2007年05月07日

月例パッチ そのタイムラグ自身が脆弱性なのでは?

 Microsoftは米国時間5月8日、既にサイバー攻撃に悪用されている「Windows」のゼロデイ脆弱性に対処するものを含む、7件のセキュリティ情報のリリースを計画している。

 Microsoftが3日に自社ウェブサイトで明らかにしたところでは、同社が月例パッチサイクルの一環として提供するこれらのセキュリティ情報では、 Windows、「Office」、「Exchange」、および「BizTalk」にあるセキュリティ上の脆弱性に対処したパッチを提供する予定だという。脆弱性の数については明らかになっていない。BizTalkに影響のある問題については、アプリケーションに暗号を追加する開発者用コンポーネントの「Capicom」にも関連がある。

 これら4つの製品ファミリーには、Microsoftで最も深刻度の高い「緊急」アップデートがそれぞれ最低1件提供される予定だと、同社は語っている。Microsoftは、Windows関連のものを2件、Office関連を3件、そしてExchangeとBizTalkのものを各1件リリースする計画だという。

 一般的に、緊急に分類されるセキュリティの問題があると、ユーザーがほとんど、あるいは全く介入しなくても、攻撃者が被害システムを完全に掌握できるようになる。

 Microsoftのアップデートには、Windows Domain Name System(DNS)にある脆弱性に対処するパッチも含む予定だ。このセキュリティ上の脆弱性は「Windows 2000 Server」および「Windows Server 2003」に影響がある。Microsoftは4月この問題について警告し、「限定された」攻撃に悪用されていたことを明かした。

 予定されているOffice用パッチの一部は、既に公表済みで修正が待たれていた脆弱性に対処する可能性が高い。

 Microsoftは今回のリリースするセキュリティ情報について、一部のパッチでコンピュータやサーバの再起動が必要となる可能性があること以外、詳細には触れなかった。

 Microsoftは4月、セキュリティパッチを6件リリースした。だが、同社がパッチをリリースすると、Officeに関連する複数のゼロデイのバグやWindows DNSのバグがその直後に新たに登場してきた。一部のセキュリティ専門家は、この現象を「ゼロデイ水曜日」と呼ぶようになっている。


http://japan.cnet.com/news/sec/story/0,2000056024,20348230,00.htm?ref=rss

このブログ「厳選!今日のITニュース」を運営しながら、セキュリティ関連のニュースに触れていると、流れが速く感じるためか時間が経過するのが速いです。このパッチ未公開のセキュリティ脆弱性のニュースも、なんだか懐かしさを感じて調べてみると20日以上前に紹介したニュースでした。

一部のパッチでコンピュータやサーバの再起動が必要となる可能性があること以外、詳細には触れなかった。

脆弱性とか”評価は緊急”なんてユーザを煽っているくせに、「月例」パッチですからねぇ。ホント殿様商売ですな。
詳細が非公開なのは、先月の例をみれば当然です。

数年前に勤務していた会社でサーバを一度止めてメンテナンス終了後に起動させたことがありました。初めての経験だったのでドキドキしながら眺めていたら、一向に起動完了せず・・・。とにかくサーバの起動は大変なんだという印象があります。その後、Linuxを使うようになってアレはなんだったのかな?と不思議になりました。ホントいったいなんだったのでしょう?

さて今回のパッチではサーバの再起動があるようです。管理者の方にとっては憂鬱な作業になりそうであります。



posted by media_aidem at 16:08 | Comment(0) | TrackBack(0) | セキュリティ

2007年05月03日

ハッカーが発見?QuickTimeに脆弱性

 Appleは米国時間5月1日、「QuickTime」のアップデートをリリースした。これは、先日開催されたセキュリティカンファレンスで「MacBook Pro」のハッキングに利用された脆弱性に対処するもの。

 Appleがセキュリティ警告のなかで明らかにしたところでは、同メディアプレーヤーの脆弱性は「QuickTime for Java」にあるという。このセキュリティホールは、偽装されたウェブサイトにアクセスすると悪用され、Mac OS XとWindowsのいずれかが動作するコンピュータを攻撃者に思い通りにさせてしまう可能性があるという。

 「攻撃者は、悪質な細工を施したJavaアプレットが含まれたウェブページにユーザーを誘い込んで問題を引き起こし、任意のコードを実行できるようになる」とAppleは語っている。危険があるのは未修正のQuickTimeが動作するコンピュータだけだという。

 セキュリティ監視会社Secuniaでは、この脆弱性を最も深刻なレベルより一段低い「highly critical(非常に重大)」に指定している。この「QuickTime 7.1.6」アップデートは、チェック項目を追加することでこの問題を修正している。Appleは、この問題の発見について、バグハンターのDino Dai Zovi氏とTippingPoint Zero Day Initiativeの功績であるとして称えている。

