ計
算が正しく行われていないために生じる。悪用されると、任意のコード実行に
つながるおそれがある。2番目の問題は、すでに
http://www.sans.org/newsletters/risk/display.php?v=8&i=9#widely1.で言
及されている問題だ。ベンダーは、最新バージョンでこの問題にパッチを提供
している。ほとんどの設定において、悪意の潜む可能性のあるExcelファイル
を開く前にプロンプトが出るので、これらの脆弱性を悪用するにはユーザーの
操作が必要になる。脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告(MS09-009)
http://www.microsoft.com/technet/security/bulletin/ms09-009.mspx
FortiGuard のアドバイザリ(FGA-2009-16)
http://www.fortiguardcenter.com/advisory/FGA-2009-16.html
製品のホームページ
http://office.microsoft.com/en-us/excel/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/33870
http://www.securityfocus.com/bid/34413
────────────────

3.危険度【重大】:Microsoft WindowsのHTTPサービスに複数の脆弱性
  (MS09-013)

<影響のある製品>
Microsoft Windows 2000 SP 4
Microsoft Windows XP SP 2
Microsoft Windows XP SP 3
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional x64 Edition SP 2
Microsoft Windows Server 2003 SP 1
Microsoft Windows Server 2003 SP 2
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 x64 Edition SP 2
Microsoft Windows Server 2003 SP1(Itaniumベースのシステム)
Microsoft Windows Server 2003 SP2(Itaniumベースのシステム)
Microsoft Windows Vista
Microsoft Windows Vista SP 1
Microsoft Windows Vista x64 Edition
Microsoft Windows Vista x64 Edition SP 1
Microsoft Windows Server 2008(32-bit システム)
Microsoft Windows Server 2008(x64-ベースのシステム)
Microsoft Windows Server 2008(Itaniumベースのシステム)

<詳細>
HTTPクライアントAPIを提供して、プログラマーが他のHTTPサーバにHTTPプロ
トコルを介してリクエストを送信できるようにするMicrosoft Windows HTTP
Services(WinHTTP)に、さまざまな脆弱性がある。1つ目の問題は、WinHTTPサー
ビスがリモートのWebサーバから返ってきた特定の値を、正しい検証を行わず
に処理するために生じるエラーだ。これによって、最終的にはリモートによる
コード実行につながる可能性がある。アタッカーは、ユーザーを悪意のある
Webサーバに訪問するよう誘いこむ必要がある。2つ目の問題は、WinHTTPサー
ビスのデジタル証明書が特定の名前を正しくチェックできないために生じるエ
ラーだ。この脆弱性の悪用とDNSスプーフィングを組み合わせると、WinHTTPサー
ビスを使用するWebサイトのデジタル証明書保持者になりすますことができる。
3つ目の問題は、ユーザーがアタッカーのWebサイトに接続するとき、WinHTTP
サービスがNTLM再利用防止機能を正しくできないために生じる。これによって、
ユーザーの信用証明書は、アタッカーに逆反映されてしまう。この攻撃を実行
するには、犠牲者(ユーザー)に悪意のあるWebサーバを訪問させなければなら
ない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoft Security Bulletin(MS09-013)
http://www.microsoft.com/technet/security/bulletin/ms09-013.mspx
MSRC Engineering & MSEC Scienceのブログ記事
http://blogs.technet.com/srd/archive/2009/04/14/ntlm-credential-reflection-updates-for-http-clients.aspx
ベンダーのホームページ
http://www.microsoft.com/en/us/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/34435
http://www.securityfocus.com/bid/34437
http://www.securityfocus.com/bid/34439
────────────────

4.危険度【重大】:Oracle製品にさまざまな脆弱性(2009年4月期の重大なパッ
  チ更新)

<影響のある製品>
Oracle Database 11g、11.1.0.6、11.1.0.7
Oracle Database 10g Release 2、10.2.0.3、10.2.0.4
Oracle Database 10g、10.1.0.5
Oracle Database 9i Release 2、9.2.0.8、9.2.0.8DV
Oracle Application Server 10g Release 2(10.1.2)、10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2、8.3.0
Oracle XML Publisher 5.6.2、10.1.3.2、10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1、10.1.3.3.2、10.1.3.3.3、10.1.3.4
Oracle E-Business Suite Release 12、12.0.6
Oracle E-Business Suite Release 11i、11.5.10.2
PeopleSoft Enterprise PeopleToolsのバージョン:8.49
PeopleSoft Enterprise HRMSのバージョン:8.9 と9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA、9.1 GA、9.2から9.2 MP3まで
Oracle WebLogic Server 8.1から8.1 SP6まで
Oracle WebLogic Server 7.0から7.0 SP7まで
Oracle WebLogic Portal 8.1から8.1 SP6まで
Oracle Data Service Integrator 10.3.0とOracle AquaLogic Data Services
Platform(元BEA ALDSP)3.2、3.0.1、3.0
Oracle JRockit(元BEA JRockit)R27.6.2までのバージョン(JDK/JRE 6、5、1.4.2)

