2009 年 9 月のセキュリティ情報(情報元のブックマーク数)

2009年09月度のMicrosoftのパッチが出ています。予定通り5件でIIS脆弱性に関するパッチはありません。

ただし、TCPのZeroWindowサイズでDoSを受ける物は厳しい、外部公開Webとか影響をもろに受けそうな予感。

ということで、Windowsだけでなく他にも影響ありとのこと。→ CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響 - ITmedia エンタープライズ(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★

いつものように、はてなキーワード作成済み

セキュリティ情報 ID 番号 タイトルおよび概要 最大深刻度および脆弱性の影響 再起動情報 影響を受けるソフトウェア
MS09-045 JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)
このセキュリティ更新プログラムは、非公開で報告された JScript スクリプト エンジンに存在する脆弱性を解決します。この脆弱性により、ユーザーが特別な細工がされたファイルを開いた場合、または特別な細工がされた Web サイトを訪問し、不正な形式のスクリプトを呼び出した場合、リモートでコードが実行される可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
緊急
リモートでコードが実行される
再起動が必要な場合あり Microsoft Windows
MS09-049 ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710)
このセキュリティ更新プログラムは、非公開で報告されたワイヤレス LAN 自動構成 (WLAN AutoConfig) サービスの脆弱性を解決します。 この脆弱性によりで、ワイヤレス ネットワーク インターフェイスが有効にされているクライアントまたはサーバーが特別な細工がされたワイヤレス フレームを受信した受け取った場合、リモートでコードが実行される可能性があります。 無線 LAN カードが有効でないコンピューターはこの脆弱性による危険にはさらされません。
緊急
リモートでコードが実行される
要再起動 Microsoft Windows
MS09-047 Windows Media Format の脆弱性により、リモートでコードが実行される (973812)
このセキュリティ更新プログラムは、非公開で報告された Windows Media Format に存在する 2 件の脆弱性を解決します。いずれの脆弱性についても、特別に細工されたメディア ファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があります。 ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者はこの脆弱性を悪用して、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
緊急
リモートでコードが実行される
再起動が必要な場合あり Microsoft Windows
MS09-048 Windows TCP/IP脆弱性により、リモートでコードが実行される (967723)
このセキュリティ更新プログラムは、伝送制御プロトコル/インターネット プロトコル (TCP/IP) の処理に存在する非公開で報告されたいくつかの脆弱性を解決します。この脆弱性で、攻撃者が特別に細工された TCP/IP パケットをネットワーク上で、リスニング サービスが含まれているコンピューターに送信した場合、リモートでコードが実行される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部からの攻撃を防ぎ、ネットワークを保護することができます。インターネットに接続したシステムについては、最善策として最低限の数のポートしか開かないようにすることを推奨します。
緊急
リモートでコードが実行される
要再起動 Microsoft Windows
MS09-046 DHTML 編集コンポーネントの Active X コントロール脆弱性により、リモートでコードが実行される (956844)
このセキュリティ更新プログラムは非公開で報告された DHTML 編集コンポーネントActiveX コントロールに存在する脆弱性を解決します。攻撃者は特別な細工がされた Web ページを作成し、この脆弱性を悪用する可能性があります。 この脆弱性では、ユーザーが Web ページを表示すると、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ログオンしたユーザーと同じユーザー権限を取得する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
緊急
リモートでコードが実行される
再起動が必要な場合あり Microsoft Windows
http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

アリス・キャロル ファンクラブ?

google:image:アリス・キャロル

MS09-045 で説明している問題について報告してくださった Zero Day Initiative に協力している team509 の Wushi 氏
MS09-046 で説明している問題について報告してくださった Google Inc. の Tavis Ormandy 氏
MS09-047 で説明している問題について報告してくださった NGS Software の Peter Winter-Smith 氏
MS09-047 で説明している問題について報告してくださったアリス・キャロル ファンクラブの野口博司氏
MS09-048 で説明している問題について報告してくださった Outpost24 の Jack C. Louis 氏
MS09-048 で説明している問題について報告してくださった Recurity Labs GmbH の Felix Lindner 氏

http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

この2つは危険だなぁ・・・・かなり危険。

MS09-048 (TCP):
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されていません。

MS09-049 (Winreless LAN):
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。

2009年9月9日のセキュリティ情報 – 日本のセキュリティチーム

色々書かれていますねぇ。やっぱりTCPのやつは、危険っぽいなぁ。

Information about MS09-048

Next up is MS09-048 addressing vulnerabilities in the TCP/IP stack implementation. To hit the vulnerable code, an attacker must flood a victim with specially-crafted TCP/IP packets inducing one of two denial-of-service outcomes:

