NRI Secure SANS NewsBites 日本版

Vol.4 No.43 2009年11月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.43 2009年11月5日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)

NewsBitesの編集委員会のメンバーJohn Pescatoreから、Windows 7のセキュリ
ティの重要事項についてのコメントが出ている。彼によると、「セキュリティ
の観点から見ると、Windows 7はWindows XPに比べて明確に改善されているこ
とがわかるが、企業的観点からして採算が合う前にWindows 7に移行するほど
重大なセキュリティ上の理由は見当たらない。Windowsのデスクトップセキュ
リティを最大限に改善するには、IE6のブラウザからIE8、もしくはFirefoxの
最新バージョンにすることであり、それをするためにWindows 7に移行するこ
とはない」という。
今週号には、中国のサイバーアタックに関するレポートの真価について語った
素晴らしい「ゲスト編集者メモ」もあるのでぜひご覧いただきたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.84-87
   (原版:2009年10月17日、21日、24日、28日配信)

◆中国によるサイバー上の脅威についての警告レポート (2009.10.22)

米中経済安全保障検討委員会(The US-China Economic and security Review
Commission)は今週、「中華人民共和国のサイバー戦争およびコンピュータネッ
トワークの悪用行為の実施能力(Capability of the People's Republic of
China to Conduct Cyber Warfare and Computer Network Exploitation)」と
題されたレポートを発表した。レポートによると、中国軍の戦略では敵の情報
の流れを支配することがその戦略の中核を成すという。また、中国は「長期的
かつ高度なコンピュータネットワークの悪用作戦」を行う可能性があるとも警
告されている。
http://www.scmagazineus.com/Security-report-finds-Chinese-cyberspying-threat-growing/article/156013/
http://www.uscc.gov/researchpapers/2009/NorthropGrumman_PRC_Cyber_Paper_FINAL_Approved%20Report_16Oct2009.pdf

【編集者メモ1】(米国戦略国際問題研究所委員会メンバー、Ed Giorgio)
悪魔の代弁人として言わせていただこう。無知な政策決定者がこのレポートの
要旨を読んでしまうと、以下のような考えに至るおそれがある:
1.中国には、我々と同じようなサイバー政策を有する(「情報支配」、「ネッ
  トワーク中心の戦争」など)…うんざりだ。
2. 中国には、我々と同様に諜報活動プログラムがある…またうんざり。
3. 中国では、(我々と同様)民間産業に手を伸ばして特殊な才能を持つ人間
  を獲得することができる…うんざり…
4. 中国は、ハッキングによる現状改革主義からは徐々に遠ざかっている。な
  ぜならそれは当惑の根源であるし、whitehouse.govのサイトを汚してもそれ
  によって軍事的および経済的な目的は達成することができないからである
  (中国は、その点では我々の政策に近付いている)…まあ、確かに。しかし
  わかりきったことだ。
5.ケーススタディや時系列上の流れについての記述は素晴らしいが、これらは
  単に氷山の一角にすぎないだろう。これが年間3件起きる(だろう)ことを
  示す重要な指標を全て見ると、あまり信憑性がないため今とりたてて気にす
  る必要はない。
  実際に必要なのは、我々が冷戦時に行ったこと、つまり実戦上の能力(核兵
  器やミサイルの台数、テストの件数を算出するなど)を並置してどちらが勝っ
  ているか、負けているかの「実質上の評価」を行うことだ。現在、これを測
  る尺度に関して、情報に基づいた発表を行えるのは我々の政府だけである。
  そのために政府は、たくさんの機密情報を公開していかなくてはならない。
  それが必要だと私は思う。
【編集者メモ2】(Honan)
ランド研究所(RAND) は、サイバー戦争に関する白書をこのほど発表した。こ
のトピックに興味がある人にはぜひ読んでいただきたい。
http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf
────────────────

◆欧州議会 違法なファイル共有者の接続切断についての姿勢を変える
  (2009.10.23)

