PR
Hitach Incident Response Team

 2010年3月7日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Thunderbird 3.0.3リリース(2010/03/02)

 MozillaからThunderbird 3.0.3がリリースされました。バージョン3.0.3には、ぜい弱性に関する新しい修正は含まれていません。Thunderbird 3.0.2で発生したメールフォルダが表示されない場合があるという問題を修正しています。

[参考情報]

VBScriptに任意のコード実行につながるぜい弱性(2010/03/02)

 VBscriptのMsgBox関数の引数として、ヘルプ・ファイルを指定できることに関連したぜい弱性(CVE-2010-0483)です。まず、このぜい弱性の対応経緯を見てみましょう。

・2007年2月1日 発見者:ぜい弱性の発見
・2010年2月26日 発見者:ぜい弱性と検証コードの公開
・2010年2月28日 マイクロソフト:公開されたぜい弱性の存在を報告
・2010年3月1日 マイクロソフト:アドバイザリ981169を公開

 公開された検証コードの動作は次の通りです。攻撃者は、攻撃コードを埋め込んだヘルプ・ファイルを参照するWebページを用意します。次に、アクセスしてきたユーザーにF1キーを押すよう誘導します(写真1の(1))。Windowsの場合、F1キーは「ヘルプとサポートを開く」に割り当てられているため、ユーザーがF1キーを押してしまうと、攻撃コードの埋め込まれたヘルプファイルを実行してしまうことになります(写真1の(2)(3))。

写真1●ぜい弱性への攻撃の流れ(テスト用実行プログラムを起動させるヘルプ・ファイル)
[画像のクリックで拡大表示]

 2010年3月1日のアドバイザリ981169では、「F1 キーを押さない」、「Windowsヘルプへのアクセスを制限する」などの回避方法が提示されています。「Windowsヘルプへのアクセスを制限する」では、「caclsコマンド」を用いたアクセス制御リスト(ACL)の変更を提示しています(写真2)。

写真2●caclsコマンドを用いたWindowsヘルプへのアクセス制限
[画像のクリックで拡大表示]

[参考情報]

BIND 9.6.2リリース(2010/03/02)

 ドメインに存在する名前を連鎖的に入手する行為を技術的に解決するNSEC3(RFC5155)や自動再署名などのDNSSEC機能を追加したBIND 9.6の最新版BIND 9.6.2がリリースされました。なお、バージョン9.6.2では、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

VMware ESXサービス・コンソールのセキュリティ・アップデート(2010/03/03)

 VMware ESXのセキュリティ・アップデート版がリリースされました。このアップデートではnewt、nfs-utils、glib2を更新します。glib2に存在するぜい弱性(CVE-2008-4316)は、長い文字列のBase64形式から変換、Base64 形式への変換の際に、任意のコードが実行される可能性があります。 また、同時期にリリースされたvMAのセキュリティ・アップデートでは、newt、nfs-util、glib2、kpartx、libvolume-id、device-mapper-multipath、fipscheck、dbus、dbus-libs、ed、openssl、bind、expat、openssh、ntp、kernelを更新します。

[参考情報]

Apache HTTPサーバー2.2.15リリース(2010/03/06)

 Apache HTTPサーバー2.2.15がリリースされました。2.2.15では、TLS/SSLの再ネゴシエーション処理のぜい弱性(CVE-2009-3555)対策に関連して、RFC 5746をサポートしていない既存のクライアントとの接続を確保するため、mod_sslにSSLInsecureRenegotiation設定が用意されました。また、クライアント起動の再ネゴシエーション処理を制限するための処理が追加されています。そのほかに、mod_proxy_ajpに存在するサービス不能につながるぜい弱性(CVE-2010-0408)、Windows版mod_isapiに存在する任意のコード実行につながるメモリー破損のぜい弱性(CVE-2010-0425)、ap_read_requestに存在する情報漏えいにつながるぜい弱性(CVE-2010-0434)を解決しています。

[参考情報]

Cyber Security Bulletin SB10-060(2010/03/01)

 2月22日の週に報告されたぜい弱性の中からシマンテックのウイルス対策製品のぜい弱性を取り上げます(Vulnerability Summary for the Week of February 22, 2010)。

■シマンテックのウイルス対策製品に複数のぜい弱性(2010/02/17)

 シマンテックのウイルス対策製品に複数のぜい弱性が報告されています。

 Symantec AntiVirus、Symantec Client Securityには、Tamper protectionが無効になっている場合に、ファイル・アクセスを妨げられる状況が発生し、結果としてオンデマンドのスキャンが動作しないというサービス不能につながるぜい弱性(CVE-2010-0106)が存在します。

 N360、Norton Internet Security、Norton AntiVirus、Norton SystemWorks、Norton Confidential、Symantec Client SecurityのActiveXコントロール(SYMLTCOM.dll)には、サービス不能あるいは、任意のコード実行につながるバッファ・オーバーフローのぜい弱性(CVE-2010-0107)が存在します。

 Symantec AntiVirus、Symantec Client SecurityのSymantec Client ProxyのActiveXコントロール(CLIproxy.dll)には、任意のコード実行につながるバッファ・オーバーフローのぜい弱性(CVE-2010-0108)が存在します。

[参考情報]
寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。