マイクロソフト セキュリティパッチ「MS08-078」を緊急リリース

 IEの脆弱性に対する修正パッチ 12月18日に緊急リリース

に関して,告知通り日本時間の12月18日にセキュリティパッチ「MS08-078」が緊急リリースされた.今回のこのセキュリティパッチは,実に8日ほどで調査・検証・パッチ公開というすべての過程をこなして,驚くべきスピードで公開されたことになる.

 今回緊急リリースされた「MS08-078」に関して概要は以下に引用する.

 臨時パッチはIE 5.01、IE6/SP1、IE 7の脆弱性を解決するもので、自動更新やSCCM、SMS、WSUS、Windows Updateを通じて配布される。また、IE 8 β2も脆弱性の影響を受けるため、Microsoft UpdateWindows Updateまたはダウンロードセンターからパッチを入手する必要がある。

 脆弱性は、IEのデータバインディング関数内のポインタが不正であることに起因する。データバインディングはデフォルトで有効になっており、不正な細工を施したWebページをユーザーが閲覧した場合、リモートからコードを実行される可能性がある。
     MS、IEの緊急パッチ「MS08-078」を公開 - ITmediaより引用

 その他,ZDNetに関連記事が挙がっている.

 マイクロソフト、「Internet Explorer」の脆弱性に緊急対応 - ZDNet
 マイクロソフトのIEの臨時パッチに対する驚くべき対応 - ZDNet

関連:
[1] IEの未解決の脆弱性は全バージョンに影響 回避策は全部で9件
[2] Internet Explorer の脆弱性に関して セキュリティアドバイザリが更新
[3] 12月月例パッチが公開されるも,3つの未修正の脆弱性が存在する

記憶力や思考力を高める薬は合法化すべきなのか

 「脳を増強する薬」合法化を主張する『Nature』論説 - WIRED VISION

 これらの薬というのは,けっきょくは中枢神経系のレセプターにおけるアゴニスト/アンタゴニストである.それによって,神経回路網を賦活したりその抑制を解いたりして,記憶力や思考力を増強する.使い方を誤れば,当然ながら神経系に致命的なダメージを与えかねないし,下手をすれば死滅させてしまう恐れもある.

 けっきょくのところ,それは「必要な行為」なのかどうかってことなんだろう.メリットとデメリット(副作用)を考えて,メリットがデメリットを上回ればその行為を実施するわけだが,不必要なデメリットは負う必要は無い.そして,濫用することがあれば社会秩序を乱してしまう恐れがある.これらの薬は,けっきょくドラッグと同じなのだから,ドラッグと同じ理由で以って規制されてしかるべきなんじゃないだろうか.

 まあ,もし合法化されれば,認識力向上とか寝なくても大丈夫な薬なんかは喜んで使わしてもらうけどね.

関連:
[1] マウスにおいて,選択的にかつ安全に記憶を消去することができた

IEの脆弱性に対する修正パッチ 12月18日に緊急リリース

 IEの未解決の脆弱性は全バージョンに影響 回避策は全部で9件

に関して,ついにセキュリティパッチが緊急リリースされるらしい.影響を受けるのは,すべてのバージョンのIEである.また,最大深刻度は「緊急」であるため,早急にパッチを当てる必要がある.

 IEの修正パッチ,12月18日に緊急リリース - ITPro
 マイクロソフト、IEの脆弱性修正パッチを緊急リリースへ - COMPUTERWORLD.jp
 MS、定例外のセキュリティパッチを公開へ--IEの緊急レベルの脆弱性を修正 - ZDNet
 Internet Explorerの更新の事前通知 - 日本のセキュリティチーム (Japan Security Team)

 今回提供予定の修正パッチは、IEのデータ処理に関する脆弱性を解消するもの。細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。

---中略---

脆弱性の最大深刻度は、最悪の「緊急」。影響を受けるのは、現在サポート対象となっているすべてのIE(IE8ベータ2を含む)。当初はIE7しか影響を受けないとされていたが、その調査により、IE6やIE8ベータ2、IE 5.01/6 SP1(これらはWindows 2000のみ)も影響を受けることが明らかとなっているので要注意。
     IEの修正パッチ,12月18日に緊急リリース - ITProより引用

16日付けの事前通知(Security Bulletin Advance Notification)によると、同パッチの対象は、Windows 2000/XP/Vista/Server 2003/Server 2008の環境下でIE 5.01、IE 6、IE 7を使用しているユーザーとなっている。

 また、正式なサポート対象リストには含まれていないIE 8 Beta 2についても、同じ日にパッチがリリースされるもようだ。

 Microsoftでは今回のパッチを、同社の4段階評価方式で最も深刻度が高い「緊急(critical)」に分類している。しかしながら、同社広報担当者のクリストファー・バド(Christopher Budd)氏は、16日付けの電子メールの中で、「現時点で確認されているのは、脆弱性を悪用したIE 7への攻撃だけだ」と述べ、セキュリティ上の脅威は限定的との認識を示している。
     マイクロソフト、IEの脆弱性修正パッチを緊急リリースへ - COMPUTERWORLD.jpより引用

Opera 9.63がリリースされました

 Opera 9.63がリリースされました.今回のはセキュリティアップデートなので,Opera 9.62以前を使用している人はぜひぜひアップグレードを.