欧州議会は、著作権に違反してファイルを共有している者のインターネットサー
ビスを裁判所命令なしに加盟国が切断しにくくするような電気通信法の改正条
項を取り除いた。欧州議会は以前、インターネットアクセスを基本的人権の1
つとみなしていた経緯がある。しかし今となっては違法なファイル共有行為に
対する懲罰に関する決定については、加盟国自身が決定を下せるような余裕を
与えることとなった。フランスはすでに違法なファイル共有者を最大1年間イ
ンターネット接続から外せる三振アウトの政策を導入している。
http://news.bbc.co.uk/2/hi/technology/8322308.stm
http://www.siliconrepublic.com/news/article/14225/comms/eu-in-web-u-turn-to-allow-member-states-to-ban-illegal-file-sharers

【編集者メモ】(Liston)
インターネットアクセスが「基本的人権」かどうか。私にはまだわからないが、
前述の2つの異なる姿勢が相容れないものだとも思わない。どうやら我々の司
法制度は、「基本的人権を除去する」ことを、「違法活動に対する懲罰」とみ
なす考えに縛られているようだ。
────────────────

◆米国連邦通信委員会 ネットの中立性に向けて前進 (2009.10.22)

先日、米国連邦通信委員会(FCC)は、既存のネットの中立性原則規則を体系化
するルール制定手順を開始することで全会一致した。新ルールでは、ブロード
バンドのプロバイダはボトルネックを阻止するために「適正」な通信管理を行
えるとある。しかし、プロバイダは顧客に対し、それに関するプラクティスの
内容を公表しなければならない。また、プロバイダは特定のネットワーク通信
を優遇することを禁止されるようになる。ユーザーは、正規のアプリを運用し
て正規のWebサイトにアクセスできるようになる。米国上院議員のJohn McCain
は、インターネットの自由によってFCCのルールの施行が阻止されると、結果
的に「重荷になるような連邦法」が生み出されるようになると述べている。
http://www.msnbc.msn.com/id/33430848/ns/technology_and_science-tech_and_gadgets/
http://www.pcworld.com/article/174155/mccain_introduces_bill_to_block_fccs_net_neutrality_rules.html
http://bits.blogs.nytimes.com/2009/10/22/fcc-begins-crafting-rules-on-network-neutrality/
http://voices.washingtonpost.com/posttech/2009/10/fcc_moves_forward_on_net_neutr.html
http://www.wired.com/epicenter/2009/10/fcc-net-neutrality/
http://www.pcworld.com/article/174173/what_happens_in_an_fcc_rulemaking_proceeding.html
http://www.pcworld.com/article/174173/what_happens_in_an_fcc_rulemaking_proceeding.html
────────────────

◆議会 愛国者法の特定の条項に狙いを定める (2009.10.21)

米国議会は、米国2001年愛国法の特定の条項(これらの中には、本年末に期限
切れとなるものもある)を改正する法案を提案した。改正案の中には、国家セ
キュリティレター(National Security Letters)が発行されるような事態を
制限するという案もある。国家セキュリティレターが発行されれば、FBIは裁
判所命令なしに政府の捜査に関してあらゆる情報を獲得できるようになる。ま
た、米国のテレコム企業が令状なしに通信に関するデータを収集しても起訴さ
れることがないよう免責を与える法案(愛国者法ではない法案)も無効にする
方針だ。愛国者法は、9.11同時多発テロを機にその後たった数週間で施行され
た法である。
http://www.wired.com/threatlevel/2009/10/conyers_bill/

【編集者メモ】(Liston)
まずい発想をもとにした今回の法案の多くは、否決されるべきものだ。テレコ
ム企業が令状なしで通信を傍受して政府と共謀したとしても、その行為に対し
て免責を与える案など、真っ先に消されるべきものである。
────────────────

◆サイバー窃盗犯 中小企業から合わせて4千万ドルを盗み出す(2009.10.26)

