2009 年 9 月のセキュリティ情報(情報元のブックマーク数)
2009年09月度のMicrosoftのパッチが出ています。予定通り5件でIISの脆弱性に関するパッチはありません。
ただし、TCPのZeroWindowサイズでDoSを受ける物は厳しい、外部公開Webとか影響をもろに受けそうな予感。
ということで、Windowsだけでなく他にも影響ありとのこと。→ CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響 - ITmedia エンタープライズ(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★
いつものように、はてなキーワード作成済み
http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx
セキュリティ情報 ID 番号 タイトルおよび概要 最大深刻度および脆弱性の影響 再起動情報 影響を受けるソフトウェア MS09-045 JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)
このセキュリティ更新プログラムは、非公開で報告された JScript スクリプト エンジンに存在する脆弱性を解決します。この脆弱性により、ユーザーが特別な細工がされたファイルを開いた場合、または特別な細工がされた Web サイトを訪問し、不正な形式のスクリプトを呼び出した場合、リモートでコードが実行される可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される再起動が必要な場合あり Microsoft Windows MS09-049 ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710)
このセキュリティ更新プログラムは、非公開で報告されたワイヤレス LAN 自動構成 (WLAN AutoConfig) サービスの脆弱性を解決します。 この脆弱性によりで、ワイヤレス ネットワーク インターフェイスが有効にされているクライアントまたはサーバーが特別な細工がされたワイヤレス フレームを受信した受け取った場合、リモートでコードが実行される可能性があります。 無線 LAN カードが有効でないコンピューターはこの脆弱性による危険にはさらされません。緊急
リモートでコードが実行される要再起動 Microsoft Windows MS09-047 Windows Media Format の脆弱性により、リモートでコードが実行される (973812)
このセキュリティ更新プログラムは、非公開で報告された Windows Media Format に存在する 2 件の脆弱性を解決します。いずれの脆弱性についても、特別に細工されたメディア ファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があります。 ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される再起動が必要な場合あり Microsoft Windows MS09-048 Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723)
このセキュリティ更新プログラムは、伝送制御プロトコル/インターネット プロトコル (TCP/IP) の処理に存在する非公開で報告されたいくつかの脆弱性を解決します。この脆弱性で、攻撃者が特別に細工された TCP/IP パケットをネットワーク上で、リスニング サービスが含まれているコンピューターに送信した場合、リモートでコードが実行される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部からの攻撃を防ぎ、ネットワークを保護することができます。インターネットに接続したシステムについては、最善策として最低限の数のポートしか開かないようにすることを推奨します。緊急
リモートでコードが実行される要再起動 Microsoft Windows MS09-046 DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (956844)
このセキュリティ更新プログラムは非公開で報告された DHTML 編集コンポーネントの ActiveX コントロールに存在する脆弱性を解決します。攻撃者は特別な細工がされた Web ページを作成し、この脆弱性を悪用する可能性があります。 この脆弱性では、ユーザーが Web ページを表示すると、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ログオンしたユーザーと同じユーザー権限を取得する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される再起動が必要な場合あり Microsoft Windows
アリス・キャロル ファンクラブ?
MS09-045 で説明している問題について報告してくださった Zero Day Initiative に協力している team509 の Wushi 氏
http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx
MS09-046 で説明している問題について報告してくださった Google Inc. の Tavis Ormandy 氏
MS09-047 で説明している問題について報告してくださった NGS Software の Peter Winter-Smith 氏
MS09-047 で説明している問題について報告してくださったアリス・キャロル ファンクラブの野口博司氏
MS09-048 で説明している問題について報告してくださった Outpost24 の Jack C. Louis 氏
MS09-048 で説明している問題について報告してくださった Recurity Labs GmbH の Felix Lindner 氏
この2つは危険だなぁ・・・・かなり危険。
MS09-048 (TCP):
2009年9月9日のセキュリティ情報 – 日本のセキュリティチーム
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されていません。
MS09-049 (Winreless LAN):
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。
色々書かれていますねぇ。やっぱりTCPのやつは、危険っぽいなぁ。
Information about MS09-048
Next up is MS09-048 addressing vulnerabilities in the TCP/IP stack implementation. To hit the vulnerable code, an attacker must flood a victim with specially-crafted TCP/IP packets inducing one of two denial-of-service outcomes:
- System runs out of non-paged pool memory (CVE-2008-4609 and CVE-2009-1926)
- System incorrectly handles the hash value of a connection, crashing in kernel-mode code leading to a reboot / blue-screen-of-death (CVE-2009-1925)
Assessing the risk of the September Critical security bulletins – Security Research & Defense
CVE-2009-1925 is rated Critical because the attacker is forcing the system to call into a random kernel address. However, based on our research, the attacker does not have sufficient control of the address to reliably achieve code execution. You can read all about it in Mark Wodrich’s blog post here. The exploitability rating of this issue is “2.”
