NRI Secure SANS NewsBites 日本版

Vol.5 No.17-18(合併号) 2010年5月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
               Vol.5 No.17-18(合併号) 2010年5月11日発行
**********************************************************************
■はじめに(Alan Paller:SANS Director of Research)
連邦政府のサイバーセキュリティスペース、またはFISMAの規定が適用される
組織に従事している方へ。今回最初の記事は、FISMAが策定されて以来の最大
の抜本的改訂について報じている。素早く対応するベンダーにとっては絶好の
チャンスだ。紙の報告書を作成し続けようとする事業者はおしまいだ。

ペネトレーションテストに関する最も重要なカンファレンスが、6月ボルティ
モアで開催される。機密情報へのアクセス権限があり、軍に対して積極的にペ
ンテストを行っている方は、NSA(国家安全保障局)のReBl(Red Blue)シン
ポジウムに参加していただきたい。NSAは、ペンテストと脆弱性評価に関して
最も権威のある政府情報源であり、その情報を提供するという重要な任務を担っ
てきた。トップクラスの政府研究者はReBlで、自分たちが習得した知識を提供
する。また、6月14-15日(ReBlの直前)、同都市でワークショップが開かれ、
最新鋭の技術が公に議論される。
Pen Testing Summitと称される。以下を参照。
http://www.sans.org/pen-testing-summit-2010/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    SANS Tokyo 2010 トレーニングイベント 申込み受付開始!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■2010年 7月12日(月)~17日(土)■
    SEC401 Security Essentials Bootcamp Style

   ■2010年11月15日(月)~20日(土)■
    SEC401 Security Essentials Bootcamp Style
    SEC504 Hacker Techniques, Exploits and Incident Handling

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.32-33
   (原版:2010年4月23日、4月27日配信)

◆OMBメモランダム 連邦サイバーセキュリティの新しい方向(2010.4.21)

ホワイトハウスは、政府機関のサイバーセキュリティ要件を改善するため大胆
な措置を講じており、国会議員および米国家標準技術局(NIST)は連邦情報セキュ
リティ法(FISMA)の変更を考慮している。NISTによると、法令遵守に必要な書
類作成には、1ページにつき1,400ドルのコストが必要であることが判明した。
これは大きな経済的負担である。新しい取組みとして、行政管理予算局(OMB)
からのメモにあるガイダンスは、政府機関はリアルタイムのデータを
CyberScope(国土安全保障省が管理)と称されるWebベースのゲートウェイに
送るよう義務付けている。ホワイトハウスは5月7日からトレーニングを開始す
るため、政府機関と会談を行う。2010年6月に情報提供が開始される。
http://www.nextgov.com/nextgov/ng_20100421_5175.php?oref=topstory
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=224500173&subSection=News
OMB Memo: http://www.whitehouse.gov/omb/assets/memoranda_2010/m10-15.pdf

【編集者メモ(Skoudis)
ほとんど価値のない紙ベースの作業ではなく、実用的な情報をリアルタイムで
送ることに労力が費やされるようになることはいいことだ。
────────────────

◆Google攻撃者 シングルサインオン・ソースコード盗用(2010.4.19 & 21)
内部調査情報を有する匿名の人物によると、1月に明らかにされたGoogleの社
内システムへのサイバー攻撃は、パスワードシステムを標的にしていたようで
ある。コードネームGaiaというシステムは、大多数のGoogle Webサービスへの
ユーザアクセスをコントロールしている。今や既知のものとされているシング
ルサインオンシステムにより、ユーザは一度サインインすると多数のサービス
にアクセスできる。攻撃者はユーザパスワードではなく、ソフトウェアを狙っ
ていたようである。Googleは、攻撃を受けるたびにシステムのセキュリティを
誇ってきた。攻撃者は、Microsoft Messengerを使用している中国の従業員を
通じて、Googleシステムに最初の足掛かりを作った。そこから侵入者は、同社
の開発チームが使用しているGoogleのソフトウェアレポジトリに進んだ。盗用
はGoogleに対する長期の責任問題を意味する可能性がある。
http://www.nytimes.com/2010/04/20/technology/20google.html?src=me&ref=technology
http://content.usatoday.com/communities/technologylive/post/2010/04/liability-issues-raised-over-google-gaia-system-hack-/1
────────────────

