Microsoft Excelの「マクロウィルス検知機能」が効かなくなる可能性についての情報です。
最近のExcelに実装されているマクロウィルス検知機能は、基本的には埋め込まれている自動実行マクロの検知機構ですが、これは一部の条件を満たすファイルを「信頼できるファイル」として扱います。その条件は、
1)パスワード保護されたファイル
2)初期設定用のディレクトリに格納されたファイル
となっています。
このうち1)は、例えばなんらかの利用条件の合意として「Agree」などの既知のパスワードを打ち込ませるようなインタフェースの場合、このファイルが信頼できるものとみなされることを意味します。
このマクロ検知機構は、マクロから無効にすることが可能であると見られています。同様の検知をおこなうWordにおいては、直接的にマクロプログラムからこの設定を変える方法が存在しますが、Excelにおいては直接的な方法は存在しません。しかし、この設定は特定の設定変数に格納されているため、レジストリの操作を行なうことで設定の解除という同様の結果を得ることができます。
以上2点の対策としては、Excelの検知機構を過信せず、パスワード保護された信頼できないファイルを開かないことや、きちんとこの機能が有効になっていることを定期的にチェックすることが重要です。また、一般的な対策として、信頼できないファイルを開かないこと、専用ソフトウェアによるウィルスチェックを定期的に行なうことも留意するといいでしょう。
参照URL:Bypassing Excel Macro Virus Protection
Windows用の個人利用向けhttpdであるPersonal Web Serverに、特殊なURLを使うことで、不正なファイルにアクセスが可能になるというバグが見つかりました。
これは、現行のPersonal Web ServerをWindows 95/98で動かしたときに生じるもので、Windows NTでは問題は生じないということです。
対策としては、下記のMicrosoftのページにパッチが用意されています。
なお、最初は「FrontPage付属のPersonal Web Serverにセキュリティホール」と同じものかと思いましたが、どうやら違うもののようです。(とはいえ、「特殊なURL」の例が見つけられなかったので、もしかしたら同じ物なのかもしれません)
参照URL:
MS99-010: Patch Available for File Access Vulnerability in Personal Web Server.
InternetWatchの記事
Microsoft Word上のマクロウィルスの1つである「Melissa」についての情報が様々なところで流れています。
まだ、国内ではそれほど広まっていないようですが、以前からの傾向を考えると近々影響を及ぼす可能性が高いと思われます。
今回のマクロウィルスは、通常のマクロウィルスのようなローカルのテンプレートへの感染に加えて、Outlookのアドレス帳から、アドレス帳1つあたり50人のアドレスを取り出し、そのアドレスに対して自動的に自らを送信する機能を持っています。なお、どうやらOutlook Expressは対象外のようです。
一回メールの発信を行なうと、レジストリの記録によりその後は他のファイルへの感染のみを行ないます。
また、一度動作すると、Officeのマクロ保護機能をoffにする機能も持っているというニュースもあります。そのため、一度感染した可能性がある場合には、再度マクロ保護機能をonにし直す必要があるでしょう。
なお、Word 97だけでなくWord 2000にも対応しているようで、Word 2000で開かれた場合には、レジストリを変更してセキュリティを最低限に変更したうえで、ユーザーがセキュリティを変更するためのメニューを無効にする機能まで持っているという話もあります。
他にも、特定の日付に、特定のフレーズを表示するという機能も持っているそうです。
対策は、基本的にこれまでのマクロウィルス同様、みだりに添付ファイルを開かないことです。
なお、現在見つかっているMelissaウィルスは、次のようなファイルを送信しています。改造版の流布などで、これ以外の内容のものがある場合も考えられますが、とりあえず以下の内容のメールには細心の注意を払って下さい。
Subject: Important Message From <被感染者の名前>なお、発見されているウィルスでの添付ファイルの内容は「自分が出したと思われたくない内容」だということなので、気をつけてください。
本文: "Here is that document you asked for... don't show anyone else ;-)"
添付ファイル名: "list.doc"(内容はウィルスの感染しているファイル自身)
Netscape Communicator 4.51までのバージョンに、他のウィンドウで表示されているページのURLを、JavaScriptから取得できるバグが見つかっています。
対策としては、例によってJavaScriptを無効にすることが挙げられます。
参照URL:
この件に関するデモ
Netscape Communicator 4.51 allows sniffing of URLs from another window
Apacheの1.3.6がリリースされました。
参照URL:
http://www.apache.org/
http://www.apache.org/dist/Announcement.html
SSLのフリーの実装ライブラリであるOpenSSLとSSLeayに問題があり、virtual hostingを行なっているWebサーバーなどで、セッションIDを不正に再利用し、特定のサーバへのSSLの認証をバイパスできてしまう可能性があります。
この問題は、本質的にはOpenSSL/SSLeayのコードの問題ではありませんが、OpenSSL/SSLeayのドキュメントの整備状況の問題もあり、ユーザプログラム側でこの問題を正しく修正するのはやや困難があるため、ライブラリ側での対処が行なわれました。
この問題が発生する環境は、SSLeayまたはOpenSSLのversion 0.9.2bより前のバージョンを用いており、virtual hostingのサーバー間で異なる設定でのクライアント認証を行なっているサーバー全てです。
これには、Apache-SSL、mod_ssl、Rave、Strongholdなどが含まれます。
この問題の解決のためには、OpenSSL 0.9.2bをhttp://www.openssl.org/などから入手し、ライブラリを再構築して下さい。また、必要なら次のバージョン以降のサーバに更新することが推奨されます。
Apache_SSL 1.3.4 + 1.32
mod_ssl 2.2.6-1.3.4
Raven 1.4.0
Stronghold 2.4.2
Linuxのディストリビューションの一つ、Suse Linuxの供給元であるSuSEからの情報によると、Unixの、少なくともLinuxのNetscape Communicator 4.5に付属しているtalkbackというツールに、システム上の任意のユーザーが、他のユーザーの任意のプロセスを強制終了させたり、あるいは任意のファイルを破壊することができる問題があることが判明しました。
これは、Netscape Communicator異常終了時の、talkbackの処理に問題があり、Communicatorの異常終了時に他のユーザープロセスなどへ影響を与えることができるというものです。
対策としては、Netscapeのインストールされているディレクトリにあるtalkbackという名前のファイル/ディレクトリを改名することで、talkbackプログラムを無効にすることがあげられています。
また、NC 4.51ではtalkbackをインストールしないように変更されているそうです。
参照URL:
SuSE Security Announcement Package: netscape-4.5-9
Security hole in Netscape Communicator's 4.5 "talkback" function
Windows 95/98上のフリーのメールクライアントであるProMail v1.21に、不正な情報窃取のコードが埋め込まれているという情報があります。
この情報によれば、このプログラムはSimTelやShareware.comなどに proml121.zip というファイル名で置かれており、POPサーバからメールを取得する際に、ユーザ名、メールアカウントアドレス、パスワードを含む情報を特定の無料メールサービスのアカウントに送信しているそうです。
なお、SecInfoではbugtraqからの情報以上の検証は行なっていませんので、その点に留意下さい。
参照URL:
Promail trojan
aeon laboratories
NetBSD 1.3.3と、currentの19990318より前のバージョンに、非特権ユーザーでのmountシステムコールの動作に問題があることがわかっています。
NetBSDに於いて、ファイルシステムのマウントを行なうmount(2)システムコールは、ユーザーがマウントポイントのディレクトリの所有者で、かつマウントする対象に対して読み込み権限を持っている限り、非特権ユーザでも実行することができます。
この際、自動的にnosuid及びnodevのオプションが設定され、ローカルユーザーが他人のsetuidファイルを生成したり、不正な権限設定のされたデバイスファイルを持ち込むことができないようになっています。
しかし、この機能においてnoexecフラグが設定されないため、ローカルユーザーがnoexecの設定されたファイルシステムにしか書き込めず、したがって管理者が用意した以外の実行形式を作成できないような設定がされている場合において、実行形式をファイルシステム経由で生成することが可能になるというのが今回の問題点です。
この問題に対しては、既に修正が行われています。
NetBSD 1.3.3のユーザーはパッチを当てて下さい。currentのユーザーは19990318以降のバージョンに更新することで解決することができます。
参照URL:NetBSD-SA1999-007 noexec mount flag is not properly handled by non-root mount
Linuxのディストリビューションの一つであるSlackware 3.6に、インストール手順の問題で、リモートからの攻撃を許す時間が存在することがわかっています。
この原因は、インストール終了後リブートした段階で、rootパスワードが設定されておらず、かつinetdが起動していてtelnetやrloginが可能になっていることにあります。
