2008 年 11 月のセキュリティ情報(情報元のブックマーク数)
2008年11月のMicrosoftセキュリティパッチは予定通り、緊急1件、重要1件だそうです。
MSXMLはやらしいなぁ・・・・
緊急 (1)
セキュリティ情報 ID 番号 マイクロソフト セキュリティ情報 MS08-069 タイトル Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218) 概要 このセキュリティ更新プログラムは Microsoft XML コア サービスに存在するいくつかの脆弱性を解決します。これらの脆弱性の中で最も深刻な脆弱性が悪用された場合、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 最大深刻度 緊急 脆弱性の影響 リモートでコードが実行される 検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピューターに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。 影響を受けるソフトウェア Microsoft Windows. Microsoft Office. 詳細情報は、「影響を受けるソフトウェア」のセクションをご覧ください。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx重要 (1)
セキュリティ情報 ID 番号 マイクロソフト セキュリティ情報 MS08-068 タイトル SMB の脆弱性により、リモートでコードが実行される (957097) 概要 この更新プログラムは一般に公開された Microsoft Server Message Block (SMB) プロトコルに存在する脆弱性を解決します。この脆弱性により、影響を受けるコンピューターでリモートでコードが実行される可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。 最大深刻度 重要 脆弱性の影響 リモートでコードが実行される 検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピューターに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。 影響を受けるソフトウェア Microsoft Windows. 詳細情報は、「影響を受けるソフトウェア」のセクションをご覧ください。
Gimmivに対応ですか、MS08-067の対応ですかね。
あとVista Antivirus 2008という偽セキュリティ対策ソフトにも対応とのこと。
今月は、Win32/FakeSecSen および、Win32/Gimmiv に対応しています。
http://blogs.technet.com/jpsecurity/archive/2008/11/12/3151191.aspx
FakeSecSen は、最近特に問題になっている偽ウイルス対策ソフトの一つに対処しています。 今回対処したのは、Vista Antivirus 2008 と呼ばれるもので、Windows Vista の正規の機能を装って、以下の様な警告画面を表示します。ウイルスを削除していると見せかけ、逆に「偽ウイルス対策ソフト = ウイルス」に感染させられてしまいます。 この他にも、このようなソフトウェアは幾つか発見されており、Webにアクセスして突然、感染の警告が Webブラウザ内に出て、正規版の購入を勧めるような場合は、ほぼ間違いなく偽ソフトの警告だと思って良いと思います。
ぉーーぉーーーTRACEがなんで悪いのかわかってない人が通りますよwwww
でもサイトはほとんどTRACEをmod_rewriteで止めた人ですwwwwwww
もしかしたらHttpOnly属性を指定していたら、上記のクロスサイトトレーシング時のCookie奪取を防ぐことができるように修正されたのかもしれません。
MS08-069を適用するとHttpOnly属性でクロスサイトトレーシング攻撃からCookie奪取を防げるっぽい - うさぎ文学日記
「かもしれません」というのは、まだ検証していないので気になる方は要確認です。w
R.snakeも同じことを言われていますね>HttpOnlyが修正
I’m happy to announce that Microsoft has released MS08-069 today. It’s got a lot of changes in it, but one in particular that I’ve been tracking for about a year now. MSXML has made a change so that HTTPOnly cookies cannot be read by XMLHTTPRequest within IE. Why is that good? It makes it so that JavaScript can no longer steal cookies that try to protect themselves. That’s a good thing.
http://ha.ckers.org/blog/20081111/httponly-fix-in-msxml/
既に、Full-disclosureMLでPoCも出てたんですねぇ・・・
セキュリティ関係のメーリングリスト「full-disclosure ML」で報告された脆弱性で、内容としては「IE6を競合状態に陥らせ、ハングアップさせることができる」というものだ。脆弱性としては、2007年から知られていた既知のものとなっている。
11月のマイクロソフトセキュリティ更新を確認する
競合状態とは、簡単に言えば、複数の作業を実行しようとしたときにお互いに誤った依存状態となってしまうことだ。この脆弱性の場合には、10〜1000個の要素でネストされるXMLファイルを0.05〜0.1秒程度の間隔で読み込み、Internet Explorer(IE)上でインラインフレームを連続して続けようとすると、複数の読み込み作業が同じワークエリアを参照・変更してしまい、IEがハングアップに陥るという。
今回、このIEがハングアップする際にリモートコード実行の可能性があるとして、深刻度が最も高い「緊急」と判定された。
今回のSMBな脆弱性は2000年のバグ報告が一番初めで修正に7年もかかったとの事。
Microsoft's light sprinkling of patches yesterday includes a fix that reportedly goes back seven years or more.
MS patch Tuesday includes fix for seven-year old itch • The Register
Flaws in the NTLM Authentication flaw that's the subject of the patch were demonstrated at Defcon as far back as 2000, by Christian Rioux of Veracode (AKA dildog), according to BugTraq postings.
MS patch Tuesday includes fix for seven-year old itch • The Register
関連URL
- 日本のセキュリティチーム (Japan Security Team) : 2008年11月のセキュリティリリース & Vista Antivirus 2008 (偽)
- Security Vulnerability Research & Defense : MS08-068: SMB credential reflection defense
- US-CERT Technical Cyber Security Alert TA08-316A -- Microsoft Updates for Multiple Vulnerabilities
- US-CERT Current Activity
- MS08-069[緊急]:Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS08-068[重要]:SMB の脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- Microsoft Windows SMB Authentication Credential Replay Vulnerability - Secunia Advisories - Vulnerability Intelligence - Secunia.com
- 「緊急」と「重要」レベルの2本:MS、2件の月例パッチ公開、WindowsとOfficeの脆弱性に対処 - ITmedia エンタープライズ
- マイクロソフトが11月の月例パッチをリリース - Zero Day - ZDNet Japan
- マイクロソフトが11月の月例パッチ公開、“緊急”を含む2件
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS08-068,069)(11/12)
- マイクロソフトが11月の月例パッチ公開、“緊急”を含む2件
- Microsoftの11月定例アップデート、遠隔コード実行対策の「緊急」1件と「重要」1件 | 情報・通信 | nikkei BPnet 〈日経BPネット〉
- マイクロソフト、「緊急」レベルを含む11月の月例パッチを公開 : Microsoftウォッチ - Computerworld.jp
- JVNTA08-316A: Microsoft 製品における複数の脆弱性に対するアップデート
- WindowsやOfficeに「緊急」の脆弱性、Webアクセスで被害の恐れ:ITpro
- 「悪意ソフトの削除ツール」が偽セキュリティソフトの駆除に対応
- WindowsやOfficeに「緊急」の脆弱性、Webアクセスで被害の恐れ:ニュース
- November Microsoft Security Bulletin
- Patch Tuesday a fairly minor one for Microsoft
- Microsoft Updates for November - PandaLabs
- 【レポート】新規に2件のセキュリティ情報を公開 - 2008年11月のMicrosoftセキュリティ情報 | パソコン | マイコミジャーナル
- SecuriTeam - Vulnerability in SMB Allows Code Execution (MS08-068)
- SecuriTeam - Vulnerabilities in Microsoft XML Core Services Allow Code Execution (MS08-069)