FBIによると2004年以来、東欧をベースにしていると考えられるサイバー窃盗
犯によって米国の中小企業から4,000万ドルが盗み出されているという。問題
の窃盗犯はスパムを使って、ターゲット企業のコンピュータをマルウェアに感
染させ、オンラインバンキングの証明書を盗み出し、その後上限1万ドル(こ
の上限を超えると警告が発せられてしまう)以下の金額で資金移動を行ってい
た。FBIは、「企業が脅威を把握しており、セキュリティ上の安全対策を設け
ているとしつつも、このような窃盗の傾向がある」ということを認識している。
考えられる対策としては、以下のようなものがある。
企業がオンラインバンキングの取引を行う際に、それ専用にロックされたマシ
ンを使えば、サイバー窃盗犯から自身を守ることができる。また、比較的規模
の大きな銀行は、変則的な取引パターンを検知できるアンチ詐欺技術を適用し
ている。詐欺に最も弱いとされる企業(盗まれた資金の回収が見込める確率が
最も低い企業)は、詐欺検知メカニズムがない小規模な銀行銀行を使用してい
る場合が多い。とはいえ、小規模な銀行であっても顧客を個人的によく知って
いたことからその人にはなさそう行動に警戒し、それで詐欺取引を阻止できた
ケースもあるという。
http://voices.washingtonpost.com/securityfix/2009/10/fbi_cyber_gangs_stole_40mi.html
────────────────

◆フィンランド 1メガのブロードバンドアクセスは法的権利だと宣言
  (2009.10.14-15)

フィンランド政府は、1メガ(1Mb)のブロードバンドのインターネットアクセス
を法的に制定した。2010年7月から実施される予定だ。最終的に国は、市民に
100メガ(100Mb)のブロードバンド接続の権利を保証する可能性もあるという。
フィンランドの運輸・通信省の広報Laura Vikkonenは、「我々はこの現代社会
で、インターネットなしでは生きていけないと考えている。バンキングサービ
スや水道、電気と同様、インターネットは生活において必要不可欠だ」と述べ
たと伝えられている。今年はじめ、フランスもインターネットアクセスを人権
の1つだと宣言している。
http://news.cnet.com/8301-17939_109-10374831-2.html
http://network.nationalpost.com/np/blogs/posted/archive/2009/10/15/finland-makes-broadband-internet-a-legal-right.aspx
────────────────

◆Microsoftは、大量の警告をリリース(2009.10.13-14)

Microsoftは10月13日、13のセキュリティ報告書をリリースした。報告書は、
インターネット情報サービス(IIS)内、FTP(File Transfer Protocol)サービス
のフロー、三重のサーバメッセージブロック(SMB)フローなど、計34の脆弱性
に対応している。SMBv2フロー用のエクスプロイトコードは修正プログラムが
リリースされる前にインターネットに掲示された。今回のリリースには、サポー
トされているWindowsのバージョン全てに対する修正プログラムが含まれてい
る。Windows 7に対処できる重要なパッチも2つ含まれている。この新しいOSの
正式なリリース日は10月22日だが、すでに特定の団体に対しては今夏よりリリー
スしている。
ISC:http://isc.sans.org/diary.html?storyid=7345
http://news.cnet.com/8301-27080_3-10374134-245.html
http://www.h-online.com/news/item/Microsoft-Patch-Tuesday-34-security-vulnerabilities-addressed-828128.html
http://www.scmagazineus.com/Microsoft-Patch-Tuesday-bonanza-13-fixes-for-34-flaws/article/152214/
http://www.theregister.co.uk/2009/10/14/microsoft_patch_tuesday_oct_2009/
http://www.computerworld.com/s/article/9139371/Microsoft_patches_last_major_ATL_bugs?source=rss_security
http://www.computerworld.com/s/article/9139307/Microsoft_delivers_massive_Patch_Tuesday_fixes_34_flaws?
http://www.msnbc.msn.com/id/33310782/ns/technology_and_science-security/
http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

【編集者メモ】(Schultz)
Micorosftが最初に「火曜日のパッチ」がリリースして以来、この6年間で同社
は750近くの脆弱性を含む400ほどの警告をリリースしてきた。興味深いことに、
そのうちの半分以上は、「重大」と格付けされている。これについての全コメ
ントは、blog.emagined.comに掲載中だ。
────────────────

◆ChoicePoint社 2度目のデータ侵害に対するFTCの申し立てに27万5,000ドル
  で和解(2009.10,19)