対策としては、可能ならインストール中、少なくともリブートする段階で動作中のネットワークからマシンを切り離すことが考えられます。リブート後、rootパスワードを設定することで危険な状態は終了します。
特に、ネットワークからNFSなどを利用してインストールした場合に厳重な注意です。また、リブート後のLILO boot loaderに2分のタイムアウトが設定されているため、リブートしてLILOの入力待ちの時点で放置しておくと自動的に危険な状態に移行してしまう点にも気をつけるべきでしょう。
参照URL:ISSalert: ISS Security Advisory:Short-Term High-Risk Vulnerability During Slackware 3.6 Network
NetBSD 1.3.3以前と、3月12日以前のcurrentバージョンにおいて、umapfsのコードに問題があり、ローカルユーザーがrootを含む他人のuser IDを取得することが可能であることがわかりました。
このumapfsは次のアーキテクチャのGENERIC kernelに標準で含まれています。
・NetBSD 1.3.3にパッチを当てる
・currentのユーザーは19990312以降のsource treeにアップグレードする
・以上の対策がとれない場合は、UMAPFSをカーネルの設定から外してカーネルを再構築する
参照URL:NetBSD-SA1999-006 umapfs problems
Microsoft Exchange 5.5のLDAP bindファンクションにバッファオーバーフローがあり、これを利用したDenial of Service攻撃及び任意のコードの特権下での実行が可能です。
すでにMicrosoftから、この問題に関するパッチが出ています。
参照URL:Microsoft Security Bulletin MS99-009, Patch Available for "Malformed Bind Request" Vulnerability
bind 8.2がリリースされました。
変更点は、Split DNSの追加や、5%ほど使用メモリを減らしたこと、ポータビリティーの向上や、レスポンス、パフォーマンスの改善などが行われています。また、追加機能として、Preliminary dnssec(Secure DNSのテスト実装)、Transaction signatures(同じく)、Incremental zone transfer(ゾーンの差分転送)なども増えています。
参照URL:
ISC BIND
変更点
予告通り、Internet Explorer 5.0日本語版がリリースされました。
参照URL:http://www.microsoft.com/japan/ie/
Netscape Communicatorの4.51がリリースされています。
このバージョンでは、Frame Spoof問題への対応が行われているといわれていますが、実際は行われていないようです。
参照URL:http://home.netscape.com/computing/download/
Solaris 2の印刷ジョブを取り消すコマンド/usr/bin/cancelにバッファオーバーフローがあり、少なくともSolaris for x86のバージョン 2.6、2.7ではroot権限の不正な取得が可能のようです。
Sunはこの問題を認識していますが、現時点ではパッチについては確認できていません。
参照URL:
buffer overflow in /usr/bin/cancel
Netscape Communicator 4に、JavaScriptの関数を用いてローカルな情報を不正に取得できるバグが見つかっているようです。このバグはILAYERタグとfind()関数を複合して用いることで発現するようです。
現時点での対策としては、やはりJava Scriptを切ることになるでしょう。
参照URL:
Netscape Communicator find() vulnerabilities
デモンストレーション(各自の責任の上で確認してください)
UltraSPARC系のチップを使ったプロセッサ上でSolaris 7を動作させた場合、procfsのバグにより通常のユーザーがOSをクラッシュさせることのできるバグが見つかっています。
この問題は、既にSunに報告されています。なおIntel版では、この問題は見つかっていません。
参照URL:64 bit Solaris 7 procfs bug
Windows 98とInternet Explorer 4.0がインストールされているPCからWebサイトへアクセスする場合に、ユーザーのPCを特定したり、MicrosoftによるID番号を読み取ることができるということが判明しました。
このバグは、Windows 98のRegWiz ActiveXコントロールを利用するもので、イーサーネットカードのMACアドレスから、マシン固有のID番号(?)を読み取ることができ、このID番号を利用して、ユーザーの情報を読み取ることができるということです。
Microsoftによると、対策としてはWindows 98のオンライン登録で収集されたハードウェア情報を送信しないよう指定すればいいということです。
