NRI Secure SANS NewsBites 日本版

Vol.5 No.2 2010年1月20日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.5 No.2 2010年1月20日発行
**********************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    【開催まであと1か月】ご検討中の方は今すぐお申込みを!

    SANS Tokyo 2010 トレーニングイベント 好評申込み受付中!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の3コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.12 No.2-3
   (原版:2010年1月8日、1月12日配信)

◆MicrosoftとAdobe セキュリティの更新をリリース(2010.1.7)
Microsoftは先日、事前通知を発行した。これはMicrosoft Windowsでのリモー
トコード実行の脆弱性に対応する。Windows 2000の脆弱性は「重大」、他のサ
ポート対象のOSについては「低」と評価されている。(延長サポート付きの
Windows 2000は、今年7月13日までサポートされるが、Windows 2000のサポー
トは、正式には2005年6月30日で終了した。) Microsoftは、Server Message
Block(SMB)プロトコルにおけるZero-Dayの欠陥について11月に報告したが、ま
だ修正をリリースしていない。
同日、AdobeはReaderとAcrobatの脆弱性に対するパッチをリリースした。この
脆弱性は、すでにかなり悪用が進んでいる。Adobeは、この両方にAutomatic
Updaterのベータ版を発行する。
http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx
http://www.scmagazineus.com/microsoft-to-release-single-patch-for-january-update/article/160845/
http://news.cnet.com/8301-27080_3-10429070-245.html
────────────────

◆2010年日付認識問題(2010.1.5)
ドイツのペイメントカードだけが、新年の日付認識の問題に直面しているとい
うわけではない。Windows Mobileを使用するスマートフォンユーザーも、2016
年日付のテキストメッセージを受信している。シマンテックのEndpoint
Protection Managerも、新年のシグネチャを期限切れと表示している。更新が
リリースされて問題が解決されるまで、新しいマルウェアのシグネチャは、
2009年12月31日付けになり、改訂番号が増えていく。影響を受けるベンダーは、
Cisco、SpamAssassinなどである。
http://isc.sans.org/diary.html?storyid=7870
http://isc.sans.org/diary.html?storyid=7873
http://www.h-online.com/security/news/item/The-year-2010-is-causing-IT-problems-895628.html
http://www.theregister.co.uk/2010/01/05/symantec_y2k10_bug/
────────────────

◆RealDVDに「ほぼ確実に違法」の判決(2010.1.11)
米国地方裁判所判事 Marilyn Patelは、アメリカ映画業協会(MPAA)は「価格操
作カルテル」を結び、DVDの暗号を解読できる製品の販売を阻止しているとい
うRealNetworksの訴えを退けた。RealNetworksは、RealDVDソフトの販売差止
めを解くよう判事を説得するために控訴した。それにより、ユーザーはDVDを
ハードドイブにコピーできるようになる。MPAAおよび他の原告は、RealNetworks
に対する訴訟を1年以上行っており、RealDVDソフトは、合法的著作権保護技術
を回避するもので、違法であると主張している。RealNetworksの訴えを退けた
Patel判事は「その損害と称するものは、DMCA(デジタルミレニアム著作権法)
により、違法であることがほぼ確実な装置を製造、販売するという決定から生
じた」と評した。米国の法体系は、消費者が合法的に購入するDVDのコピーを
作成する権利を直接対象とはしていない。それらの訴訟は、技術開発者や技術
提供者に焦点が置かれている。
http://www.wired.com/threatlevel/2010/01/judge-slams-mpaa-cartel-allegations/
────────────────

◆TSAのフルボディスキャナーにプライバシーの問題(2010.1.11)
情報公開法(FOIA)訴訟に基づき、Electronic Privacy Information Center
(EPIC)が入手した文書によると、米国運輸保安局(TSA)が現在使用している
Windows XPベースのフルボディスキャナーは、データが改ざんされる可能性が
あるという。米国国土安全保障省(DHS)のホームページによれば、それらの機
器は、イメージの印刷機能のみがONの状態で、保存や送信はできない状態になっ
ており、オフラインで稼働しているとのことで、現在、全世界約20ヶ所の空港
で使用されており、今後も主要な空港に展開される予定である。
http://www.computerworld.com/s/article/9143838/Documents_refute_TSA_privacy_claims_on_
http://www.wired.com/threatlevel/2010/01/airport-scannersbody_scanners_group_says?source=rss_security