 ブリティッシュコロンビア州バンクーバーで開催されたCanSecWestカンファレンスで、賞金の1万ドルと賞品のMacBook Proの獲得を目指してハッキングを競う「hack-a-Mac」コンテストが行われ、そこでこの脆弱性が利用された。Appleが修正を出してきたのはそれからわずか1週間余りのことだった。

 セキュリティ研究者Shane Macaulay氏がDai Zovi氏と協力してMacに侵入し、これを賞品として獲得した。Dai Zovi氏はその後、このバグをTippingPointに引き渡した。同社は、Zero Day Initiativeプログラムを通じて1万ドルの賞金を出し、コンテストの魅力をさらに高めていた。

 Appleは1日、4月に初版がリリースされていたセキュリティパッチのアップデートも公開した。「2007-004」パッチのバージョン1.1 は、オリジナルのパッチにあった2つの問題を修正する。この問題があると、無線接続が遮断され、一部FTPユーザーにApple FTPServer上で権限以上のアクセスが許可されてしまう可能性があると、Appleは別の警告のなかで明かしている。

 Appleのセキュリティアップデートは、OSの「ソフトウェア・アップデート」機能やQuickTimeソフトウェア、そしてAppleのウェブサイトから入手可能。


http://japan.cnet.com/news/sec/story/0,2000056024,20348171,00.htm?ref=rss

現在でも混同されて使われている「ハッカー」と「クラッカー」。
詳細につきましては関連ページを参照していただくとして、ハッキングコンテストの結果を受けて脆弱性にパッチを当てるという流れはよくあるようです。

Apple側はセキュリティホールを塞ぐことができ、バグを発見したユーザは賞品や賞金を手にできるのですから、双方にメリットがあってとてもいい形に見えますね。

ハッカーが増えてクラッカーが減れば、もっとインターネットは安全になるはず。スキルがないわたくしには雲の上のお話ですが、こんなコンテストがもっと頻繁に開催されるといいなと思います。

そうそう、Quicktimeのユーザはアップデートをお忘れなく。

【関連ページ】

ハッカーとクラッカー
posted by media_aidem at 09:29 | Comment(0) | TrackBack(1) | セキュリティ

2007年05月02日

PhotoShopのPNGに脆弱性

 Adobe Systemが提供する最新版の「Photoshop Creative Suite」のPNG画像フォーマット用プラグインに、脆弱性が存在することが明らかになった。Windows向けのそのほかのバージョンの Photoshopもこの脆弱性の影響を受けるという。

 Secuniaが米国時間4月30日に発行したセキュリティ勧告によると、PNGプラグインの脆弱性は、Windows用の「Adobe Photoshop Creative Suite 3 (CS3)」「Photoshop CS2」「Adobe Photoshop Elements (Editor) version 5.0」で発見された。Secuniaでは、この脆弱性を5段階評価で2番目に危険度高い「きわめて深刻(highly critical)」としている。同社は「Marsu」という人物が発見したと述べている。Marsu氏は、Windows XP SP2で稼働するPhotoshopを使用して脆弱性を検証したという。

 Marsu氏はこのほかに先週も、Windows用のAdobe Photoshop CS3とCS2に深刻な脆弱性を発見し、報告している。

 30日に報告された脆弱性は、Photoshopの画像フォーマット用プラグイン「PNG.8BI」がPNGファイルを扱う際の領域エラーを介して悪用される恐れがある。攻撃者が悪意あるPNGファイルを使ってこの脆弱性を悪用すると、ユーザーはバッファオーバーフロー攻撃によりシステムを乗っ取られる可能性がある。


http://japan.cnet.com/news/sec/story/0,2000056024,20348130,00.htm?ref=rss

この記事の関連で、ウェブマスターに対して「PhotoShopではPNGフォーマットを使わないように」なんてコメントを目にしましたが、それは勘違い。まぁ、どんな時に乗っ取られる恐れがあるのかは元記事をじっくり読めばわかるはずなので、割愛しますが・・・。

個人的にはMac版PhotoShopを愛用しているので、そのあたりはどうなの?と非常に気になるところです。肝心なAdobeのサイトでは2日午前10時40分現在、脆弱性に関わるアナウンスはされていませんでした。

とりあえず現段階では静観するしかないようですが、元凶となっているのはプラグインということなので早めにアップデートをリリースしてほしいところであります。


【関連サイト】

PNGとは
Adobe Systems
posted by media_aidem at 10:50 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。