◆研究者のGSMネットワークエクスプロイト、携帯電話ユーザの機密情報引き
  出す(2010.4.22)
研究者Nick DePetrilloとDon Baileyは、GSM携帯電話ネットワークの弱点を使
用して、米国のほとんどの携帯電話ユーザの電話番号を探知、ボイスメールが
聞け、世界中ほとんどのGSM対応型デバイスの場所を追跡する方法を見つけた。
その手法はGSM発信者IDシステムを騙し、全ての携帯電話番号の仮想の電話帳
を入手する。その手法は違法ではなく、サービス契約条件にも違反しない。
DePetrilloとBaileyは、先日ボストンで行われた会議でこの結果を発表した。
http://www.theregister.co.uk/2010/04/22/gsm_info_disclosure_hack/
http://news.cnet.com/8301-27080_3-20002986-245.html

【編集者メモ】(Skoudis)
これは本当に驚くべき欠陥だ。携帯電話のセキュリティのカーテンをはぎ取る
研究者が増えれば増えるほど、ますますお粗末なのが露呈される。これらの多
くが1990年代初期から中期に展開されたとき、私はBellcoreで働いていた。当
時セキュリティは、携帯電話通話の傍受を防ぐことを目的としていたことを覚
えている。しかし、インフラは全く情報漏洩や他の攻撃を防ぐように構築され
てはいなかった。
────────────────

◆ITセキュリティの求人増加(2010.4.24)

今年初めに、Googleに対する攻撃の発覚が注目を集めたことによって、企業は
自社のサイバーセキュリティのあり方に目を向けるようになった。データ侵害
が認識されるようになったため、重要な情報資産を保護するスキルを持つ人材
の必要性に対する認識が高まっている。ある雇用市場情報会社は、サイバーセ
キュリティの求人数は、2010年最初の3ヶ月間で32,000から40,000と25%増加
したとしている。情報セキュリティ人材派遣会社は、ITセキュリティのスペシャ
リストを求める企業の数は50%増加したと述べている。限られた従業員しかい
ない企業は、適切なデータセキュリティが配備されていないことに危機感を感
じている。企業は専門的なスキルを身につけた人材、特に認証およびアクセス
管理、クラウドコンピューティングセキュリティ、フォレンジクスおよびリバー
スエンジニアリングの経験者を求めている。
http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2010/04/23/BUOJ1D2VIK.DTL

【編集者メモ】(Paller)
この記事の最終版には含まれなかったが、記事を書いたジャーナリストは、
「インタビューした求人担当者によると、セキュリティ管理の資格を有してい
る求職者は、6ヶ月、あるいはそれ以上の間、職を求めなければならなかった
し、ソフトウェアに関するスキルのある人材への需要も減った。しかし、シス
テムとネットワークの保護に必要な技術的スキルを有することを証明できる人
々の需要は、ますます高まっている」と、私に語った。
【編集者メモ】(Northcutt)
セキュリティの分野では、雇用回復の芽が芽吹いているように思われる。認証
やアクセス管理についてはよく知らないが、人々は現代のマルウェアを見つけ、
除去するインシデント対応ができる人材を探すことに必死になっていることは
知っている。
────────────────

◆米国防衛受託業者 サイバースキル増強し、新しい資金獲得目指す
  (2010.3.18)

複数の防衛関連企業は、サイバーセキュリティスキルのトレーニング、小規模
のセキュリティ会社の買収、新しい人材の雇用に投資して、新たな収益源を獲
得し、国防総省が購入した従来の兵器システムによる収益の減退を相殺する意
向のようだ。Northrup-Grumman、Lockheed-Martin、 Raytheonや、ヨーロッパ
最大の防衛受託業者BAE Systemsなど、すべてこうした戦略をとっている。
Booz Allen & Hamiltonなどのコンサルティングファームが、この新しい市場
での実質的な競争に直面している。
http://online.wsj.com/article/SB123733224282463205.html

【編集者メモ】(Paller)
新しい競争により、国防総省の受託業者が8570指令に対応して始めた「平凡な
突進」をほとんど完全に停止した。「政府提案審議会は、Security+のような
資格は、“紙のスキル”の明らかな象徴であり、新しい契約の競争には益とな
るよりも害になると見なしている」と受託業者は述べている。
────────────────

