セキュリティの最近のブログ記事

全くMSさんもなにやってんだか・・・

Mozilla、Microsoft製Firefoxアドオンを無効化 - ITmedia エンタープライズ

　WebブラウザFirefox向けMicrosoft製アドオンが、ブロックリストに追加された。Mozillaが10月16日、公式ブログで明らかにした。

　ブロックリストとは、そのアドオンをインストールするとFirefoxの動作に問題が発生するとMozillaが判断したアドオンのリストで、このリストにあるアドオンはインストールできない。また既にインストールされている場合は無効化される。

　新たにブロックリストに追加されたのは、「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」。これらはMicrosoftの「.NET Framework 3.5 SP1」をインストールすると自動的にFirefoxにインストールされるもので、Microsoft自身が10月のセキュリティアップデートで深刻な脆弱性を認めた。根本の原因となる脆弱性は10月13日公開のセキュリティ更新プログラム「MS09-054」を適用すればFirefoxでも解決されると強調しているが、Firefoxユーザーに対し無効化を勧めていた。

　だが、このプラグインを完全にアンインストールするのは一部のユーザーにとっては難しく、また無効にしなかった場合のリスクが非常に高いことから、Mozillaはこれらをブロックリストに追加したという。Microsoftには同日この決定を連絡し、同意を得たとしている。

普通の人にとってはこれでも良いんじゃないだろうか？なんせタダだし。

Microsoftの無料セキュリティソフト：「Microsoft Security Essentials」はインストールすべきか？ - ITmedia エンタープライズ

　Microsoftが提供を開始したWindows用の無償セキュリティソフト「Security Essentials」は現在、セキュリティ研究者による検証を受けているところだ。同製品は、XP、Vista、そして近く登場するWindows 7に対応する。セキュリティ研究者たちは、Security Essentialsのような無償製品は理想的なソリューションではないと指摘しているが、現実には、同製品は悪質なプログラムがWindows環境に大混乱を引き起こすのを防ぐのに効果を上げている。

　しかし市場には依然として、Security Essentialsに対する懐疑的な見方も存在する。多くのコンシューマーと中小企業は、Security Essentialsをコンピュータにインストールすべきか、それともMicrosoftのロゴが付いていない製品を選ぶべきなのか迷っているようだ。セキュリティ問題に対するMicrosoftの従来の取り組みには不十分な面も見られたが、Security Essentialsパックはコンシューマーと中小企業ユーザーに理想的なソリューションであるように思える

FirefoxにFlashのバージョンが古くないかチェックする機能が追加されたらしい。

FirefoxがFlashをチェック、旧版には警告 - ITmedia News

　間もなくリリース予定のFirefoxブラウザ更新版に、プラグインのAdobe Flash Playerが最新のバージョンかどうかをチェックする機能が加わった。Mozillaがセキュリティブログで明らかにした。

　新機能を提供するのはFirefox 3.5.3とFirefox 3.0.14。ユーザーがFlash Playerの古いバージョンを使っている場合、Firefox更新版をインストールした後の告知ページに「すぐにFlash Playerを更新してください」という警告メッセージを表示し、Adobeのダウンロードページへと誘導する。

　Mozillaによれば、古いバージョンのプラグインを使っていると、クラッシュなど安定性の問題を引き起こすばかりでなく、セキュリティ上の重大なリスクを抱え込むことになる。

　特にFlash Playerは人気の高さに加え、80％ものユーザーが古いバージョンを使っているとの統計もあることから、まず対応することにしたという。今後はほかのプラグインベンダーとも協力して、同じようなバージョンチェック機能を提供する予定だとしている。

実態はトロイの木馬らしい・・・

Firefoxを狙う偽Flash Player、実態はトロイの木馬 - ITmedia News

　セキュリティ企業の英Sophosは、Firefoxブラウザ用のFlash Playerプラグインを装って感染を広げているマルウェアを見つけたとブログで伝えた。

　問題のファイルを実行するとインストール画面が現れ、「Adobe Flash Updated Successfully」（Adobe Flashのアップデートに成功しました）というメッセージを表示。Firefoxを再起動後、アドオン画面で拡張機能をチェックすると、「Adobe Flash Player 0.2」というプログラムが追加されている。

　しかしこのアドオンの実態はトロイの木馬で、ユーザーがGoogleで検索した内容を記録して外部のサーバに送信してしまうほか、ユーザーの検索用語に関連した広告をWebページに挿入する。Sophosはこのトロイの木馬を「FFSpy-A」と命名し、同社製品で検出できるようにした。

　FFSpy-Aはインターネットのフォーラムを通じて出回っているとみられ、感染を避けるためには知らないサイトや不審なサイトから実行可能ファイルをダウンロードしない方がいいとSophosは忠告している。

んなとこまでゆんゆんな状態になってるのか。世の中世知辛いな。。。

ドラクエIXで改造データとのすれ違い通信に注意　スク・エニが警告 - ITmedia News

　ニンテンドーDS用ソフト「ドラゴンクエストIX ?星空の守り人?」のすれ違い通信で、マジコンを使って改変した宝の地図が出回っているとし、スクウェア・エニックスがユーザーに注意を呼び掛けている。改変した宝の地図を開くと、プレイに悪影響が起きたり、ゲームが遊べなくなったりする恐れがあるという。

　すれ違い通信は、無線通信機能を使ってユーザー同士が「宝の地図」を交換できる機能。通信を通じ、一部ユーザーが改変した地図が広がっている。こうした地図を使うと、最悪の場合、冒険の書が破損する可能性もあることがネット上で報告されている。