  • System runs out of non-paged pool memory (CVE-2008-4609 and CVE-2009-1926)
  • System incorrectly handles the hash value of a connection, crashing in kernel-mode code leading to a reboot / blue-screen-of-death (CVE-2009-1925)


CVE-2009-1925 is rated Critical because the attacker is forcing the system to call into a random kernel address. However, based on our research, the attacker does not have sufficient control of the address to reliably achieve code execution. You can read all about it in Mark Wodrich’s blog post here. The exploitability rating of this issue is “2.”

CVE-2008-4609 is the most likely issue from MS09-048 to be further researched as it was a coordinated release between multiple companies having the same vulnerability. Cisco is planning a 10am advisory release this morning as well. Check http://www.cisco.com/en/US/products/products_security_advisories_listing.html#advisory for more information from them.

Assessing the risk of the September Critical security bulletins – Security Research & Defense

VistaのWireless Networking リクエストで細工されたフレームを送ることでwlansvcのサービスが停止するそうです。

実行するにはトリッキーなことが必要とのことだが・・・

Information about MS09-049

MS09-049 addresses an issue with the way Windows Vista handles Wireless networking requests. An attacker able to send malformed wireless frames can cause the Windows Vista user-mode service (wlansvc) to crash. This will be tricky to exploit due to Windows Vista’s hardened heap manager. Attacks will most likely crash the service, disrupting the ability to browse for (or automatically connect to) new networks. If already associated to a network, the machine will remain connected. Attacks will not cause the machine to reboot. The community will likely discover the vulnerability; however the Windows Vista heap mitigations will make it difficult to reliably exploit.

Thanks Mark Wodrich for your analysis of the TCP/IP and Wireless issues that went into this blog post. Big thanks also to the reviewers who re-shaped this post making it much better than my original: Damian Hasse, Andrew Roths, Greg Wroblewski, Robert Hensing, and Gavin Thomas from the MSRC Engineering team; Mike Reavey from MSRC Operations.

Assessing the risk of the September Critical security bulletins – Security Research & Defense

Jscriptエンジンの脆弱性MS09-045)は最優先で導入推奨らしい。

このうちMicrosoftが最優先で導入することを奨励しているのが、JScriptスクリプトエンジンの脆弱性に対処した「MS09-045」と、Windows Media Formatの脆弱性に対処した「MS09-047」の更新プログラム。いずれも悪用コードを仕込んだWebページを使って攻撃される恐れがあり、安定した悪用コードが作成される可能性も高くなっている。
2件ともサポート対象のほぼ全OSが影響を受け、「MS09-047」の脆弱性は細工を施したASFファイルやMP3ファイルを使って悪用される恐れもある。
一方、「MS09-048」で対処したTCP/IP脆弱性と、「MS09-049」で対処した無線LAN自動構成サービスの脆弱性は、ネットワーク経由でリモートからのコード実行やDoS攻撃に利用される恐れがある。

「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ

MS09-048TCP/IP脆弱性Windows2000は超危険らしい、パッチを出せないアーキテクチャらしいです!!!!これ超重要かも。

MS09-048」のTCP/IP脆弱性は3件あり、うち1件はWindows VistaWindows Server 2008が深刻な影響を受ける。残る2件のDoS脆弱性は、Windows 2000 SP4、Windows Server 2003Windows VistaWindows Server 2008が影響を受けるが、Windows 2000についてはこの問題を解決する更新プログラムの提供を見送った。

 その理由としてMicrosoftは、Windows 2000にはTCP/IPの保護を適切にサポートするアーキテクチャが存在しないため、脆弱性排除のための更新プログラムを作成するのが極めて難しいと説明。Windows Server 2003または2008にアップグレードできないユーザーは、ネットワークを注意深く監視し、ファイアウォールのベストプラクティスに従って守りを固める必要があると助言している。