 Opera 9.63 for Windows


 変更点は以下の7件の模様.

Manipulating text input contents can allow execution of arbitrary code, as reported by Red XIII. See our advisory.
HTML parsing flaw can cause Opera to execute arbitrary code, as reported by Alexios Fakos. See our advisory.
Long hostnames in file: URLs can cause execution of arbitrary code, as reported by Vitaly McLain. see our advisory.
Script injection in feed preview can reveal contents of unrelated news feeds, as reported by David Bloom. See our advisory.
Built-in XSLT templates can allow cross-site scripting, as reported by Robert Swiecki of the Google Security Team. See our advisory.
Fixed an issue that could reveal random data, as reported by Matthew of Hispasec Sistemas. Details will be disclosed at a later date.
SVG images embedded using tags can no longer execute Java or plugin content, suggested by Chris Evans.
     Changes since Opera 9.62

 その他,INTERNETWatch,ITmediaZDNetに関連記事が挙がっている.

 「Opera 9.63」が公開、脆弱性6件を修正 - INTERNETWatch
 Opera 9.63が公開、深刻な脆弱性に対処 - ITmedia
 オペラ、7件の脆弱性に対応した「Opera 9.63」を公開 - ZDNet

Opera 9.63では、入力されたテキストが悪用されると任意のコードが実行可能だった問題など、危険度の高い脆弱性を含む6件の脆弱性を修正した。また、imgタグで埋め込まれたSVG画像から、Javaプラグインが実行できないよう仕様が変更された。
     「Opera 9.63」が公開、脆弱性6件を修正 - INTERNETWatchより引用

変更履歴によると、Opera 9.63では7項目のセキュリティ問題に対処した。この中にはテキストエリアコンテンツを操作して任意のコードを実行される問題や、特定のHTML構造によってクラッシュが誘発される問題など、「極めて深刻」な脆弱性が複数含まれる。
    Opera 9.63が公開、深刻な脆弱性に対処 - ITmediaより引用

今回のアップデートが対応している中で最も深刻な2つの欠陥の1つ目は、攻撃者が入力テキストを操作してバッファオーバーフローを起こし、任意のコードを実行可能にするというものだ。これにより、攻撃者はコンピュータをリモート制御できるようになる。2つ目はHTMLのパースに関わるもので、ある種のHTML記述を利用することで予期しない変更を引き起こし、クラッシュを誘発するという。ただし、Operaの勧告によれば、コードを侵入させるにはさらに別の手段を使う必要があるという。

 また、3つの問題が「深刻度が高い」と分類されている。1つ目は「file: URL」形式で長いホスト名を記述してバッファオーバーフローを引き起こし、任意のコードを実行させるというものだ。ただし、攻撃を実行するには、ユーザーをだまして悪意あるURLを手動で開かせる必要があるとOperaは説明している。

---後略---
     オペラ、7件の脆弱性に対応した「Opera 9.63」を公開 - ZDNetより引用

IEの未解決の脆弱性は全バージョンに影響 回避策は全部で9件

 12月月例パッチが公開されるも,3つの未修正の脆弱性が存在する

で紹介した未解決の3件の脆弱性のうち,IEに関する脆弱性が1件あった.そして,当初はIE7のみで問題が確認されていたが,早い段階で全バージョンにも影響があることが分かった.

 IEの脆弱性は全バージョンに影響 MSがアドバイザリを公開

このことに関しては,国内ITニュースサイトのITmediaZDNetにも記事が掲載されている.

 IEの未解決の脆弱性は全バージョンに影響 - ITmedia

 「Internet Explorer」のパッチ未対応の脆弱性、影響は全バージョンに - ZDNet


 heiseSecurityやComputerworld.jpによれば,この脆弱性を悪用した攻撃が,さっそく激増しているらしい.

 Zero day exploit for Internet Explorer is spreading - heiseSecurity

 IEに対する攻撃が激増――マイクロソフトが脆弱性の存在を明らかにした翌日から - COMPUTERWORLD.jp


そのため,IEユーザーで未対策な方は,早急に対応策を講じる必要がある.また,修正パッチが無いため,各自がそれぞれの環境に合った次善策を講じなければならない.対応策に関しては,Microsoftから全9件の回避策が公表されている.

 パッチが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」 - ITPro

より詳しくは以下の記事も参照されたい.

 Internet Explorer の脆弱性に関して セキュリティアドバイザリが更新

 Microsoftが提示する回避策以外に,より簡便であり効果的な方法としては,IEの代わりにOperaFirefoxを使うことが挙げられる.修正パッチが公開されるまでは,この脆弱性の影響を受けない代替ブラウザを使用することが推奨される.

Google Chromeのパスワード管理機能のセキュリティは最低レベル 主要ブラウザも低スコア

 Richard Chapin氏によれば,パスワード管理機能(password management)のセキュリティテストをしたところ,「Google Chrome」のスコアが最も低かったとのこと.しかも,「Google Chrome」が他のブラウザよりもハンディがある状態であったにもかかわらずだ.