CVE-2008-4609 is the most likely issue from MS09-048 to be further researched as it was a coordinated release between multiple companies having the same vulnerability. Cisco is planning a 10am advisory release this morning as well. Check http://www.cisco.com/en/US/products/products_security_advisories_listing.html#advisory for more information from them.
VistaのWireless Networking リクエストで細工されたフレームを送ることでwlansvcのサービスが停止するそうです。
実行するにはトリッキーなことが必要とのことだが・・・
Information about MS09-049
Assessing the risk of the September Critical security bulletins – Security Research & Defense
MS09-049 addresses an issue with the way Windows Vista handles Wireless networking requests. An attacker able to send malformed wireless frames can cause the Windows Vista user-mode service (wlansvc) to crash. This will be tricky to exploit due to Windows Vista’s hardened heap manager. Attacks will most likely crash the service, disrupting the ability to browse for (or automatically connect to) new networks. If already associated to a network, the machine will remain connected. Attacks will not cause the machine to reboot. The community will likely discover the vulnerability; however the Windows Vista heap mitigations will make it difficult to reliably exploit.
Thanks Mark Wodrich for your analysis of the TCP/IP and Wireless issues that went into this blog post. Big thanks also to the reviewers who re-shaped this post making it much better than my original: Damian Hasse, Andrew Roths, Greg Wroblewski, Robert Hensing, and Gavin Thomas from the MSRC Engineering team; Mike Reavey from MSRC Operations.
Jscriptエンジンの脆弱性(MS09-045)は最優先で導入推奨らしい。
このうちMicrosoftが最優先で導入することを奨励しているのが、JScriptスクリプトエンジンの脆弱性に対処した「MS09-045」と、Windows Media Formatの脆弱性に対処した「MS09-047」の更新プログラム。いずれも悪用コードを仕込んだWebページを使って攻撃される恐れがあり、安定した悪用コードが作成される可能性も高くなっている。
「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ
2件ともサポート対象のほぼ全OSが影響を受け、「MS09-047」の脆弱性は細工を施したASFファイルやMP3ファイルを使って悪用される恐れもある。
一方、「MS09-048」で対処したTCP/IPの脆弱性と、「MS09-049」で対処した無線LAN自動構成サービスの脆弱性は、ネットワーク経由でリモートからのコード実行やDoS攻撃に利用される恐れがある。
MS09-048のTCP/IPの脆弱性はWindows2000は超危険らしい、パッチを出せないアーキテクチャらしいです!!!!これ超重要かも。
「MS09-048」のTCP/IPの脆弱性は3件あり、うち1件はWindows VistaとWindows Server 2008が深刻な影響を受ける。残る2件のDoSの脆弱性は、Windows 2000 SP4、Windows Server 2003、Windows Vista、Windows Server 2008が影響を受けるが、Windows 2000についてはこの問題を解決する更新プログラムの提供を見送った。
「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ
その理由としてMicrosoftは、Windows 2000にはTCP/IPの保護を適切にサポートするアーキテクチャが存在しないため、脆弱性排除のための更新プログラムを作成するのが極めて難しいと説明。Windows Server 2003または2008にアップグレードできないユーザーは、ネットワークを注意深く監視し、ファイアウォールのベストプラクティスに従って守りを固める必要があると助言している。
SANSの判定では、どれもCriticalでPATCH NOWではないなぁ・・・
Overview of the September 2009 Microsoft patches and their status.
