現在地 HOME > 掲示板 > 戦争34 > 368.html ★阿修羅♪ |
|
最新、セキュリティ情報。
ここ阿修羅は、シオニスト等、敵にとって危険なサイトである。当然、
おとりリンクや、クロスサイト・スクリプティング、受動攻撃、クラッキ
ング等攻撃があると考えておいた方が良い。以下、一番よく使われている
IE(インターネットエクスプローラー)に関する最新セキュリティ情報
である。特に下記、お勧め設定の部分は重要。但し、「3」のところを設
定すると、普通にフリーソフトを使いたい時などもダウンロードできなく
なるので、その時には臨時に「3」の設定を外すようにする。あるいは、
> なお余談ではあるが,Netscapeブラウザには,IEとは異なる特徴がもう
>一つある。Netscape ではセキュリティ・ホールが見つかってもパッチを
>公開せず,アップグレードで対応している。そのため,ユーザーは絶えず
>最新版にバージョンアップしていく必要がある。覚えておこう。
とのことなので、IE(インターネットエクスプローラー)とは別に、
最新版のNetscapeブラウザを並行して使うようにする。普通のネット・サ
ーフィンではセキュリティをガチガチに固めておいたIE(インターネッ
トエクスプローラー)を使い、信頼できるサイトからのソフトやドライバ
のダウンロードの時には最新版のNetscapeブラウザの方を使うと言うよう
に使い分けると言う手もある。
また、「4」の部分はレジストリをいじるので、くれぐれも他の所を間
違えていじらないように気をつけること。また、以下元の文を全文載せて
おくので参考にしてください。
※お勧め設定
>◆IEを使い続けるための“お勧め”設定 2002年3月27日版(powered by
>「今週のSecurity Check」)
>
>1、IE の「インターネット オプション」の「セキュリティ設定」におい
> て,インターネット・ゾーンとイントラネット・ゾーンの「ActiveX コ
> ントロールとプラグイン」の項を,すべて無効にする
>2、同様に,「Microsoft VM」と「スクリプト」の項をすべて無効にする
>
>3、同様に,「ダウンロード」の項の「ファイルのダウンロード」を無効
> にする(IE 6のみが対象。今回追加)
>4、レジストリを変更して,「マイ コンピュータ・ゾーン」の「未署名
> の ActiveX コントロールのダウンロード」を自動で実行されないよう
> に設定する(今回追加)。具体的には,「regedit」コマンドを使用し,
> キー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0」の
> 「1004」(未署名の ActiveX コントロールのダウンロード)のDWORDの
> 値を,「0」(与えられたアクションを許可)から「3」(与えられたア
> クションを禁止)に変更する
>5、IE の「インターネット オプション」の「詳細設定」において,「マ
> ルチメディア」の項の「Web ページのアニメーションを再生する」,
> 「Web ページのサウンドを再生する」,「Web ページのビデオを再生す
> る」のチェックをすべて外す
また、下記も参照乞う
◎緊急!!!セキュリティ連絡。
http://www.asyura.com/0304/war30/msg/689.html
投稿者 クエスチョン 日時 2003 年 4 月 05 日 14:03:28:WmYnAkBebEg4M
インターネットで情報収集する際の注意点。
http://www.asyura.com/0304/war29/msg/493.html
投稿者 クエスチョン 日時 2003 年 3 月 29 日 13:06:18:WmYnAkBebEg4M
以下、日経BPのITProサイトより全文。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030517/1/
IEにセキュリティ・ホール,スクリプトを無効にしても攻撃を受ける
「ファイルのダウンロード」を無効に,怪しいサイトには近づかないこと
が一番
Internet Explorer(IE)の危険なセキュリティ・ホールが,「Bugtraq」
や「NTBugtraq」といったセキュリティ関連メーリング・リストに5月10日
以降報告されている。最新のパッチを適用して,なおかつ「インターネッ
トオプション」のセキュリティ設定でスクリプトに関する機能をすべて無
効にしていても,攻撃を受ける可能性がある。
具体的には,細工がほどこされたWebページを閲覧すると,悪意がある
プログラムを実行させられる。対策は,怪しいサイトに近づかないこと。
「ファイルのダウンロード」を無効にすることでも,プログラムを実行さ
せられることは防げる。
マイクロソフトやセキュリティ組織からは,このセキュリティ・ホール
に関する報告やパッチは公開されていない。しかし,セキュリティ・ホー
ルの発見者や検証者が公開したExploit(検証用のコード)で試したとこ
