Japan Security Team

Windows XP SP3でMS06-069が復活?

小野寺です。 ”Windows XP SP3でMS06-069で復活 (ロールバック)”という話が、幾つか舞い込んできて、耳にしたときは一瞬背筋が寒くなりました・・・確認してみると、色々と誤解があったみたいで、先日の SANS Institute のblogに端を発しているようでが、さらに元を辿ると、MS06-069をWindows XP SP3 に関連して更新したことにあるといえばあります。 5月の定期リリースの時に MS06-069 (Adobe Flash Playerの脆弱性) のセキュリティ情報を更新してたのですが、更新理由は、Windows XP SP3の公開に伴って、MS06-069の「影響を受ける製品」の一覧を更新し、Microsoft UpdateでWindows XP SP3上でも MS06-069が正しく検出できるように変更しました。 SANSの記事は、微妙な書き方ですが、誤解はないのですが、回り回って、「Windows XP SP3 を適用すると昔の MS06-069 が復活する」という話になってしまったみたいですね。 正しくは、Windows XP SP3のパッケージには、MS06-069の更新プログラムに相当するものを含まないため、Windows XP SP3 をPCに新規にインストールした場合等に、他の更新とと一緒に MS06-069 の適用が必要ということです。 Windows XP SP2 で今までセキュリティ更新を適用してきた環境では、Windwos XP SP3を適用しても、MS06-069を再適用する必要ありません。 ちなみに、Windows に含まれているのは、 Flash Version 6 ですが、最新の Flash をインストールしている環境に Windows XP SP3 をインストールしても、Flash …

Windows XP SP3でMS06-069が復活? Read More »

MBSAが久しぶりにバージョンアップ

小野寺です。 MBSA (Microsoft Baseline Security Analizer)が久しぶりにバージョンアップして、2.1となりました。前回、2.01を公開したのが、2006年6月ですから、実に2年ぶりですね・・・ 一応 MBSA を知らない人向けに語弊を恐れず簡単に説明すると、「セキュリティパッチの適用具合と製品の設定を確認するツール」という感じです。 実際には、このツールで確認するのは、名前の通り ‘baseline’ となる最低限のセキュリティだけですので、このツールの検査に合格しても、ビジネス的に十分かどうかはまた別の話です。逆に、このツールで不合格になるような環境は、多くのケースで不適切と言えます。 さて、今回、マイナーバージョンが一つ上がって、2.1 となりましたが、今回の目玉は、Windows Vista と Windwos Server 2008対応です。2.0.1 も Windows Vista の更新プログラムのスキャンはできたのですが、脆弱性レポートなどの幾つかの機能には対応していませんでした。 今回のバージョンアップで、その辺の機能にひと通り対応しています。また、64bit 環境, Windows Embedded, SQL Server 2005 の脆弱性評価にも正式に対応しました。 新機能を列挙すると以下のようなものがあります。 Windows Vista および Windows Server 2008 のサポート 更新されたグラフィカル ユーザー インターフェイス 64-bit プラットフォームのフル サポートおよび 64-bit のプラットフォームおよびコンポーネントに対する脆弱性評価 (VA) チェック Windows XP Embedded プラットフォームのサポート SQL Server …

MBSAが久しぶりにバージョンアップ Read More »

5月のワンポイントセキュリティ

小野寺です。 5月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – May 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年5月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急3件, 警告1件)を公開しました。加えて、Jetに関するセキュリティ更新の提供に伴って、セキュリティアドバイザリ 950627 を更新しています。 また、MS06-069 も更新していますが、こちらは今月の公開との関連性はありません。 少し詳しく見ていきます。 まずは、MS08-028 (Jetのセキュリティ情報) ですが、セキュリティアドバイザリ 950627 で言及していた問題について対策を行っています。 アドバイザリに関していれば、Wordを通じてJetを悪用する方法だったわけですが、Jetの脆弱性は、MS08-028のみで対策可能です。MS08-026の適用により、WordからSQL コマンドまたはクエリを実行する前にユーザーに確認メッセージを表示します。将来的な攻撃経路 (Attacking vector)を減らすためにJet同様に適用をお勧めしたいですね。ちなみに、Jetですが・・・よく Office 製品 (Access) が入っていない環境は関係ないと誤解されているみたいですが、セキュリティ情報に書いてあるとおり、Jet自体はWindowsのコンポーネントです。Access(*.mdb)は、Jetを使うアプリケーションの一つに過ぎず、Jet形式は、結構色々な処で使われていたりします。 次に、MS08-029 (セキュリティ ソフトウェアのセキュリティ情報) は、Forefront Client Protection, OneCare, Windows Defender 等で利用している。Microsoft Malware Protection Engine で発生しうるサービス拒否の問題に対処しているのです。とはいえ、常に最新の状態で使っているユーザーは、基本的に新たにアクションをとる必要がありません。 対策されたエンジン自体は、いわゆる定義ファイルとして配信しているためです。 セキュリティ製品といえば、2007年7月~12月期について分析した セキュリティインテリジェンスレポート (SIR) の最新版(4版) を先日から公開しています。日本語の要約版も公開していますので、これを機に今のマルウェアや脆弱性の動向を見てみるのも良いかも。 このレポートは、世界中のデータをもとに編纂していますが、近いうちに日本に特化したものも、Blogで触れてみたいとは思っております。 今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年5月のセキュリティリリース予定

