2009 年 8 月のセキュリティ情報(情報元のブックマーク数)
連休中に出ました、8月度のセキュリティパッチ、、、それも重いよ・・・
はてなキーワードも作成済み
http://www.microsoft.com/japan/technet/security/bulletin/ms09-aug.mspx
セキュリティ情報 ID 番号 タイトルおよび概要 最大深刻度および脆弱性の影響 再起動情報 影響を受けるソフトウェア MS09-043 Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
このセキュリティ更新プログラムは、特別な細工がされた Web ページをユーザーが表示した場合、リモートでコードが実行される可能性がある Microsoft Office Web コンポーネントに存在する非公開で報告されたいくつかの脆弱性を解決します。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される再起動が必要な場合あり Microsoft Office, Microsoft Visual Studio, Microsoft ISA Server, Microsoft BizTalk Server MS09-044 リモート デスクトップ接続の脆弱性により、リモートでコードが実行される (970927)
このセキュリティ更新プログラムは、非公開で報告された Microsoft リモート デスクトップ接続に存在する 2 件の脆弱性を解決します。これらの脆弱性により、攻撃者がユーザーにターミナル サービスを悪意のある RDP サーバーに接続させた場合、またはユーザーがこの脆弱性を悪用する特別な細工がされた Web サイトを訪問した場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される要再起動 Microsoft Windows, Remote Desktop Connection Client for Mac MS09-039 WINS の脆弱性により、リモートでコードが実行される (969883)
このセキュリティ更新プログラムは 2 件の非公開で報告された Windows インターネット ネーム サービス (WINS) の脆弱性を解決します。この脆弱性は、WINS サービスを実行している影響を受けるコンピューターで、特別に細工された WINS のレプリケーション パケットをユーザーが受信した場合、リモートでコードが実行される可能性があります。既定で、WINS は影響を受けるオペレーティング システムのバージョンにインストールされません。これを手動でインストールしたお客様だけに、この問題が影響を及ぼします。緊急
リモートでコードが実行される要再起動 Microsoft Windows MS09-038 Windows Media ファイル処理における脆弱性により、リモートでコードが実行される (971557)
このセキュリティ更新プログラムは、非公開で報告された 2 件の Windows Media ファイル処理に存在する脆弱性を解決します。いずれの脆弱性も、特別に細工された AVI ファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される要再起動 Microsoft Windows MS09-037 Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
このセキュリティ更新プログラムは Microsoft Active Template Library (ATL) に存在するいくつかの非公開で報告された脆弱性を解決します。これらの脆弱性により、ユーザーが悪意のある Web サイトでホストされている特別な細工がされたコンポーネントまたはコントロールを読み込んだ場合、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される要再起動 Microsoft Windows MS09-041 ワークステーション サービスの脆弱性により、特権が昇格される (971657)
このセキュリティ更新プログラムは、非公開で報告された Windows ワークステーション サービスの脆弱性を解決します。この脆弱性で、攻撃者により特別な細工がされた RPC メッセージが作成され、そのメッセージが影響を受けるコンピューターに送信された場合、特権が昇格される可能性があります。攻撃者はこの脆弱性を悪用し、任意のコードを実行し、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。この脆弱性が悪用されるには、影響を受けるコンピューターに対して有効なログオン資格情報を所有することが攻撃者にとっての必要条件となります。匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。重要
特権の昇格要再起動 Microsoft Windows MS09-040 メッセージ キューの脆弱性により、特権が昇格される (971032)
このセキュリティ更新プログラムは、非公開で報告された Windows Message Queuing Service (MSMQ) の脆弱性を解決します。この脆弱性は、ユーザーが特別に細工された影響を受ける MSMQ サービスへの要求を受信した場合、特権の昇格が行われる可能性があります。既定で、メッセージ キューのコンポーネントはいずれの影響を受けるオペレーティング システムにもインストールされておらず、管理者特権を持つユーザーによってのみ有効にされます。メッセージ キューのコンポーネントを手動でインストールしたお客様のみがこの問題の影響を受ける可能性があります。重要
特権の昇格要再起動 Microsoft Windows MS09-036 Microsoft Windows の ASP.NET の脆弱性により、サービス拒否が起こる (970957)