<詳細>
Oracleは2009年4月16日、主要製品群に追加でパッチをリリースした。この
Critical Patch Update(CPU:重大なパッチ更新)には、さまざまな製品に対
する43件の新しいセキュリティ修正プログラムが含まれている。この更新で修
正された欠陥には、リモートでコードが実行される脆弱性、SQLインジェクショ
ンの脆弱性、権限昇格、書式文字列の脆弱性、情報開示の脆弱性などがある。
いずれかの脆弱性が悪用されると、任意のコードやSQLクエリをデータベース
のユーザー権限で実行できるようになる。脆弱性の中には、悪用するのに認証
が不要なものと必要なものの両方がある。セキュリティ問題のいくつかについ
て、技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Oracleの重大なパッチ更新(2009年4月期)
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
セキュリティアドバイザリ(CVE-2009-1001)
http://www.oracle.com/technology/deploy/security/wls-security/1001.html
セキュリティアドバイザリ(CVE-2009-1002)
http://www.oracle.com/technology/deploy/security/wls-security/1002.html
セキュリティアドバイザリ(CVE-2009-1003)
http://www.oracle.com/technology/deploy/security/wls-security/1003.html
セキュリティアドバイザリ(CVE-2009-1004)
http://www.oracle.com/technology/deploy/security/wls-security/1004.html
セキュリティアドバイザリ(CVE-2009-1005)
http://www.oracle.com/technology/deploy/security/wls-security/1005.html
セキュリティアドバイザリ(CVE-2009-1006)
http://www.oracle.com/technology/deploy/security/wls-security/1006.html
セキュリティアドバイザリ(CVE-2009-1012)
http://www.oracle.com/technology/deploy/security/wls-security/1012.html
セキュリティアドバイザリ(CVE-2009-1016)
http://www.oracle.com/technology/deploy/security/wls-security/1016.html
Zero-Dayイニシアチブのアドバイザリ(ZDI-09-017)
http://www.zerodayinitiative.com/advisories/ZDI-09-017/
Secunia Researchのアドバイザリ
http://secunia.com/secunia_research/2009-22/
http://secunia.com/secunia_research/2009-23/
Red-Databaseのセキュリティアドバイザリ
http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqadm_sys.html
http://www.red-database-security.com/advisory/oracle_sql_injection_dbms_aqin.html
http://www.red-database-security.com/advisory/apex_password_hashes.html
SecurityFocus BID
http://www.securityfocus.com/bid/34461
────────────────

5.危険度【重大】:Microsoft Windows WordPadとOfficeコンバータにさまざま
  な脆弱性(MS09-010)

<影響のある製品>
Microsoft Windows 2000 SP 4
Microsoft Windows XP SP 2
Microsoft Windows XP SP 3
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional x64 Edition SP 2
Microsoft Windows Server 2003 SP 1
Microsoft Windows Server 2003 SP 2
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 x64 Edition SP 2
Microsoft Windows Server 2003 SP1(Itaniumベースのシステム)
Microsoft Windows Server 2003 SP2(Itaniumベースのシステム)
Microsoft Office Word 2000 SP 3
Microsoft Office Word 2002 SP 3
Microsoft Office Converter Pack

<詳細>
シンプルなテキストエディタ、WordPadは、Microsoft Windowsのデフォルトの
コンポーネントである。WordPadのテキストコンバータを使えば、Microsoft
Office Wordをインストールしていないユーザーも、Microsoft Windows
Write(.wri)、Microsoft Office Word 6.0、Microsoft Office Word 97、2000、
2002(.doc)ファイル形式で文書を開くことができる。しかし、WordPadと
Office Textコンバータには、Word 6ファイルもしくはWord 97文書、
WordPerfect 6.xの文書を開くと引き起こされるさまざまな脆弱性がある。1つ
目の問題は、不正形式のWord 6ファイルを処理するときにWordPadやOffice
Textコンバータ、特にWord 6コンバータに生じるメモリ崩壊のエラーだ。2つ
目の問題は、細工されたWord 97文書を解析するときにMicrosoft WordPadに生
じるメモリ崩壊の脆弱性である。この脆弱性を悪用するには、ユーザーが影響
を受けるWordPadのバージョンで不正形式のWord 97文書を開く必要がある。3
つ目の問題は、細工されたWordPerfect 6.x文書を解析するときに、Microsoft
Office Word 2000に含まれるWordPerfect 6.xコンバータに生じるスタック崩
壊の脆弱性だ。この脆弱性を悪用するには、ユーザーが不正形式の
WordPerfect文書を開く必要がある。4つ目の問題は、細工されたWord 97文書
の解析でWordPadに生じるバッファオーバーフローの脆弱性である。この脆弱
性の悪用を実現するには、影響を受けるWordPadのバージョンで、ユーザーが
不正形式のWord 97文書を開く必要がある。技術的詳細のいくつかが公表され
ている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ更新(MS09-010)
http://www.microsoft.com/technet/security/bulletin/ms09-010.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=782
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=783
MSRC Engineering & MSEC Scienceのブログ記事
http://blogs.technet.com/srd/archive/2009/04/14/ms09-010-reducing-the-text-converter-attack-surface.aspx
ベンダーのホームページ
http://www.microsoft.com/en/us/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/29769
http://www.securityfocus.com/bid/34469
http://www.securityfocus.com/bid/34470
http://www.securityfocus.com/bid/32718
────────────────