 今回のこのテストでは,フィッシング詐欺によってアカウントやパスワードが騙し取られないように,21のテスト項目によってブラウザのパスワード管理機能のセキュリティを調べている.テストの対象となったブラウザは以下の5種類であり,

スコアは次の通りであった.

Test Performed Opera 9.62 Firefox 3.0.4 Internet Explorer 7.0 Safari 3.2 Google Chrome 1.0
Totals 7 7 5 2 2

 Google Chrome bottom in Password Security - heiseSecurity

 Google Chrome Receives Lowest Password Security Score - Chapin Information Services

He tested Google Chrome during its beta period and Chapin's company, Chapin Information Services (CIS) had reported three bugs in Chrome that were not fixed by release time. Chapin said that, along with seventeen other issues in Chrome's password manager, they created "a toxic soup of potential vulnerabilities that can coalesce into broad insecurity".
     Google Chrome bottom in Password Security - heiseSecurityより引用

 「Google Chrome」のパスワード管理機能にはCIS(Chapin Information Services)から報告された未修正のバグが3つと,その他にも17件の問題点が存在する.それは,Chapin氏曰く「広範な危険へと結びつく有毒な潜在的脆弱性のスープが作り出されている」といった状態だ.

No browser scores well on Chapin's tests. The "winner" was Opera 9.62, which only passed 7 of the 21 tests. CIS have a test suite which allows users to evaluate their own browser against the CIS tests.
     Google Chrome Receives Lowest Password Security Score - Chapin Information Servicesより引用

 どのブラウザもChapin氏のテスト結果は良くなかった.今回のテストでの勝者は「Opera 9.62」であった.それでも,21のテスト項目のうち7つしかパス出来なかったが.CISではユーザーがユーザー自身のブラウザでCISテストを試すことが出来るよう,「Password Manager Evaluator v2.0」というものを設けている.

 今回のテスト結果では,どのブラウザも非常に低いスコアだった.特に,ChromeSafariはひどい結果だった.ブラウザのパスワード管理機能を,市販のパスワード管理ソフトの代わりに使うのは,セキュリティ上宜しくないのかもしれない.ブラウザのパスワード管理機能を利用している場合は,このテスト結果を踏まえた上で,フィッシングにはくれぐれも注意して欲しい.

Internet Explorer の脆弱性に関して セキュリティアドバイザリが更新

 IEの脆弱性は全バージョンに影響 MSがアドバイザリを公開

に関して.

 マイクロソフト セキュリティ アドバイザリ (961051)が更新され,回避策が3件追加されている.

各回避策の設定方法等,詳しくはマイクロソフト セキュリティ アドバイザリ (961051)を参照されたい.


追記 2008/12/14 14:00

 IE脆弱性に対する各次善策に関して,下記"Security Vulnerability Research & Defense"に分かりやすい分類が載っていたので紹介する.

 Clarification on the various workarounds from the recent IE advisory - Security Vulnerability Research & Defense

(A) block access to the vulnerable code in MSHTML.dll via OLEDB, protecting against current attacks
(B) apply the most secure configuration against this specific vulnerability.
Optionally, you may choose to (C) make it much harder to heap spray.

The table below lists what type of protection each advisory workaround provides.

Workaround A B C
1. Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones X X
2. Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone X X
3. Disable XML Island Functionality X
4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL X
5. Disable Row Position functionality of OLEDB32.dll X
6. Unregister OLEDB32.DLL X
7. Use ACL to disable OLEDB32.DLL X
8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008 X
9. Disable Data Binding support in Internet Explorer 8 X X

Applying a workaround from the (A) column will protect against current attacks but to comprehensively protect against the vulnerability, we recommend that you also apply a workaround from the (B) column.
     Clarification on the various workarounds from the recent IE advisory - Security Vulnerability Research & Defenseより引用

 (A)コラムの回避策は,現在確認されている攻撃を防ぎ,「OLEDB」経由で「MSHTML.dll」に攻撃コードがアクセスすることを防ぐ.(B)コラムの回避策は,今回の脆弱性に対して最も効果がある設定である.(C)の設定は,補助的な対策であり,より"heap spray"を困難にすることが出来る.(A)に属する回避策は,現在確認されている攻撃を防ぐことが出来るが,脆弱性に対して総合的な対策をするならば,(B)に属する回避策を合わせて適用することが推奨される・・とのこと.

 回避策に関して,それぞれシステムに影響を及ぼすため,影響の少ないものを選択して適用する必要性がある.各回避策の影響に関しては,

 マイクロソフト セキュリティ アドバイザリ (961051)

を参照して欲しい.

 一般ユーザーに関しては,OperaFirefoxといったIE以外のブラウザを使うほうが賢明だろう.

関連:
[1] IEの脆弱性は全バージョンに影響 MSがアドバイザリを公開
[2] 12月月例パッチが公開されるも,3つの未修正の脆弱性が存在する