このセキュリティ更新プログラムは Microsoft Windows の Microsoft .NET Framework コンポーネントに存在する非公開で報告されたサービス拒否の脆弱性を解決します。この脆弱性が悪用される可能性があるのはインターネット インフォメーション サービス (IIS) 7.0 がインストールされており、また ASP.NET が影響を受けるバージョンの Microsoft Windows で統合モードを使用するよう構成されている場合のみです。攻撃者は特別な細工がされた匿名の HTTP リクエストを作成し、これにより影響を受けるサーバーが関連するアプリケーション プールが再起動されるまで応答しなくなる可能性があります。IIS 7.0 のアプリケーション プールをクラシック モードで実行しているお客様は、この脆弱性による影響は受けません。重要
サービス拒否再起動不要 Microsoft Windows, Microsoft .NET Framework MS09-042 Telnet の脆弱性により、リモートでコードが実行される (960859)
このセキュリティ更新プログラムは Microsoft Telnet サービスに存在する一般に公開された脆弱性を解決します。この脆弱性により、攻撃者は取得した資格情報を悪用して、影響を受けるシステムに再ログオンする可能があります。その後、攻撃者はログオン ユーザーのユーザー権限と同一であるシステムのユーザー権限を取得します。最終的に、影響を受けるシステムでリモートでコードが実行される結果になります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。重要
リモートでコードが実行される要再起動 Microsoft Windows
SANS diaryによると今月はPATCH NOWはないそうです。
Microsoft August 2009 Black Tuesday Overview
InfoSec Handlers Diary Blog - Microsoft August 2009 Black Tuesday Overview
Windows統合認証を使った場合の規定がセキュアになったってことかな。それに関するセキュリティアドバイザリみたいです。
マイクロソフトは新しい機能である 「認証に対する保護の強化」 が Windows プラットフォームで利用可能となったことをお知らせします。この機能は、Windows 統合認証 (IWA) を使用して、ネットワーク接続を認証する際の資格情報の保護および処理を強化します。この更新プログラムは、資格情報の転送等の特定の攻撃から直接保護するわけではありません。しかし、「認証に対する保護の強化」をアプリケーションで明示的に利用する事ができます。このアドバイザリは、開発者およびシステム管理者に、この新たな機能と、資格情報を保護する方法について要点をお伝えするものです。
http://www.microsoft.com/japan/technet/security/advisory/973811.mspx
レジストリの変更が必要とのことですが、認証保護を強化できるとの事。
開発者はどのようにアプリケーションにこの保護テクノロジを埋め込むことができますか?
http://www.microsoft.com/japan/technet/security/advisory/973811.mspx
開発者は、次の MSDN の記事で「認証に対する保護の強化」の使用方法に関する詳細情報を確認できます: Integrated Windows Authentication with Extended Protection (英語情報)
どの様に保護機能を有効にしますか?
"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection キーを 0 に設定して保護テクノロジを有効にします。インストール後の既定では、このキーは 1 に設定され、保護が無効に設定されています。
"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel のキーを 3 に設定します。これは Windows XP および Windows Server 2003 では既定でありません。これは既存のキーで、NTLMv2 認証を有効にします。「認証に対する保護の強化」は、NTLMv1 ではなく NTLM v2 のアプリケーション プロトコルにのみ適用されます。
NTLM v2 の認証プロトコルおよびこのキーの実行に関する詳細情報は、サポート技術情報 239869 をご覧ください。
サーバー上では、サービス毎に「認証に対する保護の強化」を有効にする必要があります。次の概要では、現在利用可能な一般的なプロトコルで「認証に対する保護の強化」を有効にする方法を示しています。
あとで見るかも。
TechNet Web キャスト: 今月のワンポイント セキュリティ情報
MSRC - Microsoft Security Response Center
5 分の Web キャストで得られる情報 : 月例セキュリティ更新プログラムの概要
( 脆弱性の影響 , 再起動の有無情報 , 脆弱性の公開・悪用情報 , 既知の問題 , 悪意のあるソフトウェアの削除ツール情報 )
既に限定的な柄もこの脆弱性を悪用してDoSさせるような攻撃が出ているそうです。
MS09-036 (ASP.NET):
2009年8月12日のセキュリティ情報 – 日本のセキュリティチーム
特別な細工がされたHTTPリクエスト群を受信することで、応答不能になる可能性があります。
この脆弱性が非常に限定された範囲で悪用された事を確認しており、ASP.NETを使用しているお客様は、サービスの安定提供の為にも早期の適用をお勧めします。
セキュリティアドバイザリの話も出ていますね、Man-in-the-middleされない設定ってことか
2009年8月12日のセキュリティ情報 – 日本のセキュリティチームセキュリティ アドバイザリ (新規):
セキュリティ アドバイザリ (973811): 認証に対する保護の強化
このアドバイザリは、脆弱性に関してお知らせするものではなく、新しいセキュリティ機能を追加するための更新プログラムの提供を開始した事をお伝えするものです。
認証時に、資格情報を転送する事も出来るわけですが、信頼できないサーバーシステムが中間に存在する場合、転送により問題が起こる事もあり得ます。そのため、認証の転送に関しての安全性を確保しやすくするための追加機能を提供する事にしました。この機能は、クライアント、およびサーバーアプリケーションの双方において新機能を明示的に使用する事が必要であり、既存のシステムには影響をあたえません(逆に、効果もありません)。
2年!!!!2年も寝かしていたのか!!!