◆国連グローバルサイバー犯罪条約 合意に至らず(2010.4.23)

ロシア、中国ほか数カ国は、英国、米国、カナダ、EUとの間で、人権および主
権者の差異に関する条項を埋められなかったことから、提案されたグローバル
サイバー犯罪条約は、国連の場において否決された。サイバー犯罪の出現によ
り各国は、法執行機関に対して、地政学的国境を越えて事件を追跡する権限を
与える国際条約を求めるようになった。クラウドコンピューティングの出現に
より、そのような条約の必要性はより切実になっている。EUと米国はBudapest
Convention on Cybercrime(サイバー犯罪に関するブタペストコンベンション)
がすでに存在し、46カ国により批准されているため、新しい条約は必要がない
と主張している。その条約は、法執行当局はネットワーク所有者の許可があれ
ば、現地当局の合意を得なくても国境を越えてサーバーにアクセスすることを
許可している。
http://www.scmagazineus.com/global-cybercrime-treaty-rejected-at-un/article/168630/
────────────────

■■SANS NewsBites Vol.12 No.34-35
   (原版:2010年4月30日、5月4日配信)

◆患者記録侵害に懲役刑(2010.4.28)
元ヘルスケアシステム職員、Huping Zhouは、患者の記録を侵害したため、4か
月の懲役刑に処せられた。Zhou(中国の認定外科医)は、UCLA医学部で研究者
として働いていた。2003年、Zhouは解雇されると知った後、権限がないにもか
かわらず、患者のファイルにアクセスし始めた。ZhouはHIPAA(医療保険の携
行と責任に関する法律)に違反した者として、初めて懲役刑となった。
http://www.scmagazineus.com/health-worker-is-first-hipaa-privacy-violator-to-get-jail-time/article/168894/
http://www.nbclosangeles.com/news/local-beat/Former-UCLA-Healthcare-Worker-Sentenced-Prison-Snooping-92265634.html

【編集者メモ】(Northcutt)
これは病院の大きな問題だ。多数の職員がブリトニー・スピアーズやジョージ
・クルーニの記録にアクセスしたため、解雇せざるを得なかった事件を思い出
す。逮捕されたのはこれらの人々である。あなたが病院に勤務していて、ファ
イルのアクセスを記録するための特別に素晴らしいソリューションがあれば、
何を使用しているか教えていただけたらありがたい。(stephen@sans.edu)
────────────────

◆Pump And Dumpスキームで証券口座不正使用 8年の懲役刑判決(2010.4.27)

Jaisankar Marimuthuは、オンライン証券口座に侵入し、株価を操作したため、
約8年の懲役を宣告された。Marimuthuとその共犯者は、チェンナイとタイ郊外
でPump and Dump(風説の流布)詐欺を行った。Marimuthuは今年初め、有線通
信不正行為、セキュリティ侵害、コンピュータ不正行為および個人情報窃盗を
策略した容疑で有罪となった。さらに被害を受けた個人90人と証券会社7社に
対し、約250万ドルの損害賠償を支払うよう命じられた。Marimuthuは、昨年香
港で逮捕され、米国に送還された。共犯のThirugnanam Ramanathanは、2年の
懲役となったが、判決が下される前にインドに送還された。3番目の共犯者、
Chockalingham Ramanathanは逃亡中である。
http://www.computerworld.com/s/article/9176046/Man_gets_81_months_2.5M_fine_for_stock_scheme?taxonomyId=82
────────────────

◆英国National Cyber Security Challenge ITセキュリティ技術者の育成め
  ざす(2010.4.27 & 28)

英国は、次世代のサイバーセキュリティスペシャリストになる可能性や関心を
抱き、有能な学生を見つけ養成するため、独自のCyber Security Challengeを
設立した。同じ名称の米国のプログラムをモデルとして、そのプログラムはネッ
トワーク防衛、フォレンジクスおよびWebアプリケーションの脆弱性における
サイバーセキュリティ活動に関与する。英国は他の多くの国々のように、スキ
ルの高いITセキュリティスペシャリストの不足を痛切に感じている。
http://www.pcworld.com/businesscenter/article/195057/uk_kicks_off_program_to_recruit_security_gurus.html
http://www.zdnet.co.uk/news/jobs/2010/04/28/uk-wide-cyber-security-challenge-kicks-off-40088794/
http://cybersecuritychallenge.org.uk/site/Press
────────────────