「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決 - ITmedia エンタープライズ

SANSの判定では、どれもCriticalでPATCH NOWではないなぁ・・・

Overview of the September 2009 Microsoft patches and their status.

http://isc.sans.org/diary.html?storyid=7099&rss

JPCERT/CCからも情報が出ていますが、Cisco,RedHatも影響を受けるとのことです・・・LinuxBSD系も影響を受けると考えたほうがよさそうですね、アプライアンス製品の対応が怖いなぁ…(Masaさん情報ありがとうございます)

複数のネットワーク機器や OS などは本脆弱性の影響を受けます。既に一部 のベンダ(Cisco 社、Microsoft 社、Redhat 社など)より、本脆弱性に関する 情報が公開されています。また、今後これらの製品以外でも影響を受ける製品 が増えることが予想されます。 詳細に関しましては、以下の文書を参照してください。また、これらの文書 に記載されていない製品やシステムについては、各ベンダにお問い合わせくだ さい。

http://www.jpcert.or.jp/at/2009/at090019.txt

これは厳しい・・・・ルータ、FireWall、IDS、IPS、VPN装置などインターネット側に置く設備は多々あるが、全部対応は難しくないか???

2009年9月9日現在、 JPCERT/CC ではこの問題を利用した実際の攻撃を確認 しておりません。しかしながら、既に本脆弱性を用いてサービス不能攻撃を行 うツールが公開されているため、特に外部からアクセス可能なシステムについ ては、早急に更新プログラムを適用する、もしくは回避策を実施することを推 奨いたします。

http://www.jpcert.or.jp/at/2009/at090019.txt

今月のワンポイントセキュリティ情報が出ていますねぇ。先月からSilverlightによる放映になったんだっけな。

9月のワンポイント セキュリティ情報を公開しました。

以下の画像をクリックすると再生が始まります。

2009年9月のワンポイントセキュリティ – 日本のセキュリティチーム

というか、Microsoftさん、FireWall自体も子の脆弱性を受ける可能性があるんですよねぇ・・・・

また、ファイアウォールを使用することと、ディレクトリ作成へのアクセスを制限することも推奨する。FTP Serviceのバージョン6.0がインストールされた『IIS 7.0』を使用しているIT管理者は、FTP Serviceのバージョンを7.5にアップグレードすべきだ」(Greenbaum氏)

MS、9月の月例パッチを公開--緊急レベルのWindows脆弱性に対応 - ZDNet Japan

Windows2000TCP/IP脆弱性が対応できなかった件の話

提供が見送られたのは、Windows 2000 Server SP(Service Pack)4向けの月例パッチ。同社では見送った理由を「パッチの作成が困難なため」と説明している。
パッチ提供が見送られたということは、換言すれば、Windows 2000 Server SP4のユーザーは攻撃に対して脆弱な状態で放置されたということだ。Windows 2000 Server SP4のサポートは2010年7月で終了となるが、それまではセキュリティ・アップデートが提供されることになっている。
「実におかしな話だ。Microsoftはいまだかつて、こんなことをしたことはない」と、セキュリティ企業Shavlik Technologiesでセキュリティ&データ担当チーム・マネジャーを務めるジェイソン・ミラー(Jason Miller)氏は憤慨する。
ミラー氏が怒りの矛先を向けているのは、WindowsTCP/IP実装に関する3件の脆弱性を修正するセキュリティ・アップデート「MS09-048」についてだ。3件の脆弱性のうち、深刻度が「緊急(Critical)」に分類されていた1件については、Windows Vistaと同Server 2008では修正されたが、Windows 2000 Server SP4向けの修正パッチは提供されなかった。

http://www.computerworld.jp/topics/vs/161429.html

Windows2000がやっぱり、たくさん残ってるんでしょうねぇ・・・

「アプリケーションがWindows 2000にしか対応していないという理由で、新版への移行を見送っている企業も少なくない。そうした企業にとっては、かなり厄介な状況だ」(ミラー氏)
いずれにせよ、TCP/IPのアップデートは直ちに適用したほうがよさそうだ。セキュリティ企業Qualysの脆弱性研究所責任者、アモール・サーワテ(Amol Sarwate)氏は、「いったん悪意のパケットを受け取ってしまったら、マシンは危険にさらされる。ポートを遮断するだけでは防御にならない」と警鐘を鳴らす。