早々にアップデートを！

OpenOfficeに深刻な脆弱性、アップデートで解決 - ITmedia News

　オープンソースのオフィススイート「OpenOffice.org」に深刻な脆弱性が見つかり、8月31日付で解決のためのアップデート版がリリースされた。

　問題を発見したセキュリティ企業Secuniaによると、脆弱性は特定の記録を解析する際の整数アンダーフローエラーと境界エラーに起因する。細工を施したMicrosoft Word文書を使って悪用された場合、バッファオーバーフローを誘発され、任意のコードを実行される恐れがある。

　影響を受けるのはOpenOffice.org 3.1.0までのバージョン。問題を解決した3.1.1は、OpenOfficeのダウンロードページから入手できる。OSはWindows、Solaris、Linux、Mac OS X Intel版に対応。日本語版も公開されている。

もうそんなものが出てくる時期なのね?、、、

"両刀使い"に：MacもWindowsも1本で3台まで――「ウイルスバスター2010」発表 - ITmedia +D PC USER

　トレンドマイクロは9月2日、最新セキュリティスイート「ウイルスバスター2010」の製品発表会を開催した。同日Webダウンロード版の先行販売を開始、パッケージ版は9月4日に発売される（→製品ラインアップと価格）。

　ウイルスバスター2010の最大の目玉は、Mac OS X向けの「ウイルスバスター for Mac」を同梱した点だ。ライセンス数は従来通り最大3台までだが、WindowsとMacを自由に組み合わせて利用できる。同社は「MacはOSとしては堅牢だがフィッシング詐欺などのOSに依存しない脅威には対策を取る必要がある」と強調し、実際にTwitterを利用して危険なWebサイトへ誘導するといった事例を紹介、Macを狙ったWebベースの攻撃が増加傾向にあると指摘する。

　また、ウイルスバスター2010では1枚のメディアにWindows版とMac版の両方が格納されており、使用するPCに応じて対応するインストーラが立ち上がる仕様だが、同社は「Macは安全」という認識とともに、「Mac向けセキュリティソフトウェアの価格（Windowsの約1.8倍）が高い」「購入できる場所がWindows向け製品に比べて少ない」ことなどがセキュリティソフトを導入する障壁になっているとし、「2009年版から価格を据え置いたまま同一パッケージに同梱する新しいライセンスを採用した」と説明した。

とりあえずAES使っとけ、ということで・・・

無線LANセキュリティ「WPA」をわずか1分以内で破る手法発見される | エンタープライズ | マイコミジャーナル

無線LANセキュリティ技術として利用されているWPAだが、より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。

日本の2人の研究者の発表によれば、同氏らが開発した手法を使えばWPAを利用したいかなるシステムであっても、1分とかからずに突破が可能だという。WPAの前身となるWEPの解読が数秒程度で可能なことはすでに知られているが、WPAもまたその脆弱性が明らかになりつつあるようだ。

今回の研究を発表したのは広島大学の大東俊博氏と神戸大学の森井昌克氏の2名で、8月6-7日に台湾で開催されたJWIS 2009 (Joint Workshop on Information Security 2009)の学会でその詳細が公開されている。JWIS 2009のサイトでその論文「A Practical Message Falsification Attack on WPA 」の内容が確認できる。

鍵長が短く、通信中に鍵の内容が変化しないWEPは潜在的な脆弱性を抱えていることは早期から知られており、その数々の問題を解決すべく実装が行われたのがWPAでサポートされている「TKIP (Temporal Key Integrity Protocol)」という方式だ。

TKIPの暗号化方式自体はWEPと同じものだが、鍵長が長くなっているほか(128bit)、一定時間ごとに鍵の内容が変化し、さらにパケット改竄やアクセスポイント偽装に対抗するためにMIC (Message Integrity Check)という64bitのメッセージダイジェストが追加されている。

WPAは無線LANのセキュリティ標準であるIEEE 802.11iの実装の一部であるとされ、より強力な暗号方式であるAES (Advanced Encryption Standard)を搭載したWPA2をサポートする機器が、802.11i標準準拠の製品として市販されている。これが802.11i、WPA、そしてWPA2の関係だ。

これが本当なら超危険。。。

Twitterに深刻な脆弱性？　つぶやきを見ただけでアカウント乗っ取りの恐れ - ITmedia エンタープライズ

　Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。

　この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25?26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。

　しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのscriptタグでさえも表示させることができてしまうという。これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうとブログ筆者は解説する。

　Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを犯したと筆者は断言。Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では解決になっていないとブログ筆者は反論している。

Chromeがバージョンアップしました。4件の脆弱性に対応したようです。

Google Chromeの2.0.172.43がリリース、4件のセキュリティ問題に対処 - ITmedia News

　米Googleは8月25日、ブラウザ「Google Chrome」の脆弱性を修正したアップデート版のバージョン2.0.172.43をリリースした。

　Googleのブログによると、Chrome 2.0.172.43では4件の脆弱性およびセキュリティ問題に対処した。このうち3件は、深刻度が4段階で上から2番目に高い「High」となっている。

　V8 JavaScriptエンジンの脆弱性は、Webページ上で細工を施したJavaScriptを使って悪用される恐れがあり、場合によってはデータが流出したり、攻撃者に任意のコードを実行されたりする恐れがある。

　libxml2にかんする2件の脆弱性では、攻撃者が不正なXMLを使ってGoogle Chromeのタブプロセスをクラッシュさせ、Sandbox内部で任意のコードを実行できてしまう。

　もう1件のセキュリティ問題は、MD2またはMD4のハッシュ関数アルゴリズムによる証明書を使うHTTPS（SSL）サイトの安全性が不十分だとして、アクセスできないようにする措置を取った。