◆財務省のWebサイト訪問者 悪意のあるサイトにリダイレクト(2010.5.3)
複数の米国財務省のWebサイトは、訪問者を他のサイトにリダイレクトし、そ
こでコンピュータにマルウェアをインストールしようとする。攻撃は、3つの
財務省のWebサイトに埋め込まれたiframeを使用し、他のサイトからスクリプ
トを呼び出す。マルウェアは、初めて財務省のWebサイトを訪問するコンピュー
タにのみ影響を及ぼす。この攻撃は、Network Solutionsにホストされている
サイトで数週間前から起こっている模様。影響を受けた財務省のサイトはすべ
てNetwork Solutionsがホストで、攻撃に使用された悪意のあるサイトは、以
前の攻撃でも使用されたサイトと同じである。
http://www.theregister.co.uk/2010/05/03/treasury_websites_attack/
【編集者メモ】(Pescatore)
政府のWebサイトのセキュリティレベルは平均より高い傾向にあるが、それは
複雑な商取引または実際のトランザクションを行う政府のWebサイトはほとん
どないためである。これらの脆弱性を探したければ、情報公開サイトで比較的
容易に発見できる。

【編集者メモ】(Paller)
財務省は、直接的にはNISTの指導に従っていた。PCIがアプリケーションセキュ
リティ試験を定めてから2年半後、DHS(国土安全保障省)のWebサイトの訪問
者のマシンが感染してから1年以上経って、NISTは800-53に適宜コントロール
を追加した。しかし、NISTは諸機関に対し、リスクの低いシステムにそのコン
トロールを適用する必要はないと述べた。訪問者のコンピュータを感染させて
いるのは、DHSと現在は財務省のリスクの低いシステムである。このエラーは、
NISTでのサイバー攻撃の基本的な理解不足を反映している。NSA、DHSおよび
NIC-JTFのみがその知識を持っている。米国議会の下院科学委員会が、NISTが
理解していない分野のセキュリティ規定を策定するよう要求し続けていること
は、国家のセキュリティが軽視されていることを明白に表しており、あきれて
しまう。
────────────────

◆中国政府 製品購入前に暗号鍵の開示要求(2010.4.29 & 30)

5月1日付で、中国の政府機関とのビジネスを継続したいと希望している特定の
製品ベンダーは、それらの製品に使用される暗号化技術の詳細を開示するよう
求められる。その規定はファイアウォール、ルーター、スマートカード、デー
タベースセキュリティツール、アンチスパム製品および侵入探知製品などの13
の技術に影響する。これらの製品が中国国内で販売可能になる前に、国家認証
認定管理委員会(CNCA)が試験し、承認されなければならない。規定により、機
密情報が中国の競合他社に漏洩するため、他国はこの種の情報を中国政府に開
示する会社との取引に慎重になる可能性が懸念される。
http://www.nytimes.com/2010/05/01/business/global/01yuan.html?src=busln
http://www.computerworld.com/s/article/9176138/New_China_encryption_rule_could_pose_headaches_for_U.S._vendors?taxonomyId=145
http://www.theregister.co.uk/2010/04/29/china_security_know_how_rules/
【編集者メモ】(Pescatore)
もちろん、米国連邦政府と多数のEU内政府には、特定の製品はNational
Infrastructure Assurance ProgramまたはCommon Criteria評価プログラム、
暗号化コードについてはFIPS 140-2に基づいて、認証されなければならないと
いう規定がある。ベンダーは試験室に、試験を行うための、すべての種類の機
密情報と実際のコードを提供しなければならない。現在、一般基準評価プログ
ラムにより、試験室は民間会社に委託されているが、政府機関に認定されてい
る。実際の違いは、世界の他のほとんどの国々は、透明性をもって「一般基準」
評価プログラムに同意している。中国は全く反対の方向に進みつつあり、ベン
ダーは多くのリスクに直面するであろう。
────────────────

◆控訴裁判所 著作権侵害容疑者の身元公開許可判決支持(2010.4.29)

