2008 年 11 月のセキュリティ情報(情報元のブックマーク数)

IT セキュリティ MS

2008年11月のMicrosoftセキュリティパッチは予定通り、緊急1件、重要1件だそうです。

MSXMLはやらしいなぁ・・・・

緊急 (1)

セキュリティ情報 ID 番号 マイクロソフト セキュリティ情報 MS08-069
タイトル Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)
概要 このセキュリティ更新プログラムは Microsoft XML コア サービスに存在するいくつかの脆弱性を解決します。これらの脆弱性の中で最も深刻な脆弱性が悪用された場合、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
最大深刻度 緊急
脆弱性の影響 リモートでコードが実行される
検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピューターに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要な場合があります。
影響を受けるソフトウェア Microsoft Windows. Microsoft Office. 詳細情報は、「影響を受けるソフトウェア」のセクションをご覧ください。

重要 (1)

セキュリティ情報 ID 番号 マイクロソフト セキュリティ情報 MS08-068
タイトル SMB の脆弱性により、リモートでコードが実行される (957097)
概要 この更新プログラムは一般に公開された Microsoft Server Message Block (SMB) プロトコルに存在する脆弱性を解決します。この脆弱性により、影響を受けるコンピューターでリモートでコードが実行される可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
最大深刻度 重要
脆弱性の影響 リモートでコードが実行される
検出 Microsoft Baseline Security Analyzer は、この更新プログラムがご使用のコンピューターに必要であるかについて検出できます。このセキュリティ更新プログラムは再起動が必要です。
影響を受けるソフトウェア Microsoft Windows. 詳細情報は、「影響を受けるソフトウェア」のセクションをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx

Gimmivに対応ですか、MS08-067の対応ですかね。

あとVista Antivirus 2008という偽セキュリティ対策ソフトにも対応とのこと。

今月は、Win32/FakeSecSen および、Win32/Gimmiv に対応しています。
FakeSecSen は、最近特に問題になっている偽ウイルス対策ソフトの一つに対処しています。 今回対処したのは、Vista Antivirus 2008 と呼ばれるもので、Windows Vista の正規の機能を装って、以下の様な警告画面を表示します。ウイルスを削除していると見せかけ、逆に「偽ウイルス対策ソフト = ウイルス」に感染させられてしまいます。 この他にも、このようなソフトウェアは幾つか発見されており、Webにアクセスして突然、感染の警告が Webブラウザ内に出て、正規版の購入を勧めるような場合は、ほぼ間違いなく偽ソフトの警告だと思って良いと思います。

http://blogs.technet.com/jpsecurity/archive/2008/11/12/3151191.aspx

ぉーーぉーーーTRACEがなんで悪いのかわかってない人が通りますよwwww

でもサイトはほとんどTRACEをmod_rewriteで止めた人ですwwwwwww

もしかしたらHttpOnly属性を指定していたら、上記のクロスサイトトレーシング時のCookie奪取を防ぐことができるように修正されたのかもしれません。

「かもしれません」というのは、まだ検証していないので気になる方は要確認です。w

MS08-069を適用するとHttpOnly属性でクロスサイトトレーシング攻撃からCookie奪取を防げるっぽい - うさぎ文学日記

R.snakeも同じことを言われていますね>HttpOnlyが修正

I’m happy to announce that Microsoft has released MS08-069 today. It’s got a lot of changes in it, but one in particular that I’ve been tracking for about a year now. MSXML has made a change so that HTTPOnly cookies cannot be read by XMLHTTPRequest within IE. Why is that good? It makes it so that JavaScript can no longer steal cookies that try to protect themselves. That’s a good thing.

http://ha.ckers.org/blog/20081111/httponly-fix-in-msxml/

既に、Full-disclosureMLでPoCも出てたんですねぇ・・・

セキュリティ関係のメーリングリスト「full-disclosure ML」で報告された脆弱性で、内容としては「IE6を競合状態に陥らせ、ハングアップさせることができる」というものだ。脆弱性としては、2007年から知られていた既知のものとなっている。

 競合状態とは、簡単に言えば、複数の作業を実行しようとしたときにお互いに誤った依存状態となってしまうことだ。この脆弱性の場合には、10〜1000個の要素でネストされるXMLファイルを0.05〜0.1秒程度の間隔で読み込み、Internet ExplorerIE)上でインラインフレームを連続して続けようとすると、複数の読み込み作業が同じワークエリアを参照・変更してしまい、IEがハングアップに陥るという。

 今回、このIEがハングアップする際にリモートコード実行の可能性があるとして、深刻度が最も高い「緊急」と判定された。

11月のマイクロソフトセキュリティ更新を確認する

今回のSMBな脆弱性は2000年のバグ報告が一番初めで修正に7年もかかったとの事。

Microsoft's light sprinkling of patches yesterday includes a fix that reportedly goes back seven years or more.

MS patch Tuesday includes fix for seven-year old itch • The Register

Flaws in the NTLM Authentication flaw that's the subject of the patch were demonstrated at Defcon as far back as 2000, by Christian Rioux of Veracode (AKA dildog), according to BugTraq postings.

MS patch Tuesday includes fix for seven-year old itch • The Register

関連URL

screenshot