SecuLog

■F-Secure: FSC-2006-1 - Code execution vulnerability in ZIP and RAR-archive handling

不正なzipファイルによりバッファオーバフローが発生し、任意コードを実行される恐れがあるほか、zip/rarファイルのスキャンが適切に実行されない問題があるとのこと。

日本エフ・セキュアの製品サポート情報にはまだ何も出てない。

追記:

出ました。

• F-Secure アンチウィルスの脆弱性についてのお知らせ（2006年1月20日）

seculogger による 02:23 午前 の書き込み
コメント(2) | トラックバック(0) | Translate (en)

■Oracle Critical Patch Update - January 2006

2006年1月分のOracleのパッチが出ているようで。

しかしこのページって相変わらず分かりにくいなぁ。

seculogger による 08:52 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■F-Secure News from the lab: The "Symantec rootkit"

Norton SystemWorks 2005/2006のファイル復活機能で使用しているディレクトリがWindows APIから不可視となっている件のお話。

• SYM06-002: Symantec Norton Protected Recycle Bin Exposure

こういったものがMalwereの隠れ蓑になる可能性がある、ということで修正されたようです。

ところで、

The main difference between the Symantec rootkit and Sony rootkit is not technical. It's ideological. Symantec's rootkit is part of a documented, useful feature; it could be turned on or off and it could easily be uninstalled by the user. Unlike Sony's rootkit.

まぁ、そらそうですな。

seculogger による 06:50 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■月刊Microsoft Update

年初に結構な号外が出ているところではありますが、定例の方も緊急のものが続いています。

今月の定例は、埋め込みWebフォント周りの欠陥でリモートからのコード実行が可能になる件（緊急）とExchangeとOutlook間のTNEFデコードに関する処理の欠陥によりリモートからのコード実行が可能になる件（緊急）で2つですね。

今月から？複数OS・言語向けのセキュリティ更新プログラムを固めたISOイメージも提供されているみたい。WSUSが使えない環境への展開用でしょうね。

• Microsoftダウンロードセンター: January 2006 Security and Critical Releases ISO Image

このISOイメージに関する解説は、こちらにあるそうです。

• Microsoftサポート技術情報: KB913086 - Security and critical updates are available on ISO-9660 CD image files from the Microsoft Download Center

こういうのも有難いけれど、当月までの更新プログラムを累積で固めたISOイメージもやっぱり欲しいなぁ。需要はある気はするんだけど。

あと、細かいところですがこういうのも出ています。

• Microsoft PressPass: Microsoft Simplifies Its Software Support Lifecycle

セキュリティ更新プログラムのリリースサイクルとプロダクトサポートライフサイクルの区切りをあわせるというお話ですかね。

関連:

• eEye: AD20060110: Windows Embedded Open Type (EOT) Font Heap Overflow Vulnerability

seculogger による 04:43 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■WMF祭りはまだ終わってない？

• SANS Handler's Dialy: Another WMF attack vector?

Bugtraqへのこちらのポストがネタ元かと思いますが、

• Bugtraq: [UPDATE]Microsoft Windows GRE WMF Format Multiple Unauthorized Memory Access Vulnerabilities

継続警戒が必要かもしれませんねぇ。

追記:

DoS onlyですが、早速PoCも出ています。

• WMF-DoS.rar

SP2+フルパッチでテストしましたが、プレビューで見事に落ちますねー。

追記2:

• MSRC Blog: Information on new WMF Posting

These issues do not allow an attacker to run code or crash the operating system.

で、

We had previously identified these issues as part of our ongoing code maintenance and are evaluating them for inclusion in the next service pack for the affected products.

だそうで。

seculogger による 04:53 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■WMF 0dayの顛末に関する簡単なまとめ

本日パッチもリリースされたとのことで、昨年12/28に問題が広く知られるようになって以降の顛末を、自分用に簡単にまとめておくことに。

• 2006/01/06(日本日付) MS06-001が当初予定を早めて公開される。
• 2006/01/04(日本日付) ESETからも非公式パッチが公開される。(ESET Protects Against Microsoft Media File Vulnerability )
• 2006/01/04(日本日付) MSRC Blog: WMF Vulnerability Security Updateにより、プレリリース版のセキュリティ更新プログラムが誤って流出していたことが報告される。
• 2006/01/04(日本日付) Microsoft Statement Concerning Windows Meta File Vulnerabilityが発表され、1/10の定例セキュリティ更新プログラムにより修正する予定が表明される。
• 2006/01/03(日本日付) 非公式パッチへのアクセス殺到により、Ilfak Guilfanov氏のHexblog.comが閉鎖される。非公式パッチは、その後はSANSなどにより再配布されることに。(F-Secure: Nesw from the Lab - Hexblog.com overloaded)
• 2006/01/02(日本日付) F-Secure: News from the Lab - Targeted WMF email attacksで、スピア型phishingメールに問題の画像が利用されている事例について報告される。
• 2006/01/01(日本日付) SANSにより、WMF FAQが公開される。これはその後、協力者の手により各国語に翻訳されている。
• 2005/12/31(日本日付) IDA Pro開発者Ilfak Guilfanov氏の手による非公式パッチが公開される。(F-Secure: News from the Lab - Ilfak to the rescue!)
• 2005/12/31(日本日付) IMワームによる利用が確認される。(Kaspersky: Analyst's Diary - More on WMF exploitation)
• 2005/12/29(日本日付) Microsoft Security Advisory (912840) Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.が公開される。一時的回避策として、Shimgvw.dllの登録削除が示される。
• 2005/12/25(日本日付) コミュニティから複数のSnort用シグネチャが公開される。(Bleeding Snort: WMF Zero-Day Sigs Posted)
• 2005/12/28(日本日付) SANS Handler's Diary: Windows WMF 0-day exploit in the wildにて、SANSより警告が発せられる。
• 2005/12/28(日本日付) H D MooreによるBugtraq: Re: Is this a new exploit?のポスト。Metasploit Frameworkに攻略用画像ファイルを生成するモジュールが追加される。その後数日のうちに、続々と検証用WMFファイルやMalwareを含む攻略ファイルの存在が確認されるようになる。
• 2005/12/28(日本日付) Bugtraq: Is this a new exploit?により、WMFファイルを利用した未確認のexploitコードが出回っていることが知らされる。