小野寺です。 今月は、計 4 件 (緊急3件, 警告1件) の公開を予定しています。リリース日は、週明け水曜日 (05/14) です。今年は、GW後に1週間の余裕があったので、正直なところ助かりました。昨年は、GW明けすぐのリリースだったため、色々と大変でした・・・ さて、話がそれましたが、セキュリティ更新のほかに、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx をご覧ください。 ちなみに、セキュリティ情報の識別番号を (セキュリティ情報 1等)を、より内容のわかる名前に変更しましました。今月からは、セキュリティ情報の識別名と名前を変え、”Wordのセキュリティ情報”といった形で製品・テクノロジ名を含む形にしてみました。さて、今月対応予定の製品として、「Diagnostics and Recovery Toolset (DaRT) 6.0 の Standalone System Sweeper」なるものがありますが、多くの方はあまり見慣れていないのではないかと思います。 これは、MDOP (Microsoft Deplyment Optipazation Pack)というSA契約者向けに提供しているツールキットに含まれるものひとつです。この Standalone System Sweeper は、ウイルスやスパイウェアなどのマルウェアに感染したPCをオフラインで駆除するものとなります。事前に別のPCで最新の定義ファイルを含めて、CDを作成する事で、感染PCでCD起動して駆除できるという意外と便利な一品だったりします。 そのほか、JETの更新も予定しています。どんな更新かは、たぶん皆様のご想像のとおりです。 影響を受ける製品 最大深刻度 影響 検出方法 再起動 Word のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 Publisher のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される …

2008年5月のセキュリティリリース予定 Read More »

なめ猫スクリーンセーバー&セキュリティ対策キット

小野寺です。 現在、「スキルチャージ プログラム」なるエンジニア向けにスキルアップの為の無償支援をしようという企画を行っています。 その中で、もちろんセキュリティも含まれており、左の画像の、「セキュリティ対策キット」として、セキュリティリンク集とマイクロソフトの情報源、製品情報をひとまとめにしたものを提供しています。 そして、人によっては新しい、人によっては懐かしい「なめ猫」を使ったスクリーンセーバーも用意してみました。このスクリーンセーバーは、RSSを使って、このBlogとセキュリティ情報をお知らせします。ちなみに、毎日、なめ猫があなたのセキュリティ?を占ってくれます。  このほか、OneCareプレゼントや、セキュリティ以外でも面白い企画があるので、興味のある人はぜひ。  http://www.microsoft.com/japan/powerpro/skillcharge/default.mspx          

最近のWeb改ざんとかSQLインジェクションとか

小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。 SQL インジェクション攻撃とその対策http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx 実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。  ;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略) そのほか、特殊記号 (‘ ; –等)がログに残っている場合も同様に注意が必要でしょう。 問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。 最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。 すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。    

Secureity Development Lifecycle

小野寺です。 本日、Security Development Lifecycle (SDL) Guidance が公開されました。  http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en 思い起こせば、2001年の頃に始まった SD3+C (Secure by Design,  by Default and in Deployment + Communication)が、発展して SDL になりました。現在の形になるまで、紆余曲折がいろいろあったのですが、現在は、Microsoftの色々な製品の色々な開発スタイル・プロセスに融合して製品・サービスのセキュリティを確保する基礎となっています。Windows Vista も、今回公開された SDL v3.2をベースに開発がおこなわれています。 現在は、オンライン版も書籍も英語ではありますが、ぜひ一読いただきたい資料です。(個人としては、ぜひ日本語化したいと思っています)今月末に開催される、RSA Conference 2008 に、この SDL を担当している Eric Bidstrup を招聘していて SDLを如何にして浸透させたか等を話してもらうことになっています。同時通訳でお送りしますので、開発、品質管理、プロジェクト管理等に係る方にはお勧めです。   マイクロソフトのセキュリティ開発ライフサイクル―より安全なソフトウェアの構築  https://rsacon2008.smartseminar.jp/public/session/view/60  このあたりの情報も、今後おりを見て日本語サイトで公開していきたいな・・・

4月のワンポイントセキュリティ

小野寺です。 4月のワンポイントセキュリティを公開しました。Video: Security Updates This Month – April 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspxまた、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください。

2008年4月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。 特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。 具体的には、以下のような流れです。  1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)  2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)  3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる) MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。 今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx