チェックしておきたいぜい弱性情報＜2009.07.10＞

　7月6日までに明らかになったぜい弱性情報のうち，気になるものを紹介します。それぞれ，ベンダーなどの情報を参考に対処してください。

マイクロソフト ビデオActiveXコントロールにぜい弱性（2009/07/06）

　マイクロソフトWindows XPならびにWindows Server 2003のビデオActiveXコントロールを提供するmsvidist.dllに，リモートの攻撃者が任意のコードを実行可能なスタック・オーバーフローのぜい弱性（CVE-2008-0015）が存在します。現時点の深刻度をCVSS（common vulnerability scoring system，共通ぜい弱性評価システム）で示すと，次のようになります。

ぜい弱性そのものの特性を評価する基本評価値＝9.3
AV：攻撃元区分＝ネットワークから攻撃可能
AC：攻撃条件の複雑さ＝中
Au：攻撃前の認証要否＝認証操作が不要
C：機密性への影響（情報漏えいの可能性）＝全面的な影響を受ける
I：完全性への影響（情報改ざんの可能性）＝全面的な影響を受ける
A：可用性への影響（業務停止の可能性）＝全面的な影響を受ける

ぜい弱性の現在の深刻度を評価する現状評価値＝8.8
E：攻撃される可能性＝容易に攻撃可能
RL：利用可能な対策のレベル＝暫定対策
RC ：ぜい弱性情報の信頼性＝開発者が情報を確認済

　アドバイザリ972890では，ぜい弱性を悪用するコードを用いた侵害活動が行われていることと，Internet ExplorerのActiveXコントロールは既定では使用されていないことから，回避策としてビデオActiveXコントロールがInternet Explorerで実行されないよう設定／解除するツールを利用するよう推奨しています。

　設定ツールでは，アドバイザリ972890に示されているビデオActiveXコントロールに関連する45個のクラス識別子（CLSID，Class identifier）に対して，ActiveXコントロールがInternet Explorerで実行されないようにするフラグ（Kill Bit）を設定します。

　その動作の一部をマイクロソフトのレジストリ監視ツールであるレジストリモニタ(regmon.exe)を使って見てみると，該当するレジストリ・エントリの有無をOpenKeyで確認して，エントリが存在しないことを確認できた場合には，CreateKey，SetValueでエントリを作成し，値を格納するという処理をしていることが分かります（図1）。また，設定ツールの処理が終了すると，該当するレジストリ・エントリ群の作成が完了し，Compatibility FlagsにKill Bitを意味する0x00000400が設定されていることを確認できます（図2）。

[参考情報]

• アドバイザリ972890：Microsoft Video ActiveX コントロールのぜい弱性により，リモートでコードが実行される
• 回避策を有効にするFix it for me
• RegMon for Windows v7.04
• 0-day in Microsoft DirectShow （msvidctl.dll） used in drive-by attacks
• IE 0day exploit domains （constantly updated）

Cyber Security Bulletin SB09-180（2009/06/29）

　6月22日の週に報告されたぜい弱性の中から，SolarisとSambaのぜい弱性について紹介します（Vulnerability Summary for the Week of June 22, 2009）。

■サンSolaris 10，OpenSolarisにサービス不能を伴うぜい弱性（2009/06/19）

　Solaris 10とOpenSolarisのTCP/IPのネットワーク機能にサービス不能を伴うぜい弱性（CVE-2009-2136）が報告されています。この問題は，Cassini Gigabit-Ethernet Device Driverを利用し，ジャンボフレームの受付を有効としている場合に発生します。Cassini Gigabit-Ethernet Device Driverのインタフェースが存在しているかどうかは，"/sbin/ifconfig -a | /bin/grep ^ce"コマンドで確認できます。また，このインタフェースでジャンボフレームの受付を有効としているかどうかは，ドライバ定義情報の設定ならびに参照する"ndd -set /dev/ce instance インスタンス番号"，"ndd -get /dev/ce accept_jumbo"コマンドで確認できます。

[参考情報]

Sun Alert 257008: Security Vulnerability with the Solaris TCP/IP Networking Stack Involving the Cassini Gigabit-Ethernet Device Driver and Jumbo Frames

■Sambaに複数のぜい弱性（2009/06/24）

　Windows OS互換のファイル・サーバー/プリンタ・サーバー機能を提供するSambaに2種類のぜい弱性が報告されていますので，対策版であるSamba 3.0.35，3.2.13，3.3.6にアップデートしてください。

　一つめのぜい弱性は，Samba 3.2.0～3.2.12のsmbclientコマンドのファイル名処理に存在するフォーマット文字列（出力変換指定子）に関するぜい弱性（CVE-2009-1886）です。フォーマット文字列と呼ばれる引数を扱う関数は，%dは10進数で出力，%sは文字列として出力など，指定された書式で出力する機能を持っています。Sambaから発行されたセキュリティ情報によれば，"aa%3Fbb"のようなファイル名を指定した場合，文字列の一部（この場合，%3F）をフォーマット文字列として扱ってしまうことを指摘しています。

　二つめのぜい弱性は，Samba 3.0.34ならびにそれ以前，3.2.12ならびにそれ以前，3.3.5ならびにそれ以前のsmbdに存在するアクセス制御に影響を与えるぜい弱性（CVE-2009-1888）です。定義ファイルsmb.confのパラメータの一つである"dos filemode"がyesに設定されている場合，定義ファイルに記載された値ではなく，初期化されていないメモリー上の値を参照してしまうことにより，アクセス制御リストの変更が適切に機能しない場合があることを指摘しています。

[参考情報]

• CVE-2009-1886: Formatstring vulnerability in smbclient
• CVE-2009-1888: Uninitialized read of a data value

---

『HIRT（Hitachi Incident Response Team）とは』

HIRTは，日立グループのCSIRT連絡窓口であり，ぜい弱性対策，インシデント対応に関して，日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動，インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは，日立の製品やサービスのセキュリティ向上に関する活動に力を入れており，製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。