http://isc.sans.org/diary.html?storyid=7099&rss
もしかしたら、CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響 - ITmedia エンタープライズ(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★がMS09-048に関係するかも・・・
JPCERT/CCからも情報が出ていますが、Cisco,RedHatも影響を受けるとのことです・・・Linux系BSD系も影響を受けると考えたほうがよさそうですね、アプライアンス製品の対応が怖いなぁ…(Masaさん情報ありがとうございます)
複数のネットワーク機器や OS などは本脆弱性の影響を受けます。既に一部 のベンダ(Cisco 社、Microsoft 社、Redhat 社など)より、本脆弱性に関する 情報が公開されています。また、今後これらの製品以外でも影響を受ける製品 が増えることが予想されます。 詳細に関しましては、以下の文書を参照してください。また、これらの文書 に記載されていない製品やシステムについては、各ベンダにお問い合わせくだ さい。
http://www.jpcert.or.jp/at/2009/at090019.txt
これは厳しい・・・・ルータ、FireWall、IDS、IPS、VPN装置などインターネット側に置く設備は多々あるが、全部対応は難しくないか???
2009年9月9日現在、 JPCERT/CC ではこの問題を利用した実際の攻撃を確認 しておりません。しかしながら、既に本脆弱性を用いてサービス不能攻撃を行 うツールが公開されているため、特に外部からアクセス可能なシステムについ ては、早急に更新プログラムを適用する、もしくは回避策を実施することを推 奨いたします。
http://www.jpcert.or.jp/at/2009/at090019.txt
今月のワンポイントセキュリティ情報が出ていますねぇ。先月からSilverlightによる放映になったんだっけな。
9月のワンポイント セキュリティ情報を公開しました。
2009年9月のワンポイントセキュリティ – 日本のセキュリティチーム
以下の画像をクリックすると再生が始まります。
というか、Microsoftさん、FireWall自体も子の脆弱性を受ける可能性があるんですよねぇ・・・・
また、ファイアウォールを使用することと、ディレクトリ作成へのアクセスを制限することも推奨する。FTP Serviceのバージョン6.0がインストールされた『IIS 7.0』を使用しているIT管理者は、FTP Serviceのバージョンを7.5にアップグレードすべきだ」(Greenbaum氏)
MS、9月の月例パッチを公開--緊急レベルのWindows脆弱性に対応 - ZDNet Japan
Windows2000のTCP/IPの脆弱性が対応できなかった件の話
提供が見送られたのは、Windows 2000 Server SP(Service Pack)4向けの月例パッチ。同社では見送った理由を「パッチの作成が困難なため」と説明している。
http://www.computerworld.jp/topics/vs/161429.html
パッチ提供が見送られたということは、換言すれば、Windows 2000 Server SP4のユーザーは攻撃に対して脆弱な状態で放置されたということだ。Windows 2000 Server SP4のサポートは2010年7月で終了となるが、それまではセキュリティ・アップデートが提供されることになっている。
「実におかしな話だ。Microsoftはいまだかつて、こんなことをしたことはない」と、セキュリティ企業Shavlik Technologiesでセキュリティ&データ担当チーム・マネジャーを務めるジェイソン・ミラー(Jason Miller)氏は憤慨する。
ミラー氏が怒りの矛先を向けているのは、WindowsのTCP/IP実装に関する3件の脆弱性を修正するセキュリティ・アップデート「MS09-048」についてだ。3件の脆弱性のうち、深刻度が「緊急(Critical)」に分類されていた1件については、Windows Vistaと同Server 2008では修正されたが、Windows 2000 Server SP4向けの修正パッチは提供されなかった。
Windows2000がやっぱり、たくさん残ってるんでしょうねぇ・・・
「アプリケーションがWindows 2000にしか対応していないという理由で、新版への移行を見送っている企業も少なくない。そうした企業にとっては、かなり厄介な状況だ」(ミラー氏)
http://www.computerworld.jp/topics/vs/161429.html
いずれにせよ、TCP/IPのアップデートは直ちに適用したほうがよさそうだ。セキュリティ企業Qualysの脆弱性研究所責任者、アモール・サーワテ(Amol Sarwate)氏は、「いったん悪意のパケットを受け取ってしまったら、マシンは危険にさらされる。ポートを遮断するだけでは防御にならない」と警鐘を鳴らす。
3つの脆弱性が一つのパッチ(MS09-048)になっているってことですね。
今回公開されたのは、TCP/IP プロトコルの脆弱性で、第三者に悪用されると遠隔からサービス不能状態が引き起こされることもあるそうだ。
http://japan.internet.com/webtech/20090909/2.html?rss
また、マイクロソフトのセキュリティ情報によると、「TCP/IP のゼロ ウィンドウ サイズの脆弱性」、「TCP/IP のタイムスタンプのコードの実行の脆弱性」、「TCP/IP の孤立した接続の脆弱性」が今回明らかになった。
ってことで、昨日はiPhone 3.1/QuicktimeとMSのアップデートと、山の修正プログラムだったとw
Yesterday we saw the monthly issue of patches from Microsoft and the disclosure of a new, unpatched vulnerability in SMB. Today it is Apple’s turn to release updates to iPhone OS and Quicktime. From the iPhone to Windows 7, password loss to remote code execution, there’s something for everyone in this month’s selection.
