Windows版「Safari」に脆弱性

アップルが開発しているWebブラウザ「Safari」のWindows版に、細工が施されたWebサイトにアクセスすると、悪質なプログラム（ウイルスなど）を勝手にダウンロードおよび実行される恐れがある脆弱性が見付かったそうです。
Windows版「Safari」にセキュリティ問題、Webアクセスで被害の恐れ　IT Pro　2008年6月2日

マイクロソフトもセキュリティアドバイザリを公開しています。
マイクロソフト セキュリティ アドバイザリ (953818)　Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威　マイクロソフト　2008年5月31日

アップルは今のところ何も公開していないようです。

以下は引用です。

セキュリティ組織の米サンズ・インスティチュートなどによれば、今回マイクロソフトが報告した問題は、5月中旬に報告された「問題」と関連がある模様。詳 細については明らかにされていないものの、Safariの「問題」とWindows（あるいはInternet Explorer）の「問題」を組み合わせることで、任意のファイルをダウンロードおよび実行させることができると考えられる。

うーん、なかなか高度な攻撃ですね。しかし、既にデモでこの攻撃手法が実演されてしまっている以上、早急な対応をお願いしたいものです。

ちなみに、現状公開されているマイクロソフトのアドバイザリには、本件の対策として「適切な更新プログラムが提供されるまでの間、SafariをWebブラウザとして使わない」と書いてあります。Webブラウザ以外の何に使うんでしょうかね？

Googleを脆弱性スキャナに利用するツールがリリース

Google検索エンジンを脆弱性スキャンに利用するツール「Goolag Scan」がハッカー集団Cult of the Dead Cow（cDc）からリリースされたそうです。
Googleを脆弱性スキャナに。ハッカー集団が新ツール　ITmediaエンタープライズ　２００８年２月２２日

このツールを利用すれば様々な問題のあるWebサイトを検索することができるそうです。

オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさ らされてしまっている文書を検索するための約1500種のカスタムGoogleクエリーがデフォルトで組み込まれている。

実際に使ってみてはいないのですが、記事を読む限りではかなり実用的？なツールですね。Googleハッキングを行うための便利なツール、といったところでしょうか。

「北米、欧州、中東でこのツールを使ってランダムにテストしてみたところ、恐ろしい欠陥が見つかった。もしもわたしが政府機関や大企業、あるいは大規模な Webサイトのオーナーだったら、このツールをダウンロードして自分のサイトで試しているだろう。見つかった脆弱性はそれほど深刻なものだった」（cDcの広報担当オクスブラッド・ラフィン氏）

例えば、企業はGoolag Scanを使って、自社のWebサイトの脆弱なサーバあるいは「機密情報を含むファイル」を検索でき、このツールを便利な監査ツールにすることができる。

確かに自分の管理しているドメインなどに対してスキャンをかけるために利用するのであれば、便利なセキュリティ監査ツールでしょう。しかし、誰もが好きなドメインに対してスキャンをかけることができるわけですから、そのような使われ方はあまりしないでしょうね。かなり強力なクラッキングツールだと思います。

2月のセキュリティリリース（マイクロソフト）

マイクロソフトから2月分のセキュリティアップデートがリリースされました。
2008年2月のセキュリティリリース　日本のセキュリティチームの Blog　2008年2月13日

12 件 (緊急7件、重要5件) の予定でしたが、1 件をキャンセルし、計 11 件 (緊急6件、重要5件)となっています。今回キャンセルされたセキュリティアップデートはExcelの脆弱性で、原因はテスト中に品質の問題が発見されたからだそうです。しかし、この脆弱性を突くコードが既に出回っているようなので、早めに対応して欲しいですね。

今回のセキュリティアップデートに関する情報は、以下のサイトをご参照ください。
2008 年 2 月のセキュリティ情報　Microsoft TechNet
TechNet Webcast: 今月のワンポイント セキュリティ情報　Microsoft TechNet

また、MS08-008はVisual Basic 6.0のランタイムの再配布モジュール (oleaut32.dll)を修正しているそうなので、Visual Basic 6.0で開発されたアプリを利用している方は注意が必要になるかもしれません。

そして、IE7の自動配布が始まりました。IE7が標準（IEの中で）の時代が遂にやってきましたね。

＜参考＞
Microsoftの2月定例アップデートは「緊急」6件など，Vista SP1導入前に必要な修正もWUで　IT Pro　2008年2月13日
MS月例パッチ、Excelの脆弱性には未対処　ITmediaエンタープライズ　2008年2がう13日
2008年2月のセキュリティリリース予定（マイクロソフト）　このブログ
もうすぐＩＥ７の自動更新開始、自動更新防止方法を再確認しよう！ このブログ