データブローカーのChoicePoint社は、2008年4月に発生したデータセキュリティ
侵害をもとに米国連邦取引委員会(FTC)が起こした申し立てに和解するために
罰金27万5,000ドルを支払うことに合意。今回の申し立てでChoicePoint社は、
先の調停で2004年に発生した侵害に関連性のある問題を解決するという合意条
件に従わなかったと追及された。この際の調停でChoicePoint社は、顧客のデー
タを保護するための総合的なサイバーセキュリティ対策を設けることを求めら
れたほか、罰金および賠償として1,500万ドルを科せられた。先の侵害では16
万人が影響を受け、少なくとも800件の身元査証詐欺事件につながるという結
果になってしまった。一方、2008年4月の侵害では、1万3,750人が影響を受け
たという。
http://www.pcworld.com/article/173902/choicepoint_to_pay_fine_for_second_data_breach.html
http://voices.washingtonpost.com/securityfix/2009/10/choicepoint_breach_exposed_137.html

【編集者メモ】 (Schultz)
データセキュリティリスクを緩和するために企業の情報テクノロジー、運営、
その他の分野において条件の変更を加えるのは、迅速に、そして簡単にできる
ようなことではない。
────────────────

◆英国のISPの実証:ファイル共有者の接続切断の提案に介在する問題を明ら
  かに(2009.10.16)

英国のインターネットサービスプロバイダ(ISP)のTalkTalk社は、ワイヤレス
接続者がいかに簡単に違法なファイルの共有者として間違って疑われてしまう
かを実演した。TalkTalk社のセキュリティ専門職者らは、ある住宅街にて23の
安全でないワイヤレス接続を見つけ出し、その所有者らの承諾を得て、楽曲の
ダウンロードに使用した。その際、ファイルは合法的にダウンロードされた。
TalkTalk社は、政府が提案した「著作権法に違反し、ファイルを共有する者の
インターネットアクセスを切断する」というプランが、無実の人間に罰を科す
結果に終わってしまう事を実演したかったようだ。これに対し、英国フォトグ
ラフィック産業協会(The British Phonographic Industry)は、接続を切断
する前にユーザーを教育していく姿勢を見せ、同協会の情報収集ツールは無実
のユーザーの接続切断を防ぐことができるくらいに高度なものであることを示
している。
http://news.bbc.co.uk/2/hi/technology/8305379.stm
http://news.zdnet.co.uk/security/0,1000000189,39812831,00.htm

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 11月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■AEのための情報セキュリティ技術基礎 <11月20日>■

       会場:野村総合研究所 木場総合センター セミナールーム

       ↓↓↓詳細&お申込みはこちら↓↓↓
    http://www.nri-secure.co.jp/seminar/2009/1120.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年10月24日 Vol.8 No.43)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                 8 (#1, #3, #4, #6, #7, #8, #9)
サードパーティのWindowsアプリ      3 (#2)
Mac OS                  1
Linux                  3
Solaris                 1
Unix                   8
クロスプラットフォーム          8 (#5)
Webアプリ - クロスサイトスクリプティング 3
Webアプリ                11
======================================================================

ここ数年を見ても、今週は、最も重大な脆弱性が多いのではないだろうか。そ
の全てがMicrosoft製品にある。
────────────────

1.危険度【重大】: Microsoft Internet Explorerにさまざまな脆弱性
  (MS09-054)

<影響のある製品>
Microsoft Internet Explorer 5.01 Service Pack 4
Microsoft Internet Explorer 6
Windows Internet Explorer 7
Windows Internet Explorer 8

<詳細>
Microsoft Internet Explorerには、リモートのコード実行につながるさまざ
まな脆弱性がある。1つ目の問題は、Internet Explorerが細工されたデータス
トリームヘッダーを処理する方法にあるエラーだ。2つ目の問題は、特定の状
況下で引数の検証が正しく行われないために引き起こされる。3つ目と4つ目の
問題は、イニシャライズされていないか、もしくは削除されたオブジェクトに
Internet Explorerがアクセスする方法にあるエラーで、これによってメモリ
崩壊が引き起こされる。脆弱性の全てはアタッカーによって細工されたWebペー
ジを介してリモートのコード実行に使用されてしまう。これらの脆弱性の技術
的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-054.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-070
http://www.zerodayinitiative.com/advisories/ZDI-09-071
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36616
http://www.securityfocus.com/bid/36620
http://www.securityfocus.com/bid/36621
http://www.securityfocus.com/bid/36622
────────────────

2.危険度【重大】: Microsoft Products GDI+にさまざまな脆弱性 (MS09-062)