Microsoft and Apple security patches – Naked Security
ぉーーーそこまで訳したのか!>JPCERT
Hiroshi Noguchi of Alice Carroll fan club
http://www.securityfocus.com/bid/36228
ちなみに同日、マイクロソフト製品以外にも、TCP/IP通信機能に関する脆弱性が見つかっているとして、セキュリティ組織などは警告している。例えば、米シスコシステムズのソフトウエアにも同様の脆弱性が存在するという。
ログインしてください:日経 xTECH(クロステック)
小野寺さんも苦渋の選択だったことだろう。
ただし(4)の脆弱性については、Windows 2000が影響を受けるものの、Windows 2000用のパッチは提供しない。今後提供する予定もない。理由は、Windows 2000の互換性を維持するためだという。
ログインしてください:日経 xTECH(クロステック)
「今回の脆弱性に対処しようとすると、Windows 2000の基幹部分を大幅に作り直すことになる。そうなると、今まで稼働していたアプリケーションが動かなくなるといった、互換性の問題が生じると予想される。今回のケースでは、脆弱性の危険度と互換性の問題を考慮した結果、互換性の問題の方が重要だと判断し、パッチを適用しないことにした」(小野寺氏)。
マイクロソフトでは、サポート対象製品のパッチはすべて提供することがポリシーなので、今回のような判断はまれ。同様の判断を下したのは、過去に1度しかないという。
追加があったみたい。
http://www.cyberpolice.go.jp/important/2009/20090911_104714.html
- 平成21年9月11日 「2 脆弱性を有するソフトウェア」の「上記(4)の脆弱性」に「Windows XP Service Pack 2 および Windows XP Service Pack 3」と「Windows XP Professional x64 Edition Service Pack 2」を追加しました。
続いてXP SP2/SP3のパッチも提供なしだそうです・・・侵害しにくいというのがキーみたい。
米Microsoftは9月8日に公開した月例セキュリティ情報のうち、TCP/IPの脆弱性について記載した「MS09-048」の内容を改訂し、Windows XP SP2/3に存在するサービス妨害(DoS)の脆弱性を解決するパッチは提供しないと表明した。
Windows XPのTCP/IP問題には対処せず、Microsoftが表明 - ITmedia エンタープライズ
改訂後のセキュリティ情報「MS09-048」によると、Windows XP SP2/3には、TCP/IPに関する3件の脆弱性のうち2件について、DoSの脆弱性が存在する。この問題はデフォルトの状態では影響を受けず、深刻度は4段階で最も低い「注意」レベルとしているが、企業では設定によって脆弱性が生じることがあるという。
この脆弱性を突くDoS攻撃を受けた場合、メモリが消費されてシステムが反応しなくなる恐れがある。しかし攻撃を成功させるためには細工を施した大量のTCPパケットを持続的に送り続ける必要があること、この大量送信が止まればシステムは復旧することから、危険度は低いと判断し、更新プログラムの公開を見送ったとしている。
Calendar of Updates: Windows, Security Updates and Software Help
www.calendarofupdates.com
関連URL
- 2009 年 9 月のセキュリティ情報
- TechNet Web キャスト : 今月のワンポイント セキュリティ情報 | TechNet
- 日本のセキュリティチーム (Japan Security Team) : 2009年9月9日のセキュリティ情報
- Security Research & Defense : Assessing the risk of the September Critical security bulletins
- Security Research & Defense : MS09-048: TCP/IP vulnerabilities
- マイクロソフト セキュリティ情報 MS09-049 - 緊急 : ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710)
- マイクロソフト セキュリティ情報 MS09-048 - 緊急 : Windows TCP/IP の脆弱性により、リモートでコードが実行される (967723)
- マイクロソフト セキュリティ情報 MS09-047 - 緊急 : Windows Media Format の脆弱性により、リモートでコードが実行される (973812)
- マイクロソフト セキュリティ情報 MS09-046 - 緊急 : DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (956844)
- マイクロソフト セキュリティ情報 MS09-045 - 緊急 : JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)
- Microsoft Updates for September 2009 - F-Secure Weblog : News from the Lab