ろ,IT Pro編集部の環境(すべてのパッチを適用したIE 6 SP1+Windows
2000の環境)でも再現されたので,警告を呼びかけるために報じる。
攻撃方法はとても容易である。例えば攻撃者は,悪意があるファイルを
指定したiframeタグを繰り返し記述したWebページを用意するだけでよい。
IEユーザーがそのページを閲覧すると,指定されたファイルに対する処理
をユーザーに求めるダイアログが表示される(写真)。iframeタグが繰り
返し記述されているために,このダイアログは次々に表示される。ここま
では仕様通りである。ところが,次々と表示されているうちに,ユーザー
が何の指定をしなくても“なぜか”指定されたファイルが勝手にダウンロ
ードされて,実行されてしまうのである。
どの程度ダイアログを表示した後に実行されてしまうのかは,ユーザー
の環境によって異なるようである。また,メーリング・リスト
「NTBugtraq」への投稿によると,Exploitを試しても再現されなかったと
するユーザーがいるようだ。この現象が起こる原因についても現在のとこ
ろ不明である。
とはいえ,実際に再現できた以上,何らかのセキュリティ・ホールが存
在することは確かだ。用心する必要がある。対策の一つは,「ファイルの
ダウンロード」を無効にすること。ファイルのダウンロードを無効にして
おくことは,IT Proコラム「今週のSecurity Check[一般編]で紹介した※
「“お勧め”設定」に含まれているので,この設定を施しているユーザー
ならば,悪意があるファイルをダウンロードおよび実行してしまうことは
ない。
ただし,「セキュリティの警告」(写真)ダイアログは次々と表示され
る。その結果,IEのプロセスはハングアップしてしまう。いわゆる,「ブ
ラウザ・クラッシャ」と同様の“効果”をもたらすことになる。次から次
へとダイアログが表示されてしまったら,IEを閉じたり,タスクマネージ
ャでIEのプロセスを停止する必要がある(IEを停止できない場合にはパソ
コンをリセットする)。
NTBugtraqのエディタである,米TruSecureのRuss Cooper氏の投稿によ
れば,攻撃者のサイトを「制限付きサイト」に登録しておけば,ファイル
を実行させられることも,ダイアログが表示されることもない。実際に試
したところ,その通りだった。しかし,そのような登録をするぐらいなら,
怪しいサイトの閲覧を控えるべきだろう。
とにかく,怪しいサイトに近づかないことが最も有効な対策である。い
まさらではあるが,肝に銘じておきたい。
◎参考資料
◆Flooding Internet Explorer 6.0.2800 (6.x?) security zones !
[CRITICAL]
◆Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! -
UPDATED
◆Re: Flooding Internet Explorer 6.0.2800 (6.x?) security zones !
- UPDATED
◆Re: Flooding Internet Explorer 6.0.2800 (6.x?) security zones !
- UPDATED
◆「Unpatched IE security holes」
(勝村 幸博=IT Pro)
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20020326/1/
※お勧め設定
ファイルを勝手に実行するホールがIEに,“お勧め”設定の見直しを
増える使用上の制限,ただし安易な「信頼済みサイト」登録は禁物
今週のSecurity Check [Windows編] (第60回,2002年3月27日)
マイクロソフトからは公表されていない,Internet Explorer(IE)の
セキュリティ・ホールがまたもや明らかにされた。当然パッチは公開され
ていないので,設定変更で対応する必要がある。新しいセキュリティ・ホ
ールが次々と見つかるために,先月紹介した“お勧め”設定ではもはや対
応しきれない。新たなお勧め設定をまとめたので,参考にしてほしい。
ファイルを勝手に実行するセキュリティ・ホール
セキュリティ・ベンダーであるラックは3月18日,IE 6 のセキュリティ
・ホールを公開した。同社の「SecureNet Serviceチーム」により発行さ
れたアドバイザリ「SNS Advisory No.48 Microsoft Internet Explorer 6
Still Download And Execute ANY Program Automatically」で明らかに
された(関連記事)。
マイクロソフトからは,このセキュリティ・ホールに関する情報やパッ
チは公開されていない。ラックでは2月13日に米Microsoftに通知したもの
の,30日間経過後も情報が提供されなかったので,セキュリティ・ホール