6.危険度【重大】:Microsoft DirectShowのMJPEG解凍処理にリモートでコー
  ドが実行される脆弱性(MS09-011)

<影響のある製品>
Microsoft DirectX 9.0*
Microsoft DirectX 8.1
Microsoft Windows 2000 SP 4
Microsoft Windows 2000 SP 4
Microsoft Windows XP SP 2
Microsoft Windows XP SP 3
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional x64 Edition SP 2
Microsoft Windows Server 2003 SP 1
Microsoft Windows Server 2003 SP 2
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 x64 Edition SP 2
Microsoft Windows Server 2003 SP1 (Itaniumベースのシステム)
Microsoft Windows Server 2003 SP2 (Itaniumベースのシステム)

<詳細>
Microsoft DirectShowは、Microsoftのストリーミング・メディア用設計でマ
ルチメディアストリームのキャプチャーと再生機能を提供する。しかし、細工
されたMJPEGファイルの処理に脆弱性がある。この問題の原因は、細工された
MJPEGファイルを解凍するときに生じるエラーにある。悪用が実現すると、任
意のコード実行につながるおそれがある。この攻撃を実行するには、不正形式
のMJPEGファイルを開くよう、もしくはWebサイトにある細工されたストリーミ
ングコンテンツを受信するようユーザーを誘い込む必要がある。もう一つの攻
撃手法は、メール添付の形で不正形式のMJEPGファイルが組み込まれたメディ
アファイルを送信し、ユーザーにファイルを開かせる方法だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoft のセキュリティ警告(MS09-011)
http://www.microsoft.com/technet/security/bulletin/ms09-011.mspx
製品のホームページ
http://msdn.microsoft.com/en-us/directx/default.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/34460
────────────────

7.危険度【重大】:SAP GUI KWEdit ActiveXコントロールの"SaveDocumentAs()"
  に安全でないメソッドが存在する脆弱性

<影響のある製品>
SAP GUI 6.40 Patch 29
SAP GUI 7.10 Patch 5

<詳細>
SAP GUIは、SAP Enterprise Resource PlanningアプリのGUIである。この機能
の一部は、KWEdit ActiveXコントロールによって提供されている。しかし、こ
のコントロールによるインプットの処理に、リモートのコード実行につながる
ような脆弱性がある。問題は、KWEdit ActiveXコントロール(KWEDIT.DLL)に
"SaveDocumentAs()"という安全でないメソッドがあることにある。このメソッ
ドは、特定のロケーションにHTML文書を保存するときに使う。しかし、これが
"OpenDocument()"と組み合わせて使われると、任意のファイルのコンテンツを
開示されたり、ログオンしたユーザー権限で任意のコードを実行される可能性
がある。この脆弱性に対してベンダーが発行したパッチにより、効果的に
ActiveXコントロールにkillbit設定ができる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secunia Researchのアドバイザリ
http://secunia.com/secunia_research/2008-56/
SAPの脆弱性ノート
https://websmp130.sap-ag.de/sap/support/notes/1294913
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.sap.com/index.epx
SecurityFocus BID
http://www.securityfocus.com/bid/34384
────────────────

8.危険度【高】:EMC RepliStorにリモートのバッファオーバーフローの脆弱性

<影響のある製品>
EMC RepliStor 6.2 SP4 までのバージョン
EMC RepliStor 6.3 SP1 までのバージョン

<詳細>
EMC RepliStorは、Microsoft Windowsのプラットフォーム用にデータ回復と保
護機能を提供する。しかし、ヒープベースのバッファオーバーフローの脆弱性
に晒されている。問題は、"ctrlservice.exe"と"rep_srv.exe"サービスに生じ
るバッファオーバーフローのエラーにある。これらのサービスにTCPを介して
細工されたメッセージを送ると、リモートでこの脆弱性を引き起こすことがで
きるようになる。この攻撃を実行するには認証が必要だ。悪用されると、任意
のコード実行につながるおそれがある。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
FortiGuardのアドバイザリ(FGA-2009-13)
http://www.fortiguardcenter.com/advisory/FGA-2009-13.html
製品のホームページ
http://www.emc.com/products/detail/software/replistor.htm
SecurityFocus BID
http://www.securityfocus.com/bid/34449

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。