第2回米国巡回控訴裁判所は、レコード業界および他のデジタル・エンターテ
インメント著作権保有者が、P2Pネットワークを使ってコンテンツを共有し著
作権を侵害していると思われるユーザの身元の公開を許可する判決を支持した。
その裁判は、ニューヨーク州立大学(SUNY)の学生によりAlbanyで起こされた。
協会がその学生に関連のあるIPアドレスに違法なファイル共有活動を検出した
と訴えた後、その学生の身元はアメリカレコード協会(RIAA)に引き渡すべき
であるという命令が下されたが、学生は判事の命令を覆そうとした。
http://www.wired.com/threatlevel/2010/04/unmasking-copyright-scofflaws/
────────────────

◆USAF eMail Security Exerciseに不測の結果(2010.4.29)

人々のフィッシングメールへの対応を研究するセキュリティ試験の一環として、
グアムのAndersen空軍基地のパイロットはTransformers 3が基地で撮影される
という電子メールを受信した。メッセージには、プロダクション会社がパイロッ
トのエキストラを探していると書かれ、個人情報を要求するサイトへのリンク
が貼られていた。メッセージ受信者の多くはWebサイトに情報を提供した。中
には映画でエキストラになることに喜ぶあまり、インターネットにその情報を
掲載するパイロットもいた。その知らせは広まり、地域のメディアの注目も集
めたため、セキュリティ試験者は、そのメッセージは試験の一環であるという
説明を送るよう追い込まれた。
http://www.computerworld.com/s/article/9176155/US_Air_Force_phishing_test_transforms_into_a_problem

【編集者メモ】(Northcutt)
これは難しい問題だ。セキュリティを認識するだけでは効果がないことは明ら
かだ。教え込み、管理された方法で実際のフィッシングを試すことだ。しかし、
それがうまくいかなかったのは今回だけではない。ある会社では、セキュリティ
部署からの相次ぐ電子メールが無視されたという事例もある。

----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年4月22日 Vol.9 No.17)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Third Party Windows Apps            5 (#3)
Linux                      3
HP-UX                      1
Solaris                     4
Cross Platform                 63 (#1, #2, #4, #5)
Web Application - Cross Site Scripting     7
Web Application - SQL Injection        11
Web Application                19
Network Device                 2
======================================================================
1.危険度【重大】:Apple Mac OS X Apple Type Servicesにコード実行の脆弱
  性 (Security Update 2010-003)
<影響を受ける製品>
Mac OS X Server 10.5
Mac OS X 10.5
Mac OS X 10.6
Mac OS X Server 10.6

<詳細>
Apple Mac OS Xにリモートのコード実行の脆弱性が特定された。その問題は埋
め込まれたフォントを処理する際のApple Type Servicesにおけるインデクシ
ングエラーによって引き起こされる。具体的な欠陥は" libFontParser.dylib"
に定義される"TType1ParsingContext::SpecialEncoding()"ルーティンに存在
する。悪意のある埋め込まれたフォントを含むドキュメントを使用して、この
脆弱性が引き起こされる可能性がある。この脆弱性に関するいくつかの技術的
詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Apple Security Advisory
http://support.apple.com/kb/HT4131
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-076/
製品ホームページ
http://www.apple.com/macosx/
SecurityFocus BID
http://www.securityfocus.com/bid/38955
────────────────

2.危険度【高】:HP Operations Manager SourceView ActiveX Controlにバッ
  ファオーバーフローの脆弱性

<影響を受ける製品>
HP Operations Manager for Windows v8.10、v8.16 with srcvw4.dll v4.0.1.1およびそれ以前
HP Operations Manager for Windows v7.5 with srcvw32.dll v2.23.28およびそれ以前

<詳細>
HP Operations Managerは、パフォーマンス統合管理コンソールで、IT管理コス
ト削減のために使用されている。バッファオーバーフローの脆弱性が
SourceView ActiveX control(HP Operations Managerのコンポーネント)に
特定されている。問題は"srcvw32.dll"または "srcvw4.dll"モジュールのバウ
ンダリエラーによって引き起こされ、攻撃者は"LoadFile()"メソドに非常に長
い引数を渡すことによりこの脆弱性を引き起こす可能性がある。悪用が実現す
ると攻撃者は影響を受けたアプリケーションを利用して、任意のコードを実行
できるようになる。脆弱性に関する技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。ユーザーは、
CLSID"366C9C52-C402-416B-862D-1464F629CA59"を使用して"kill bit"メカニ
ズムにより脆弱なコントロールを無効にすることにより、この脆弱性の影響を
軽減することができる。これは通常のアプリケーション機能に影響する可能性
があるので注意していただきたい。