の存在を公開したという。ただし,セキュリティ・ホールの詳細について
は明らかにしていない。
ラックのアドバイザリによると,IE 6 には,Webページを閲覧しただけ
でファイルを自動的にダウンロードして,実行してしまう問題があるとい
う。非常に深刻なセキュリティ・ホールであり,第二の“Nimda騒動”が
発生する恐れさえある。
このセキュリティ・ホールは,過去のすべてのパッチを適用しても対応
できない。唯一の回避策は,IEの「インターネットオプション」メニュー
から,ユーザー自身が必要と思うゾーンに対して,「ファイルのダウンロ
ード」を無効にすることとしている。マイクロソフトからのパッチ公開と
いった,根本的な対応がなされるまでは,設定変更を徹底しよう。
なお,ラックのアドバイザリに対して,米Microsoftは「Inaccurate
Claims Regarding IE Security Vulnerability」(英語情報,「IEのセキ
ュリティぜい弱性に関する不正確なクレーム」)という反論を,同社の
「TechNet Online」Securityコーナーに掲載した。【3月27日 IT Pro注記】
米Microsoftは上記反論の掲載を中止した。現時点では同ページにアクセ
スできない。
米Microsoftによると,ラックの指摘では「2001 年 12 月 13 日
Internet Explorer 用の累積的な修正プログラム (MS01-058)」のパッチ
では取り除けないセキュリティ・ホールがあるとしているが,それは誤り
であるという。あるサード・パーティの「media player」がインストール
されている場合のみ問題が再現されるので,IE やセキュリティ・パッチ
とは関係がないとしている。
しかし,米Microsoftの主張が正しいとしても,ユーザーにとっては関
係がない。IE そのものの問題であろうがなかろうが,IE を使用している
環境で問題が発生することが重要なのだ。
IEの“新”お勧め設定
今回のセキュリティ・ホールと,前回のコラムで紹介した「GreyMagic
Security Advisory GM#001-IE」が公開されたことで,前々回のコラムで
紹介した“お勧め”設定では対応しきれなくなった。そこで,最新のお勧
め設定を以下に示す。
◆IEを使い続けるための“お勧め”設定 2002年3月27日版(powered by
「今週のSecurity Check」)
1、IE の「インターネット オプション」の「セキュリティ設定」におい
て,インターネット・ゾーンとイントラネット・ゾーンの「ActiveX コ
ントロールとプラグイン」の項を,すべて無効にする
2、同様に,「Microsoft VM」と「スクリプト」の項をすべて無効にする
3、同様に,「ダウンロード」の項の「ファイルのダウンロード」を無効
にする(IE 6のみが対象。今回追加)
4、レジストリを変更して,「マイ コンピュータ・ゾーン」の「未署名
の ActiveX コントロールのダウンロード」を自動で実行されないよう
に設定する(今回追加)。具体的には,「regedit」コマンドを使用し,
キー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0」の
「1004」(未署名の ActiveX コントロールのダウンロード)のDWORDの
値を,「0」(与えられたアクションを許可)から「3」(与えられたア
クションを禁止)に変更する
5、IE の「インターネット オプション」の「詳細設定」において,「マ
ルチメディア」の項の「Web ページのアニメーションを再生する」,
「Web ページのサウンドを再生する」,「Web ページのビデオを再生す
る」のチェックをすべて外す
もちろん,現在公開されているIEのセキュリティ・パッチをすべて適用
することが前提条件だ。
ただし,ここまで機能を制限すると,閲覧できないサイトが多くなるこ
とも事実だ。そのため,頻繁に訪れるWebサイトをすべて「信頼済みサイ
ト・ゾーン」に登録して,閲覧を可能にしようとするユーザーも多いだろ
う。
しかし,安易に信頼済みサイト・ゾーンにサイトを加えてはならない。
そのWebサイト自身に悪意がなくても,最近指摘が相次いでいる「クロス
サイト・スクリプティング」のぜい弱性があった場合,信頼済みサイト・
ゾーンで許している動作を,攻撃者から自由に行われる恐れがあるからだ。
そのため,スクリプトを有効にしないと閲覧できない場合や,ファイル
のダウンロードが必要な場合には,Java機能を無効にした「Netscape」の
最新版を使用することをお勧めしたい。
以前のコラムでは,「Netscape 6.2.1 日本語版」を紹介したが,現在
の最新版は「Netscape 6.2.2 英語版」である。3月21日にリリースされ
ている。日本語版OSでも使用可能である。
バージョンアップの内容については,英語情報の「Netscape 6.2 - 6.2.