この件で驚かされるのは、この脆弱性が2年以上前にMicrosoftに報告されたものであるという点だ。
エフセキュアブログ : MS09-043
関連URL
- Security Research & Defense : MS09-039: More information about the WINS security bulletin
- Security Research & Defense : MS09-037: Why we are using CVE's already used in MS09-035
- Security Research & Defense : MS09-035: ASP.NET Denial-of-Service vulnerability
- 日本のセキュリティチーム (Japan Security Team) : 2009年8月のワンポイントセキュリティ
- August 2009 Patch Tuesday Addresses 9 MS Vulnerabilities | Trend Micro | Malware Blog
- Microsoft Active Template Library patches published out-of-band | SophosLabs blog
- US-CERT Current Activity
- 8月のMSパッチ、企業ユーザーは緊急3件の適用に留意を - ITmedia エンタープライズ
- ATLの問題でOutlookやMedia Playerも修正、マイクロソフトの8月度セキュリティ修正 - ニュース:ITpro
- MS09-041[重要]:ワークステーション サービスの脆弱性により、特権が昇格される : 投稿 : HotFix Report BBS
- MS09-042[重要]:Telnet の脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-043[緊急]:Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-044[緊急]:リモート デスクトップ接続の脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-040[重要]:メッセージ キューの脆弱性により、特権が昇格される : 投稿 : HotFix Report BBS
- MS09-039[緊急]:WINS の脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-038[緊急]:Windows Media ファイル処理における脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-037[緊急]:Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される : 投稿 : HotFix Report BBS
- MS09-036[重要]:Microsoft Windows の ASP.NET の脆弱性により、サービス拒否が起こる : 投稿 : HotFix Report BBS
- 8月のMSパッチ、企業ユーザーは緊急3件の適用に留意を - ITmedia エンタープライズ
- MSが8月の月例パッチ9件を公開、ATL使用アプリなどを修正 - Enterprise Watch
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS09-036,037,038,039,040,041,042,043,044)(8/12)
- ATLとWebコンポーネントの脆弱性は早急な対処を:8月のMSパッチが公開、緊急5件を含む計9件 - ITmedia エンタープライズ
- The latest… latest, vulnerability analysis | SophosLabs blog
- MS09-043 - F-Secure Weblog : News from the Lab
- ATLの問題でOutlookやMedia Playerも修正、マイクロソフトの8月度セキュリティ修正 | 情報・通信 | nikkei BPnet 〈日経BPネット〉
- MS Zero-day security bug was two years in the making " The Register
- ZDI-09-047: Microsoft Internet Explorer getElementsByTagName Memory Corruption Vulnerability Aug 05 2009 05:44PM:SecurityFocus
- ZDI-09-048: Microsoft Internet Explorer CSS Behavior Memory Corruption Vulnerability Aug 05 2009 05:45PM:SecurityFocus
- VUPEN Security Exploits - Microsoft Windows Message Queuing NULL Pointer PoC Exploit (MS09-040)
- VUPEN Security Exploits - Microsoft Windows AVI Chunk Integer Overflow PoC Exploit (MS09-038) #2
- VUPEN Security Exploits - Microsoft Windows AVI File Header Processing PoC Exploit (MS09-038) #1
- VUPEN Security Exploits - Microsoft Windows Remote Desktop Connection ActiveX PoC Exploit (MS09-044)
- SecuriTeam - Microsoft Windows MSMQ Privilege Escalation Vulnerability
- VUPEN Security Exploits - Microsoft Office Web Components Remote Buffer Overflow Exploit (MS09-043)
- Multiple Vendor Microsoft ATL/MFC ActiveX Type Confusion Vulnerability:Public Advisory: 08.11.09 // iDefense Labs
- Multiple Vendor Microsoft ATL/MFC ActiveX Security Bypass Vulnerability:Public Advisory: 07.28.09 // iDefense Labs
- Multiple Vendor Microsoft ATL/MFC ActiveX Information Disclosure Vulnerability:Public Advisory: 07.28.09 // iDefense Labs
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS09-028,029,030,031,032,033)(8/20) 更新
- VUPEN Security Exploits - Microsoft Windows Workstation Service Double-Free PoC Exploit (MS09-041)
- VUPEN Security Exploits - Microsoft Windows Workstation Service Invalid Free PoC Exploit (MS09-041)
- VUPEN Security Exploits - Microsoft Windows Telnet NTLM Credential Reflection Exploit (MS09-042)
- VUPEN Security Exploits - Microsoft Windows 2000 WINS Remote Integer Overflow PoC (MS09-039)