Hitach Incident Response Team

 2010年9月19日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Flash Playerにぜい弱性:APSA10-03(2010/09/13)

 米アドビ システムズからWindows、Macintosh、Linux、Solaris版Flash Player10.1.82.76とそれ以前のバージョン、Android版Flash Player 10.1.92.10に存在し、異常終了やシステム侵害につながるぜい弱性(CVE-2010-2884)に関するアドバイザリーが発行されました。また9月20日には、セキュリティ更新プログラムとして、Flash Player 10.1.85.3/9.0.283、Android版Flash Player 10.1.95.1がリリースされました。リリースまでの対応経緯を振り返っておきましょう(図1)。

 アドビは9月13日にアドバイザリー発行し、この中でWindows版Flash Playerを対象とした侵害活動の発生について触れています。また翌14日には、トレンドマイクロから、TROJ_SWIF.HELとして検知されるマルウエアの発生について報告されました。なお、このぜい弱性は、Adobe Reader 9.3.4とAcrobat 9.3.4およびそれ以前のバージョンにも影響します。Adobe ReaderとAcrobatのセキュリティ更新プログラムのリリースは、10月4日の週に予定されています、

図1●ぜい弱性(CVE-2010-2884)の対応経緯
図1●ぜい弱性(CVE-2010-2884)の対応経緯

[参考情報]

QuickTime 7.6.8リリース(2010/09/15)

 QuickTime 7.6.8では、QTPlugin.ocx ActiveXコントロールに存在し、任意のコード実行につながるぜい弱性(CVE-2010-1818)と、Windows環境で発生する安全でないライブラリーのロード(DLLのプリロード)問題(CVE-2010-1819)の対策が含まれています。影響を受けるバージョンはQuickTime7.6.7およびそれ以前のバージョンです。Mac OS Xには影響はありません。

 このうち、QTPlugin.ocx ActiveXコントロールに存在するぜい弱性(CVE-2010-1818)については、ティッピングポイントの「Zero Day Initiative」によって確認され、6月30日にベンダーに通知されました。しかし、8月30日に、セキュリティ研究者によって、ぜい弱性として公開(Webサイトに掲載、件名:[0day] Apple QuickTime "_Marshaled_pUnk" backdoor param client-side arbitrary code execution)されてしまったために、ゼロディのぜい弱性として半月ほど対策のない状態が続きました(図2 )。

図2●ぜい弱性(CVE-2010-1818)の対応経緯
図2●ぜい弱性(CVE-2010-1818)の対応経緯

[参考情報]

マイクロソフト2010年9月の月例セキュリティアップデート(2010/09/15)

 9月の月例セキュリティアップデートでは、9件のセキュリティ更新プログラムを公開し、11件のセキュリティ問題を解決しています。

 このうち、セキュリティ更新プログラム(MS10-061)は、マルウエアStuxnet(スタクスネット)が悪用する印刷スプーラーサービスのぜい弱性を解決します。これまで、Stuxnetは、Windowsがショートカットを適切に処理しないことに起因するWindowsシェルのぜい弱性(MS10-046、CVE-2010-2568)を悪用することは良く知られていました。今回、月例アップデートと合わせて、Windowsシェルのぜい弱性以外にも、Conficker/Downadup(コンフィッカー/ダウンアドアップ)でも攻撃対象として利用されたServerサービスのぜい弱性(MS08-067、CVE-2008-4250)、印刷スプーラーサービスのぜい弱性(MS10-061、CVE-2010-2729)、さらには、まだ明らかとされていないぜい弱性2件を悪用することがシマンテック、カスペルスキーから報告されました。既に、Stuxnetによる侵害活動は発生していますので、セキュリティアップデートに合わせてウイルス定義ファイルを更新してください(図3)。

図3●Stuxnetが悪用するぜい弱性への対応経緯
図3●Stuxnetが悪用するぜい弱性への対応経緯

[参考情報]