2 Release Notes」に記載されている。ただし,この情報に記載されてい
る「Security」の項は,6.2.2そのものとは直接関係がないようだ。英語
情報の「Netscape Security Center」を見ると,Netscapeに同こんされて
いる「Sun JRE (Java Runtime Environment)」の問題であることがわかる。
6.2.2 に含まれる Sun JRE では,この問題は解消されている。なお,日
本語情報の「Netscapeセキュリティ・ノート」には,前回のコラムで指摘
した時よりは情報が充実しているものの,この情報についての記載はない。
原稿執筆時(3月24日現在),公開されている6.2.2 は英語版だけであ
る。しかし,日本語版OSでも使用可能だ。これは,Netscape ブラウザの
特徴の一つで,IE とは異なる。メニューなどは当然英語ではあるが,日
本語のWebページを問題なく閲覧できる。最近の傾向では,日本語版は英
語版から数日遅れで公開されている。しかし,このコラムを読まれた時点
でも日本語版が公開されていなければ,英語版の導入をお勧めする。
なお余談ではあるが,Netscapeブラウザには,IEとは異なる特徴がもう
一つある。Netscape ではセキュリティ・ホールが見つかってもパッチを
公開せず,アップグレードで対応している。そのため,ユーザーは絶えず
最新版にバージョンアップしていく必要がある。覚えておこう。
また,筆者自身は使用したことがないが,「Opera」という選択肢もあ
るだろう(関連記事)。
IEの追加情報と更新パッチがそれぞれ公開
上記以外の,Windows関連のセキュリティ・トピックス(2002年3月24日
時点分)を,各プロダクトごとに整理して解説する。
各種クライアント・アプリケーションについては,「マイクロソフト
セキュリティ情報一覧」にて,追加情報と日本語版更新パッチがそれぞれ
1件ずつ公開された。
(1)Java アプレットがブラウザ トラフィックをリダイレクトする
(MS02-013)
前回のコラムでお知らせした通り,ビルド 3802 自身を含む3802 まで
の Microsoft VM のすべてのビルドにおいて,セキュリティ・ホールが見
つかった(関連記事)。Microsoft VM ビルド 3805 またはそれ以降にア
ップグレードすれば回避できる。
もちろん,今回紹介した“お勧め”設定通りに,「Microsoft VM」の項
をすべて無効にすることでも,回避可能である。
今回,セキュリティ情報が更新され,「MS99-045」で公開された「仮想
マシン ベリファイア」 問題の“変種”に関する情報が追加された。この
セキュリティ・ホールを悪用されると,ユーザー・マシン上で任意のコー
ドを実行される恐れがある。
このセキュリティ・ホールについても,ビルド 3805をインストール済
みであれば問題はない。情報として押さえておこう。
なお前回のコラムで,マイクロソフトのレポートでは,JVIEWコマンド
によるビルド番号の確認方法が日本語訳されていないことを指摘した。こ
れについては,FAQである「よく寄せられる質問」がようやく和訳され,
改善された。
(2)Internet Explorer の不正な VBScript 処理により Web ページがロ
ーカル ファイルを読み取る (MS02-009)
セキュリティ・ホールの内容については,過去のコラムで紹介済みなの
で割愛する。レポートと同時に公開された日本語版パッチを適用すれば対
応可能である。
ただし,このパッチによって無効にされる,VBScript の動作に依存す
るサード・パーティのアプリケーションが存在する。それらのアプリケー
ションは,このパッチを適用したマシンでは正常に動作しないことが確認
されている。
さらに,レポートには記載がないものの,このパッチは一度適用すると,
アン・インストールできず,簡単には無効にできない。そのため,業務に
支障をきたした事例を,筆者自身耳にしている。
そこで今回,修正された更新パッチが公開された。今回のパッチは,以
前のパッチを適用した環境にそのまま適用できる。この問題については,
サポート技術情報の「P319847: MS02-009 の適用後 VBScript とサードパ
ーティ アプリケーションの間で互換性の問題が発生する」にも詳しい。
こちらも確認しておこう。
文字化け問題を解決するパッチが公開
各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,パ
ッチ情報が1件追加された。
(1)Windows Shell の未チェックのバッファにより,コードが実行され
る (MS02-014)
前回のコラムでお知らせした,上記セキュリティ・ホールに対する新た
なパッチが公開された。
3月8日時点で公開された日本語版パッチを適用すると,文字化けが発生
するとの報告が複数寄せられていた。それを受けて,3月12日にマイクロ
ソフトから「一部画面表示が正しく行われない問題が確認されました」と
の正式コメントが公開され,Windows NT 4.0 アクティブデスクトップ使