参照URL:
C|NETの記事
Phar Lap Softwareによるデモ
この問題は、当初よりもかなり大きなものとなっています。
Windows Magazineの調査によると、Webサイトから情報を得られるだけではなく、情報を変更することや、その情報をMicrosoftへ送信することも可能だということです。
この問題で利用されるIDは、HWID(Hardware Identification)とMSID(Microsoft ID)というもので、前者はPCを認識するもの、後者はユーザーを認識するものとして用意されているようです。なお、MSIDはMicrosoftのWebサービスへアクセスする際に、Cookieとして送信されます。
つまり、この情報が変更可能だということは、かなりの確率でユーザーの認証を危うくしていることになるでしょう。
またMicrosoftの送信に関しては、Web側からRegWiz ActiveXコントロールを動かすことができ、それによって実現できるそうです。この機能が起動されると、画面に送信しているという表示が出ますが、それを止める方法はInternetへの接続を切る以外にありません。
Microsoftは、これらの問題に対して、オンラインユーザー登録の時にHWIDを記録するのをやめ、すでに登録されているHWIDも削除するといっています。また、2週間以内にレジストリからHWIDを削除するユーティリティーを配布するそうです。
現状でもレジストリエディタを使うことで、RegWiz ActiveXコントロールをオフにして、データを削除することが可能です。
参照URL:
レジストリエディタを使ってRegWizを無効にする方法
TechWireの記事
Windows Magazineの記事
Windows NTにおいて、スクリーンセーバーを経由することで、本来許されている以外のアクセス権を得ることができるセキュリティホールが見つかりました。この問題は、現在Windows NT 3.51のすべてと、Windows NT 4.0(SP1)、Windows NT 5.0β1、β2で確認されています。
これを利用することで、アカウントを管理者グループ(Administaror group)に加えることなどができます。
構造的にいっても、当然コンソールに座ってスクリーンセーバーを入れ換えることができなくては、このセキュリティーホールを悪用することはできませんが、コンソールに触れるローカルユーザーが信用できない場合などは注意する必要があるでしょう。
参照URL:
発見元のCybermedia Software
C|NETの記事
この件に関して、Microsoftから公式の発表とともに、対策のためのパッチがリリースされています。例によって、日本語版はまだです。
参照URL:Microsoft Security Advisor Program: Microsoft Security Bulletin (MS99-008)
Unix用のグラフを作成ソフトであるgnuplotを、Linux上で使う場合に、ローカルユーザーがroot権限を奪うことのできるバッファオーバーランがあることがわかりました。
この問題が起こる条件は、
・gnuplotの3.6系列までのバージョン
・gnuplotがsvgalib込みで設定されている
・gnuplotがroot setuidされている
です。ただし3.7系列であっても、残り2条件を満たす場合は下記の注意を参照して下さい。
この現象の背景は、svgalibが起動時にroot権限を要求し、実メモリデバイスである/dev/memを開いて、その後、起動した一般ユーザーに権限変更して動作することに起因します。
setuidされる可能性のないプログラムは、バッファオーバーランによっても通常のプログラムで可能な範囲のことしかできないため、バッファオーバーランに対する対策は一般にゆるいものになっています。また、svgalibが上記のような動作をするために、一般には「svgalibでは、初期化が終ればrootとしては動作しない」と思われています。
しかし実際には、rootとしてのユーザーID権限は放棄していますが、/dev/memへのハンドルを保持しているため、メモリ書き込みに関してはroot権限を保持しているのと同じ状態にあります。特権的なメモリ書き込みが可能な状況では、カーネルの内部構造の知識を持つコードはroot権限などを奪うことが可能になるわけです。
対策としては、一時的にroot setuidを解除することが推奨されます。これによりsvgalibを利用するterminalの利用はできなくなります。
bugtraq MLには、この問題を修正するパッチがあります。また、このコード自体は3.7では修正されていますが、gnuplotは基本的にはsetuidで使うようには設計されておらず、このような問題が他の場所で発見される可能性がありますので、この修正によってsetuidしても安全になったとは考えない方がいいでしょう。
また、svgalibを用いる他のツールについても、同様の問題がある可能性があります。svgalibを使用しておりroot setuidされているプログラムで、不要なもの、あるいはsvgalibを必ずしも使わないものについては、同様にroot setuidを解除しておくことが推奨されています。
参照URL:
Linux /usr/bin/gnuplot overflow