<影響のある製品>
Windows XP Service Pack 2 およびWindows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
ItaniumベースのSystems用Windows Server 2003 SP2付き
Windows Vista およびWindows Vista Service Pack 1
Windows Vista x64 Edition およびWindows Vista x64 Edition Service Pack1
32-bit Systems*用Windows Server 2008
x64ベースのSystems*用Windows Server 2008
ItaniumベースのSystems用Windows Server 2008
Microsoft Internet Explorer 6 Service Pack 1
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1
2007 Microsoft Office System Service Pack 2
Microsoft Office Project 2002 Service Pack 1
Microsoft Office Visio 2002 Service Pack 2
PowerPoint Viewer 2007 Service Pack 2
Word、 ExcelおよびPowerPoint 2007ファイル形式 Service Pack x用
Microsoft Office互換パック
Microsoft Expression Web および Microsoft Expression Web 2
Microsoft Office Groove 2007および Microsoft Office Groove 2007 Service Pack 1
Microsoft Works 8.5
Microsoft Office Excel Viewer、PowerPoint Viewer 2007、PowerPoint Viewer
2007 Service Pack 1
SQL Server 2000 Reporting Services

<詳細>
GDIは、グラフィックス・デバイス・インタフェース(Graphics Device
Interface)のことで、 アプリに代わってグラフィック操作を処理する
Microsoft WindowsのOSの一部である。しかし、このGDI+には、特定のファイ
ルの処理方法にさまざまな脆弱性が確認された。WMF、PNG およびBMP 画像ファ
イルを処理する方法にInteger overflowの脆弱性がある。また、TIFFファイル
にある不正形式のグラフィックコントロールの拡張子(graphic control
extensions)を処理する方法にエラーがあり、それによって、アタッカーはメ
モリ崩壊を引き起こすことが可能になる。さらに.NET Frameworkアプリからア
クセス可能な特定のGDI+ APにもinteger overflowの脆弱性が報告されている。
さらに、Microsoft OfficeがOffice Art Property Tableを正しく解析できな
いために引き起こされるメモリ崩壊の脆弱性も確認された。これらの脆弱性の
どれかの悪用が実現すると、アタッカーは現在のユーザーの権限で任意のコー
ドを実行できるようになってしまう。設定によっては、WMFおよびEMFファイル
はまずユーザーにプロンプトすることなしに受信するとすぐ開かれてしまうお
それがある。これらの脆弱性の技術的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-062.mspx
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-09-072/
iDefense のセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=828
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=829
Secunia Research のアドバイザリ
http://secunia.com/secunia_research/2008-37/
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36619
http://www.securityfocus.com/bid/36645
http://www.securityfocus.com/bid/36646
http://www.securityfocus.com/bid/36647
http://www.securityfocus.com/bid/36648
http://www.securityfocus.com/bid/36649
http://www.securityfocus.com/bid/36650
http://www.securityfocus.com/bid/36651
────────────────

3.危険度【重大】: Microsoft Active Template Library (ATL) のActiveX コ
  ントロールにさまざまな脆弱性 (MS09-060)

<影響のある製品>
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1 および2007 Microsoft Office System Service Pack 2
Microsoft Visio 2002 Viewer*
Microsoft Office Visio 2003 Viewer*
Microsoft Office Visio Viewer 2007、Microsoft Office Visio Viewer 2007
Service Pack 1および Microsoft Office Visio Viewer 2007 Service Pack 2

<詳細>
Active Template Library (ATL)はMicrosoftが開発したC++クラス一式で、こ
れを使えば Component Object Model (COM)のプログラミングをより簡単にで
きるようになる。しかし、Microsoft Visual Studio ATLには、リモートのコー
ド実行や、情報開示につながるようなさまざまな脆弱性が報告されている。1
つ目の問題は、ATLヘッダーにあるエラーで、これによってアタッカーは正し
くイニシャライズされていない変数(variant)にVariantClear()を呼び出せ
るようになってしまう。
2つ目の問題は、データストリームにあるオブジェクトのインスタンス化をの
処理方法が原因で、ATLヘッダーに生じるエラーによって引き起こされるリモー
トのコード実行の脆弱性である。これによってアタッカーは、Internet
Explorer内のキルビットなどのような特定のセキュリティポリシーを回避でき
るようになってしまうため、コードの実行さえも可能になってしまう。3つ目
の問題は、no ending NULL bytesの付いた文字列のデータを読むATLヘッダー
がいくつかが原因で生じる情報開示の脆弱性である。Webページが細工される
と、これらの脆弱性が引き起こされる。これらの脆弱性の技術的詳細のいくつ
かが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-060.mspx
製品のホームページ
http://msdn.microsoft.com/vstudio/
SecurityFocus BID's
http://www.securityfocus.com/bid/35828
http://www.securityfocus.com/bid/35830
http://www.securityfocus.com/bid/35832
────────────────