【編集者メモ】(Pescatore)
この問題は投票機の問題にやや似ている。システムのセキュリティの検証は、
技術に対する広い信頼を得るため、公開するべきだ。

【編集者メモ】(Honan)
このようなスキャナーを使用するという提案は、ヨーロッパでも多数の問題を
提起している。プライバシーの観点からだけではない。
http://news.bbc.co.uk/2/hi/europe/8446604.stm
実際、次期EU司法委員会のViviane Redingは「市民は物ではない。人間だ。」
と述べている。
http://www.nytimes.com/aponline/2010/01/12/world/AP-EU-Privacy.html?_r=2
英国マンチェスター空港のスキャナーを試験する際、スキャナーは児童保護法
に違反する可能性があることが明らかになった。18歳未満の子供は、フルボディ
スキャンを免除されるという保証が与えられてから、試験は続行された。
http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/6933898/Full-bodyscanners-may-break-child-pornography-laws.html
http://www.guardian.co.uk/politics/2010/jan/04/new-scanners-child-porn-laws]
────────────────

◆HeartlandとVisa 和解(2010.1.8 & 9)
Heartland Payment Systemsは、Heartlandの2008年データセキュリティ侵害に
より影響を受けたVisaペイメントカード発行者に対し、最高6,000万ドル支払
う。Visaとの和解は、影響を受けたカード発行者の80%の合意が得られれば施
行される。和解条件に応じることにより、カード発行者は、Heartland とVisa
のさらなる法的責任を免除する。Heartlandは、先月American Expressとも同
様の合意に至った。首謀者と思われるAlbert Gonzalezを含み、侵害に関わっ
た数人が告訴されている。
http://www.computerworld.com/s/article/9143480/Heartland_to_pay_up_to_60M_to_Visa_over_breach?source=rss_security
http://www.v3.co.uk/v3/news/2255864/heartland-60m-settlement-visa
http://www.scmagazineus.com/heartland-settles-with-visa-funds-to-go-to-issuing-banks/article/160943/
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           ■SANS ウェブキャストシリーズ■
           2010年1月27日(水)19:30~20:30

           マルウェア発見のために最新手法
         - Advanced Methods for Finding Malware -

    スピーカー:Eric Cole(SANS Technology Institute フェロー)
            http://www.sans.org/info/51629
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2010年1月8日 Vol.9 No.2)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Linux                      1
Cross Platform                  1 (#1)
Web Application Cross Site Scripting      15
Web Application - SQL Injection         13
Web Application                 13
======================================================================
1.危険度【高】:PDF-XChange Viewerにメモリー破壊の脆弱性

<影響のある製品>
PDF-XChange Viewer 2.0.42.9

<詳細>
PDF-XChange Viewerは、Tracker Software ProductsのWindows OS向けのPDFリー
ダーである。このアプリケーションにメモリー破壊の脆弱性が発見された。細
工されたPDFファイルにより引き起こされる可能性がある。具体的な欠陥は、
"PDFXCview.exe"におけるインプット検証エラーである。さらに、脆弱なコー
ドが、デフォルトでインストールされているバンドル(例、PDF-XChange
shell extension "XCShInfo.dll"など)に存在する可能性がある。そのような
場合、悪意のあるPDFファイルを選択するか、またはマウスポインターを置く
と、脆弱性は悪用される。悪用が実現すると、攻撃者は影響のあるアプリケー
ションで、任意のコードを実行できるようになる。脆弱性に関するいくつかの
技術的詳細が公開されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secunia Research Security Advisory
http://secunia.com/secunia_research/2009-64/
PDF-XChange Viewerに関するWikipedia記事
http://en.wikipedia.org/wiki/PDF-XChange_Viewer
製品ホームページ
http://www.docu-track.com/home/prod_user/
SecurityFocus BID
http://www.securityfocus.com/bid/37582

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。