<参考>
HP Security Bulletin
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02078800
CORELAN Advisory (10-027)
http://www.corelan.be:8800/index.php/forum/security-advisories/corelan-10-027-hp-operations-manager-remote-bof/
Microsoft Knowledge Base Article ("kill bit"メカニズムの説明)
http://support.microsoft.com/kb/240797
製品ホームページ
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-15-28^1745_4000_100__
SecurityFocus BID
http://www.securityfocus.com/bid/39578
────────────────

3.危険度【高】:Cisco Secure Desktop ActiveX Controlに実行可能ファイル
  ダウンロードの脆弱性

<影響を受ける製品>
Cisco Secure Desktop 3.5.841以前のバージョン

<詳細>
Cisco Secure Desktopは、VPN接続をセキュアにするアプリケーションである。
Cisco Secure Desktopに、無防備なユーザーがシステムに実行可能ファイルを
ダウンロードする可能性のある脆弱性が特定された。その問題はCiscoが署名
したActiveX control、Secure Desktop Web Install ActiveX controlのエラー
により引き起こされる。このコントロールにより、Cisco Secure Desktopをイ
ンストールする際に使用される実行可能なファイルのダウンロード署名の認証
に失敗する。攻撃者が悪意のあるWebページをコントロールして、ActiveX
controlがこの脆弱性を引き起こすように利用される可能性がある。悪用が実
現すると攻撃者は影響を受けたユーザーの権限を利用して、任意のコードを実
行できるようになる。脆弱性に関するいくらかの技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Cisco Security Advisory
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b25d01.shtml
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-10-072/
Microsoft Knowledge Base Article ("kill bit"メカニズムの説明)
http://support.microsoft.com/kb/240797
ベンダーホームページ
http://www.cisco.com/en/US/products/ps6742/tsd_products_support_series_home.html
SecurityFocus BID
http://www.securityfocus.com/bid/39478
────────────────

4.危険度【高】:RealNetworks Helix ServerおよびHelix Mobile Serverに複
  数の脆弱性

<影響を受ける製品>
Helix Server Version 11.x、12.x、13.x
Helix Mobile Server Version 11.x、12.x、13.x

<詳細>
Helix ServerおよびHelix Mobile ServerはRealNetworks.の一般的なストリー
ミングメディアサーバーである。複数の脆弱性がHelix Server およびHelix
Mobile Serverに特定されている。最初の問題は、Helix Serverが無効な
base64を処理する際のNTLM認証におけるヒープオーバーフローのエラーによっ
て引き起こされる。2番目の問題はAgentX++におけるスタックベースオーバー
フローのエラーによって引き起こされる。3番目の問題は、AgentX++における
インテジャーオーバーフローのエラーによって引き起こされる。これらの脆弱
性の悪用が実現すると、攻撃者は任意のコードを実行できるようになる。いく
つかの脆弱性に関するいくらかの技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
RealNetworks Security Update
http://www.realnetworks.com/uploadedFiles/Support/helix-support/SecurityUpdate041410HS.pdf
製品ホームページ
http://www.realnetworks.com/products/media_delivery.html
SecurityFocus BID's
http://www.securityfocus.com/bid/39561
http://www.securityfocus.com/bid/39564
http://www.securityfocus.com/bid/39490
────────────────

5.危険度【高】:Google Chromeに複数の脆弱性

<影響を受ける製品>
Google Chrome 4.1.249.1059以前のバージョン

<詳細>
Google Chrome(GoogleのWebブラウザ)はすべてのWebブラウザの内4.63%の
シェアを占める4番目に人気のあるブラウザである。Google Chromeがさまざま
なインプットを処理する方法に複数の脆弱性が報告されている。報告された脆
弱性はクロスサイトリクエストの捏造、クロスサイトスクリプティング、メモ
リー破損のエラー、クロスドメインアクセスおよび特権のエスカレーションな
どである。これらの脆弱性に関する全技術的詳細はソースコード分析を通じて
公開されている。