4.危険度【警告】: Microsoft Windows ATLのCOMのイニシャライズにリモート
  のコード実行の脆弱性(MS09-055)

<影響のある製品>
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Vista
Microsoft Windows Vista x64 Edition
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (Itanium)
Microsoft Windows Server 2008 R2 (x64)
Microsoft Windows Server 2008 R2 (Itanium)
32-bit 用Microsoft Windows 7
x64用Microsoft Windows 7

<詳細>
Active Template Library (ATL)はMicrosoftが開発したC++クラス一式で、こ
れを使えばComponent Object Model (COM)のプログラミングをより簡単にでき
るようになる。脆弱なMicrosoft Active Template Libraryを使用してコンパ
イルされたMicrosoft ActiveX コントロールには、コード実行の脆弱性がある。
この欠陥はATLヘッダーがデータストリームからのオブジェクトのインスタン
ス化の処理する方法にあるエラーだ。脆弱なActiveXコントロールをインスタ
ンス化するWebページが細工されると、この脆弱性が引き起こされる。悪用が
実現するとアタッカーは現在のユーザーの関連で任意のコードを実行できるよ
うになってしまう。MS09-055のMicrosoft警告には、ActiveXのキルビットに追
加でセキュリティ更新が出されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-055.mspx
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/35828
────────────────

5.危険度【重大】: Microsoft Windows SMBv2にさまざまな脆弱性 (MS09-050)

<影響のある製品>
Windows Vista, Windows Vista Service Pack 1および Windows VistaService Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1およびWindows Vista x64 Edition Service Pack 2
32-bit Systems用Windows Server 2008および32-bit Systems Service Pack 2*用 Windows Server 2008
x64ベースのSystems 用Windows Server 2008 およびx64-based Systems Service Pack 2用Windows Server 2008
Itanium-based Systems用 Windows Server 2008 およびItanium-based Systems Service Pack 2用

<詳細>
Server Message Block (SMB)は、更新としてのSMBv2が付いたMicrosoftのファ
イル共有プロトコルであるが、さまざまな脆弱性が報告されている。1つ目の
問題は、Server Message Block (SMB)プロトコルソフトウェアがSMv2パケット
を解析する際にフィールドのサニティチェックが十分に行われないために生じ
るDoSの脆弱性だ。2つ目の欠陥は、SMB Multi-Protocol Negotiate Requestパ
ケットが正しく処理できないためにSMB実装に生じるエラーだ。3つ目の問題は、
細工されたSMBパケットを正しく処理できないためにSMBに引き起こされるエラー
である。これらの脆弱性を悪用する際に認証は必要ない。これらの脆弱性の全
技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-050.mspx
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36299/
http://www.securityfocus.com/bid/36594/
http://www.securityfocus.com/bid/36595/
────────────────

6.危険度【重大】: Microsoft .NET Frameworkにさまざまな脆弱性 (MS09-061)

<影響のある製品>
Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft .NET Framework 3.x

<詳細>
Microsoft .NET frameworkには、検証できるはずのコードの検証が正しく行わ
れないために生じる脆弱性が複数ある。Microsoft.NET frameworkにあるエラー
は、もう使われていないスタックメモリへのポインタを獲得するのに.NET ア
プリケーションによって悪用されるおそれがある。.NET frameworkにある2つ
目のエラーは、悪意のある.NETアプリによって等式チェック(equilty check)
を回避するのに利用されるおそれがある。3つ目のエラーは.NET frameworkに
あるエラーで、悪意のある.NETアプリやSilverlightアプリがメモリを改変し、
最終的にコードを実行する際に悪用される。この3つの悪用のどれかが実現す
ると、アタッカーは任意のコードを実行できるようになってしまう。XAMLブラ
ウザアプリ(XBAP)やASP.NETアプリが細工される、もしくはMicrosoft.NETアプ
リに悪意があると、これらのエラーが引き起こされる。これらの脆弱性の技術
的詳細のいくつかが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-060.mspx
製品のホームページ
http://www.microsoft.com/NET/
SecurityFocus BID's
http://www.securityfocus.com/bid/36617
http://www.securityfocus.com/bid/36618
────────────────

