2004年 9月 24日
■9月のMicrosoft定例セキュリティアップデートに関しての備忘録
埋もれているうちに過ぎ去っていった感がある、9月の月刊定例アップデートだったのですが、一応自分用のメモのみ作成しておくことに。
今月発行されたアドバイザリは2つ。
- MS04-027: WordPerfect コンバータの脆弱性により、コードが実行される (884933)
- MS04-028: JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987)
MS02-027は深刻度重要に位置づけられた問題。Office文書のWordPerfect 5.x 用コンバータに欠陥があり、悪意あるWordPerfect文書を読み込まされてしまった場合に任意コードを実行されてしまうとのこと。Office関連プロダクトなので、Officeのアップデートを掛けることで、修正プログラムを入手・適用することができる。
厄介なのは、MS04-028。多くのプログラムが共通で使用する、JPEGファイルを処理するDLLにバッファオーバフローが発生する欠陥があり、任意コードが実行されてしまうという問題。例えばIEで悪意あるJPEGファイルが含まれるサイトを閲覧しただけで、ウイルスなどの危険なコードを実行させられてしまう恐れがある。
この問題の修正のためにWindows Updateで提供されたのが、単純にGDI+関連のDLLの存在のみを検出して警告を発するツールだったことが混乱のもとか。ストレートにWindows UpdateやOfficeのアップデートで更新できない製品の一覧を示して、個別修正プログラムの適用を促せばよかったのではないかと思う。
この問題に関しては、現在までにローカルでcmd.exeを起動したり、あたらなユーザを追加するコードを実行するExploitが流通しており、悪用コードの出現と拡散は時間の問題といった時期に入ってきている。
- K-OTik: Windows JPEG GDI+ Overflow Shellcoded Exploit (MS04-028)
- K-OTik: Windows JPEG GDI+ Overflow Administrator Exploit (MS04-028)
SANS ISCでは、この問題の影響調査を手助けするプログラムとして、問題のあるバージョンのDLLを検出してくれるGDI Scanというアプリケーションの配布をはじめているよう。
このアプリケーションはこの問題に関係のあるDLL(gdiplus.dll, sxs.dll, wsxs.dll, mso.dll)の有無を調査し、問題のあるバージョンのDLLを発見すると、赤で示してくれる。
Side x Sideで切り替えられているDLLとか、アプリケーション個別のディレクトリからロードされるものが要注意か。
SANS ISC Handler's diaryの方には、問題のファイルを検出するsnortルールも掲載されている。
GDI関連ファイルを検索するツールについては、日経ITProの方にも記事が出ている。ネットワーク経由で複数マシンをスキャンできるツールもあるのか。
9/27追記:
いつもだとout break前夜にリリースされているウイルス一歩手前の危険なコードが出回りだしている。
reverse shellを開くもの。
httpダウンロードを行うもの。
これまでリリースされたexploitを1まとめにしたもの。
上記コードで生成した不正JPEGファイルは、既に複数のアンチウイルス製品で検出されるようにはなっているらしぃけれども、それでも来る時は来るんだろうな。
9/30追記:
コマンドライン版があるとうれしい人が多いかもしれない。
Translate (en)このWeblog中の関連記事: 9月のMicrosoft定例セキュリティアップデートに関しての備忘録
<関連する記事は見当たりません>Google検索: 9月のMicrosoft定例セキュリティアップデートに関しての備忘録
<関連する記事は見当たりません>Amazon検索: 9月のMicrosoft定例セキュリティアップデートに関しての備忘録
コメント
ホーム
アーカイブ
管理画面