<現状>
ベンダーはこの問題を認めており、更新がリリースされている。

<参考>
Google Chrome Security Update
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html
Google Chromeに関するWikipedia記事
http://en.wikipedia.org/wiki/Google_Chrome
製品ホームページ
http://www.google.com/chrome
Secunia Advisory
http://secunia.com/advisories/39544/
----------------------------------------------------------------------
■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年4月29日 Vol.9 No.18)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows                    5 (#1)
Third Party Windows Apps           11 (#2)
Mac Os                     1
Linux                     2
Cross Platform                28 (#3, #4)
Web Application - Cross Site Scripting    14
Web Application - SQL Injection        25
Web Application                25
Network Device                 3

1.危険度【高】:Microsoft Windows Mediaにバッファオーバーフローの脆弱性

<影響を受ける製品>
Windows Media Service on Microsoft Windows 2000 Server Service Pack 4

<詳細>
Windows Media Service(ネットワークのライブまたはオンデマンドのコンテ
ンツをストリーミングするためのプラットフォーム)は、ユーザーが提供した
データのバウンダリチェックを適切に行わない。リモートの攻撃者は、この脆
弱性を悪用してバッファオーバーフローを引き起こし任意のコードを実行でき
るようになる。MicrosoftはMS10-025のパッチをリリースしたが、脆弱性は修
正されなかった。その後、パッチを更新し、問題は完全に解決された。

<現状>
ベンダーはこの問題を認め、更新はリリースされている。

<参考>
Microsoft Security Bulletin MS10-025:
http://www.microsoft.com/technet/security/Bulletin/MS10-025.mspx
ベンダーホームページ
http://www.microsoft.com
SecurityFocus BID
http://www.securityfocus.com/bid/39356
───────────────

2.危険度【高】:Adobe Download Managerにリモートコード実行の脆弱性

<影響を受ける製品>
Adobe ReaderおよびAcrobat 9.2以前

<詳細>
Adobe Download Manager(Adobe Reader、その他のAdobeファイルの更新のダ
ウンロードを支援する製品)は、バッファオーバーフローの脆弱性を引き起こ
す傾向にある。その脆弱性はActiveX controlに存在し、リモートで悪用でき
るようになる。ユーザーに悪意のあるサイトを訪問するよう促すことにより、
攻撃者はこの脆弱性を悪用し、現在ログインしているユーザーの権限を利用し
て、任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Adobe Security Bulletin:
http://www.adobe.com/support/security/bulletins/apsb10-02.html
Zero Day Initiative (ZDI-10-077):
http://www.zerodayinitiative.com/advisories/ZDI-10-077/
ベンダーホームページ
http://www.adobe.com
───────────────

3.危険度【高】:Google Chromeに複数の脆弱性

<影響を受ける製品>
Google Chrome 4.1.249.1059以前

<詳細>
複数の脆弱性がGoogle Chromeに特定されている。これらの脆弱性のうち3つは、
特定されないメモリ破損の脆弱性で、ChromeがHTML5メディア、フォントおよび
JavaScriptを扱う際に関連する。Googleは脆弱性に関する詳細を公開していない
が、危険度は「高」と評価されている。メモリ破損の脆弱性により、任意のコー
ドが実行される可能性があることに注意する。

<現状>
ベンダーはこの問題を認めており、更新はリリースされている。

<参考>
Google Chrome Security Fixes:
http://googlechromereleases.blogspot.com/2010/04/stable-update-bug-and-security-fixes.html
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html
ベンダーホームページ
http://www.google.com
SecurityFocus BID:
http://www.securityfocus.com/bid/39603
───────────────

4.危険度【高】:Operaにメモリ破損の脆弱性

<影響を受ける製品>
Opera 10.x

<詳細>
JavaScript method documentを使用するページに継続的に書くことにより、メ
モリ破損の脆弱性がOpera(一般的なWebブラウザ)に存在する。()を書くと、
攻撃者は現在ログインしているユーザーの権限を得て、任意のコードを実行で
きるようになる。現在ベンダーから更新はリリースされていない。

<現状>
ベンダーはこの問題を認めておらず、更新もリリースされていない。

<参考>
ベンダーホームページ
http://www.opera.com
Secunia Advisory:
http://secunia.com/advisories/39590/
======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。