7.危険度【重大】: Microsoft Indexing ServiceのActiveX コントロールにメ
  モリ崩壊の脆弱性(MS09-057)

<影響のある製品>
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)

<詳細>
Microsoft Indexing Serviceは、コンテンツ(テキストとプロパティ情報の両
方)をファイルから抽出するために、また、効率的でスピードの速い検索を可
能にするインデックス化されたカタログを構築して効率的でスピードの速い検
索を可能にするために使用される。しかし、このMicrosoft Indexing Service
にはリモートのコード実行の脆弱性が報告されている。この問題はIndexing
Serviceが細工されたWebコンテンツを正しく処理できないためにIndexing
Serviceに含まれているActiveXコントロールに生じる。この脆弱性の悪用が実
現するとアタッカーは、ログオンしたユーザーの関連で任意のコードを実行で
きるようになってしまう。この脆弱性の技術的詳細のいくつかが公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-057.mspx
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/36629
────────────────

8.危険度【重大】: Microsoft Windows Media Runtimeにさまざまな脆弱性
  (MS09-051)

<影響のある製品>
Microsoft DirectShow WMA Voice Codec
Microsoft Windows Media Audio Voice Decoder
Microsoft Audio Compression Manager
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Vista
Microsoft Windows Vista x64 Edition
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (x64)

<詳細>
Microsoft Windows Media Runtimeは、Windowsメディアコンテンツを使用する
アプリに情報とツールを提供するのに用いられる。しかしMicrosoft Windows
Media Runtimeには、さまざまな脆弱性が報告されている。1つ目の問題は、
Advanced Systems Format (ASF)ファイルの処理が正しく行われないために
Windows Media Runtime内に生じるメモリ崩壊のエラーである。ASFファイルが
細工されると、この脆弱性が引き起こされる。2つ目の問題は、圧縮されたオー
ディオファイルの特定の機能の処理が正しく行われないために、Windows
Media Runtimeに生じるヒープ崩壊の脆弱性である。悪意のあるメディアファ
イルが、この脆弱性を引き起こすのに利用されるという。いずれのケースにし
ても、悪用が実現すれば、影響を受けるアプリ(この場合上記のアプリ)の関
連で任意のコードを実行できるようになってしまう。これらの脆弱性の技術的
詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-051.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-069/
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36602
http://www.securityfocus.com/bid/36614
────────────────

9.危険度【重大】: Microsoft Windows Media Playerにヒープオーバーフロー
  の脆弱性(MS09-052)

<影響のある製品>
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Media Player 6.4

<詳細>
Microsoft Windows Media Runtimeは、Windowsメディアコンテンツを使用する
アプリに、情報とツールを提供するのに用いられる。しかし、Microsoft
Windows Media Runtimeには、さまざまな脆弱性が報告されている。1つ目の問
題は、Advanced Systems Format (ASF)ファイルの処理が正しく行われないた
めにWindows Media Runtime内に生じるメモリ崩壊のエラーである。ASFファイ
ルが細工されると、この脆弱性が引き起こされる。2つ目の問題は、圧縮され
たオーディオファイルの特定の機能の処理が正しく行われないために、
Windows Media Runtimeに生じるヒープ崩壊の脆弱性である。悪意のあるメディ
アファイルが、この脆弱性を引き起こすのに利用されるという。いずれのケー
スにしても、悪用が実現すれば影響を受けるアプリ(この場合上記のアプリ)
の関連で任意のコードを実行できるようになってしまう。これらの脆弱性の技
術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/MS09-051.mspx
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-069/
ベンダーのホームページ
http://www.microsoft.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/36602
http://www.securityfocus.com/bid/36614

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。