用環境 (PC/AT 互換機) 用と,Windows NT 98/98 Second Edition 用日本
語版パッチの公開が中止された。
そして3月15日に,上記問題を修正した新しいパッチが公開された。問
題があるパッチを適用している場合は,新しいパッチを再適用すれば解消
される。加えて,当初は公開されていなかった,Active Desktop を使用
していない環境でのWindows NT 4.0用日本語版パッチも公開された。
なお,Windows 2000用については,当初公開された日本語版パッチに問
題はない。Windows NT 4.0 Terminal Server Edision 用のパッチは,現
在も準備中である。
SNMPに関するNT用のパッチが公開
各種サーバー・アプリケーション関連では,「マイクロソフト セキュ
リティ情報一覧」にて,パッチ情報が1件追加された。
SNMP サービスに含まれる未チェックのバッファにより,任意のコードが
実行される (MS02-006)
以前のコラムでお知らせした,SNMPに関するセキュリティ・ホールのパ
ッチが追加された。当初,Windows XP用とWindows 2000用のパッチが公開
されていたが,Windows NT 4.0 用とWindows NT 4.0 Terminal Server
Edition 用の日本語版パッチが新たに公開された。
なお,以前のコラムで述べたように,Windows ME 以外の Windows OS
はすべて SNMP を実装しているが,デフォルトではインストールおよび実
行されていないので,設定を変更していなければ影響を受けることはない。
また,エッジ(境界)ルーターやファイアウオールにおいて,「SNMP
サービス用ポート(UDP ポート 161 および 162)をブロックする」ある
いは「SNMP サービスへの接続をIPアドレスで制限する」ことで,外部か
らの脅威を回避できる。
ワームの情報が1件公開
「TechNet Online セキュリティ」では,ワーム(ウイルス)に関する
ドキュメント「Fbound に関する情報」が公開された。
Fbound とは,日本語あるいは「Important Message」のタイトルで,
「Patch.exe」を添付ファイルに持つワームである。添付ファイルを実行
しなければ感染しない(関連記事)。
前回のコラムでお知らせした「Gibe に関する情報」,「Sharpei に関
する情報」と同様に,マイクロソフトのセキュリティ情報(パッチ)だと
思わせるワームであるが,マイクロソフトから一般のユーザーへパッチが
送付されることはない。同じようなワームが今後も出現する恐れがあるの
で,注意してほしい。
SNS Advisory
◆SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download
And Execute ANY Program Automatically (2002年 3月18日)
マイクロソフト セキュリティ情報一覧
『Internet Explorer』
◆2002 年 3 月 4 日 VM 用の累積的な修正プログラム (MS02-013)
(2002年3月22日:セキュリティ情報が更新され,MS99-045 の変種につ
いての情報追加,最大深刻度 : 高)
◆Internet Explorer の不正な VBScript 処理により Web ページがロー
カル ファイルを読み取る (MS02-009)
(2002年3月19日:「警告」の欄が更新され,サードパーティのソフト
ウェアでの非互換問題と,その問題に対処する変更された修正パッチ公開
の情報追加,最大深刻度 : 大)
『Windows 2000/NT 4.0/NT 4.0 Terminal Server Edition/98 Second
Edition/98』
◆Windows Shell の未チェックのバッファにより,コードが実行される
(MS02-014)
(2002年3月15日: Windows NT 4.0[Active Desktop 使用環境],
Windows 98/98 Second Edition の日本語版修正パッチの更新,及び
Windows NT 4.0[Active Desktop を使用していない環境用]の日本語版修
正パッチ公開,最大深刻度 : 中)
『Windows 95/98/98SE/NT 4.0/NT 4.0 Server, Terminal Server
Edition/2000/XP』
◆SNMP サービスに含まれる未チェックのバッファにより,任意のコード
が実行される (MS02-006)
(2002年3月15日: Windows NT 4.0 Terminal Server Edition 用の日
本語版修正パッチ公開,最大深刻度 : 中))
(2002年3月13日: Windows NT 4.0 用の日本語版修正パッチ公開,最
大深刻度 :中)
TechNet Online セキュリティ
◆Fbound に関する情報 (2002年 3月14日)