ソフトウエアの脆弱性は減っているのか？

nternet Security Systems（ISS）が2007年の脆弱性公開件数が、初めて前年度比で減少したと報告しているそうです。
2007年の脆弱性公開件数、初めて前年下回る　ITmediaエンタープライズ　2008年2月6日

2005年から2006年に約41％増加したのに比べ、2006年から2007年では5.4％減少したそうです。しかし、件数は減少したのですが、公開される脆弱性の中で、重要な脆弱性が占める割合は増えているようです。

ただ、全体の件数は減少した半面、優先度の高い脆弱性の件数は28％増加している。研究者が単に、複雑で優先度の高い脆弱性の発見に力を注いでいるだけかもしれないとX-Forceは分析している。

確かにそうですね。ただ、個人的には重要度の高い脆弱性の発見を優先することも必要だと思います。ちなみに、この傾向はIPAの資料からも読み取ることができます。
ソフトウェア等の脆弱性関連情報に関する届出状況 [2007年第4四半期（10月～12月）]　IPA　2008年1月18日

また最近、広く普及しているアプリが頻繁にアップデートされていると思います。
Adobe Reader、QuickTime、Firefox――人気ソフトに脆弱性が相次ぐ　IT Pro　2008年2月8日

いずれについても、それぞれのソフトウエアが備える自動更新機能から、最新版をダウンロードおよびインストールできる。メーカーのWebサイトなどからも 入手可能。SANS Instituteでは、これらの脆弱性は攻撃者に狙われる可能性が高いとして、各ソフトウエアのユーザーに対して、できるだけ早急に最新版へアップデー トすることを推奨している。

こういった、普及アプリなら自動アップデートなどがあるので、ユーザも比較的簡単に対応ができます。しかし、これがマイナーなソフトだとなかなかそうは行かないんですよね。その辺りは既にこのブログで述べていました。
ほとんどのPCユーザはソフトのパッチを適用しない　このブログ

どんなソフトも人が作ったものですから、必ず脆弱性はあると思います。ましてや、近年ますます開発サイクルが短くなってきているわけですから、脆弱性が劇的に減ることはないでしょう。しかし、セキュリティを意識した開発手法の確立、普及や、脆弱性への対応を行う制度の確立により、脆弱性を少しずつ減らしていくことも可能なのではないでしょうか。各ベンダー、IPAなどに期待です。

2008年2月のセキュリティリリース予定 （マイクロソフト）

2008年2月のセキュリティリリース予定が公開されています。
2008年2月のセキュリティリリース予定　日本のセキュリティチームの Blog　2008年2月8日

今回は緊急7件、重要5件の計12件だそうです。また、セキュリティ以外の更新が7件、さらにIE7の自動配布も行われます。多いですね。ちなみに、今回のリリース日は2月13日です。今回も更新後に再起動が必要そうですね。

＜参考＞
「IE7の自動更新日」には修正パッチが12件、IE7の緊急パッチも公開　IT Pro　2008年2月8日
もうすぐＩＥ７の自動更新開始、自動更新防止方法を再確認しよう！　このブログ

「情報セキュリティ早期警戒パートナーシップ」による脆弱性の修正完了件数が1,000件に到達

IPAとJPCERT/CCは2004年7月以降、ソフトウエアやWebサイトに関する脆弱性情報をユーザーから受け付け、ソフトウエアの開発者やWebサイトの運営者などに報告し、修正のために必要な調整を行う活動を実施しています。そして、本活動によって修正されたソフトウェア、Webサイトが2007年第4四半期（10月～12月）で累計1000件を突破したそうです。

ただ、発表資料を読んでみると、報告された脆弱性は1,749件（ソフトウエア626件、Webサイト1,123件）なのに対し、修正された件数が1,002件（ソフトウェア254件、Webサイト748件）となっています。結構脆弱性が発見されたという連絡が行っても、修正されていないようです。せっかくこのような活動が行われているのですから、既知の脆弱性について放って置くようなことはせず、しっかりと対応して欲しいものですね。

ソフトウエア等の脆弱性関連情報に関する届出状況 [2007年第4四半期（10月～12月）]　IPA　2008年1月18日
「修正されたソフトとWebサイトが1000件突破」、脆弱性届け出の成果　IT Pro　2008年1月18日