大体こんな感じかなぁ。

seculogger による 05:08 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■ISC Handler's Diary: Windows WMF 0-day exploit in the wild

仕事納めの皆さんも多いこの時期だというのに、WindowsのWMF(Windowsメタファイル)形式画像の処理の未発表欠陥を攻略する0 day攻撃が発生しているようですね。

思わず地雷を踏んでしまわれた方のメモはこちら。

• にわか鯖管の苦悩日記: wmfファイルの未知の脆弱性!?

年始対応が今から思いやられるというものですが。

12/29追記:

Microsoft Advisoryが出たようです。

• Microsoft Security Advisory (912840) Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
• マイクロソフト セキュリティ アドバイザリ (912840) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある

Bleeding Edgeでもシグネチャが出てますね。

• WMF Zero-Day Sigs Posted

ちょっと気になる記述があったのでこちらも、

• ITmedia: 休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性

なお「Internet Explorer以外のWebブラウザを利用する」ことも1つの手だが、SANSの情報によると、たとえFirefoxを利用していても完全に安全というわけではない。Firefoxで攻撃サイトを訪れた場合、Windows標準の画像ビューワー「Windows Picture and Fax Viewer」で画像を開くかどうかを尋ねられ、もしここで「はい」を選択してしまうと、同じように攻撃コードが実行されてしまうという。

さらに付け加えると、WMFの関連付けが「Windows Picture and Fax Viewer」以外になっていたとしても、関連付けられたビューワがWindows標準のライブラリを使用してる場合にはやられてしまいますね。手元ではIrfanViewで再現することを確認しています。

seculogger による 05:32 午後 の書き込み
コメント(13) | トラックバック(0) | Translate (en)

■VMware: Security Response to Vulnerability in NAT Networking

• Secunia: VMware NAT Networking Buffer Overflow Vulnerability

vmnat.exe/vmnet-natdがFTPプロトコルを取り扱う処理にヒープオーバーフローが発生する問題がある。攻撃者がゲストOSとのやり取りにおいて、巧妙に作成されたeprt及びportコマンドを使用した場合、ホストOSにて任意のコマンドが実行されてしまう可能性がある。

NATネットワーキングを使用していない場合は、影響を受けない模様。

seculogger による 03:33 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■いまさらですがPerlがやばそう

• セキュリティホールmemo: [Full-disclosure] Perl format string integer wrap vulnerability

seculogger による 07:55 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■ITmedia: CiscoがIOSの脆弱性を警告、Black Hatで公開の脆弱性とも関連

例の件以降では、IOSのoverflow系セキュリティホール修正はこれに続いて２個目ということで。

なんだか、まだまだ出そうな気がするしなぁ。

seculogger による 04:44 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■PHP4.4.0以前及びPHP5.0.5以前に脆弱性が見つかっているようですね。

• Hardend PHP Project: Advisory 20/2005: PHP File-Upload $GLOBALS Overwrite Vulnerability
• Hardend PHP Project: $GLOBALS Overwrite and it's Consequences
• yohgaki's blog: PHPの現行リリースに重大な脆弱性（PHP4.4.0以下、PHP5.0.5以下）

PHPでは、4.3.11からregister_globalsがon（4.2以降デフォルトではoff）にされている場合にも$GLOBALS配列の上書きが禁止されるようにコードが変更されている。しかし、'GLOBALS'という名称のファイルアップロードフィールドを含むmultipart/form-data POST リクエストを使用することで、この制限が回避されてしまうということでしょうかね。

seculogger による 02:31 午前 の書き込み
コメントなし | トラックバック(2) | Translate (en)

■FrSIRT: Realplayer and Helix Player RP/RT Files Remote Format String Exploit

RealPlayerとHelix Playerにフォーマット文字列関連の脆弱性が見つかっていて、Exploitが公開されている模様。

関連:

• SANS Handler's Diary: Possible New Zero-Day Exploit for Realplayer

seculogger による 03:25 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■Secunia: Qpopper poppassd Insecure Trace File Creation Vulnerability

qpopper 4.0.8以前のpoppassdに脆弱性。

-tオプションで指定するデバッグ用のトレースファイルの作成パーミッションに問題があり、またpoppassdがsuidでroot権限で実行されるようになっているため、ローカルユーザによる権限昇格が実行できてしまう。

Exploitも公開されている。

seculogger による 04:28 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■JVN: JVN#40940493: Webmin および Usermin における認証回避の脆弱性

Webmin 1.220以前のバージョンに脆弱性が報告されています。

PAM認証を使用している場合に、認証をバイパスしてアクセスされてしまう問題があるとのこと。これを受けて、この問題の修正を含む1.230がリリースされています。

• Changes

Fixed a security hole that allows a remote attack if the 'Support full PAM conversations?' option is enabled in the Webmin Configuration module. Thanks to JPCERT for finding this bug

だそうです。

seculogger による 03:12 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■FrSIRT: Clam AntiVirus (ClamAV) Buffer Overflow and DoS Vulnerabilities

clamav-0.87で修正されている脆弱性に関するアドバイザリ。

seculogger による 07:12 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)