- 「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ
- MS09-048: Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution
- 「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ
- Microsoft September 2009 Black Tuesday Overview
- Microsoft JScript Scripting Engine Keyword Arguments Remote Code Execution Vulnerability
- Microsoft Windows TCP/IP TimeStamps Remote Code Execution Vulnerability
- ZDI-09-062: Microsoft Internet Explorer JScript arguments Invocation Memory Corruption Vulnerability Sep 08 2009 07:45PM:SecurityFocus
- MS09-048 includes fixes for TCP/IP implementation issues reported more than a year ago Sep 08 2009 07:30PM:SecurityFocus
- US-CERT Technical Cyber Security Alert TA09-251A -- Microsoft Updates for Multiple Vulnerabilities
- US-CERT Current Activity
- Microsoft releases five security bulletins for Windows
- MSが9月の月例パッチ5件を公開、TCP/IP関連の脆弱性などを修正 -INTERNET Watch
- @police-マイクロソフト社のセキュリティ修正プログラムについて(MS09-045,046,047,048,049)(9/9)
- MSが9月の月例パッチ5件を公開、TCP/IP関連の脆弱性などを修正 - Enterprise Watch
- Microsoft、9月の月例更新は「緊急」のセキュリティ情報5件 - japan.internet.com Webテクノロジー
- エフセキュアブログ : 9月のMicrosoft Updates
- JVN#62211338: Microsoft Windows におけるバッファオーバーフローの脆弱性
- JVNTA09-251A: Microsoft 製品における複数の脆弱性に対するアップデート
- TCPにDoS誘発の脆弱性、ベンダー情報の確認を - ITmedia エンタープライズ
- マイクロソフト、9月のセキュリティ情報を公開 - JScriptスクリプトエンジンの脆弱性など | パソコン | マイコミジャーナル
- MSが緊急セキュリティパッチ5件を発表、だが未解決の脆弱性3件が報告も | エンタープライズ | マイコミジャーナル
- Microsoft Windows の Windows Media Format Runtime には、特定のファイルの解析に起因するバッファオーバーフローの脆弱性が存在します。
- SecuriTeam - Microsoft Internet Explorer JScript arguments Invocation Memory Corruption
- Microsoft Windows Wireless LAN AutoConfig Frame Parsing Remote Code Execution Vulnerability
- Microsoft Windows Media Format MP3 Metadata Remote Code Execution Vulnerability
- Microsoft Windows Media Format ASF Header Invalid Free Memory Corruption Vulnerability
- Microsoft DHTML Editing Component ActiveX Control Remote Code Execution Vulnerability
- VUPEN Security Exploits - Microsoft Windows DHTML Edit ActiveX Heap Corruption PoC (MS09-046)
- 9月のマイクロソフトセキュリティ更新を確認する -INTERNET Watch
- 情報処理推進機構:情報セキュリティ:脆弱性対策:「Microsoft Windows」におけるセキュリティ上の弱点(脆弱性)の注意喚起
- September Patch Tuesday Fixes 5 Vulnerabilities; Leaves One Open
- 日本のセキュリティチーム (Japan Security Team) : 2009年9月のワンポイントセキュリティ
- VUPEN Security Exploits - Microsoft Windows JScript Engine Remote Code Execution Exploit (MS09-045)