http://www.computerworld.jp/topics/vs/161429.html

3つの脆弱性が一つのパッチ(MS09-048)になっているってことですね。

今回公開されたのは、TCP/IP プロトコル脆弱性で、第三者に悪用されると遠隔からサービス不能状態が引き起こされることもあるそうだ。

また、マイクロソフトのセキュリティ情報によると、「TCP/IP のゼロ ウィンドウ サイズの脆弱性」、「TCP/IP のタイムスタンプのコードの実行の脆弱性」、「TCP/IP の孤立した接続の脆弱性」が今回明らかになった。

http://japan.internet.com/webtech/20090909/2.html?rss

ってことで、昨日はiPhone 3.1/QuicktimeとMSのアップデートと、山の修正プログラムだったとw

Yesterday we saw the monthly issue of patches from Microsoft and the disclosure of a new, unpatched vulnerability in SMB. Today it is Apple’s turn to release updates to iPhone OS and Quicktime. From the iPhone to Windows 7, password loss to remote code execution, there’s something for everyone in this month’s selection.

Microsoft and Apple security patches – Naked Security

ぉーーーそこまで訳したのか!>JPCERT

Hiroshi Noguchi of Alice Carroll fan club

http://www.securityfocus.com/bid/36228

ちなみに同日、マイクロソフト製品以外にも、TCP/IP通信機能に関する脆弱性が見つかっているとして、セキュリティ組織などは警告している。例えば、米シスコシステムズのソフトウエアにも同様の脆弱性が存在するという。

ログインしてください:日経 xTECH(クロステック)

小野寺さんも苦渋の選択だったことだろう。

ただし(4)の脆弱性については、Windows 2000が影響を受けるものの、Windows 2000用のパッチは提供しない。今後提供する予定もない。理由は、Windows 2000の互換性を維持するためだという。

 「今回の脆弱性に対処しようとすると、Windows 2000の基幹部分を大幅に作り直すことになる。そうなると、今まで稼働していたアプリケーションが動かなくなるといった、互換性の問題が生じると予想される。今回のケースでは、脆弱性の危険度と互換性の問題を考慮した結果、互換性の問題の方が重要だと判断し、パッチを適用しないことにした」(小野寺氏)。

 マイクロソフトでは、サポート対象製品のパッチはすべて提供することがポリシーなので、今回のような判断はまれ。同様の判断を下したのは、過去に1度しかないという。

ログインしてください:日経 xTECH(クロステック)

追加があったみたい。

http://www.cyberpolice.go.jp/important/2009/20090911_104714.html

続いてXP SP2/SP3のパッチも提供なしだそうです・・・侵害しにくいというのがキーみたい。

Microsoftは9月8日に公開した月例セキュリティ情報のうち、TCP/IP脆弱性について記載した「MS09-048」の内容を改訂し、Windows XP SP2/3に存在するサービス妨害(DoS)の脆弱性を解決するパッチは提供しないと表明した。
改訂後のセキュリティ情報「MS09-048」によると、Windows XP SP2/3には、TCP/IPに関する3件の脆弱性のうち2件について、DoS脆弱性が存在する。この問題はデフォルトの状態では影響を受けず、深刻度は4段階で最も低い「注意」レベルとしているが、企業では設定によって脆弱性が生じることがあるという。
この脆弱性を突くDoS攻撃を受けた場合、メモリが消費されてシステムが反応しなくなる恐れがある。しかし攻撃を成功させるためには細工を施した大量のTCPパケットを持続的に送り続ける必要があること、この大量送信が止まればシステムは復旧することから、危険度は低いと判断し、更新プログラムの公開を見送ったとしている。

Windows XPのTCP/IP問題には対処せず、Microsoftが表明 - ITmedia エンタープライズ

Calendar of Updates: Windows, Security Updates and Software Help

www.calendarofupdates.com

関連URL


screenshot|