Topics及びWinセキュリティ関連ニュース 98年11月分
【98/11/30】気まぐれ『今日の注目』リンク
◆フィルタリングソフト「Cyber Patrol」サーバー版がバージョンアップ
(INTERNET Watch:98/11/30)
【98/11/27】気まぐれ『今日の注目』リンク
◆シマンテックのコンピュータ・ウィルス研究所「SARC」が新種の「HTMLウィルス」と未知の「トロイの木馬」に対応
(シマンテック コーポレーション:98/11/26)
◆電子メールセキュリティの最新ツール MailGuardian
(住友金属工業:98/11/25)
【98/11/27】「Winセキュリティ虎の穴」来訪者数 1万突破
この「Winセキュリティ虎の穴」のトップページのカウンタ(来訪者の方)が1万を突破致しました。記念すべき1万人の方の来訪を1ヶ月弱で達成する事が出来ました。これからもご愛顧お願い致します。
【98/11/25】『IEの Untrusted Scripted Paste 問題に対する修正プログラムのアップデート版配布開始情報 撤回』の背景
INTERNET Watchから、この「虎の穴」で【98/10/24】に報告した、『IEの Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始情報 撤回』に関して、「マイクロソフトに確認したところ、アナウンスは誤ってなされたものとのこと」という裏付け情報が掲載されたIE「Untrusted Scripted Paste」パッチ日本語版アップデート版撤回が11月25日付けで公開されています。
この「Winセキュリティ虎の穴」の勘違いではなくて、一安心です。
【98/11/25】「AOL(America Online)」が、「Netscape Communications」を買収正式決定
「AOL(America Online)」と、「Netscape Communications」は、総額42億ドルの合併取引を11月24日付け(現地時間)で正式発表しました。
AOL、Netscape買収で正式に合意(INTERNET Watch:98/11/24)や、AOLのNetscape買収,正式発表。EC製品/Java採用でSunと契約(ZDNetニュース:98/11/25)等が、現在公開されています。
米国のNetscape Communications本社を私が3年前に訪問した時は、感じの良いオープンな雰囲気の会社でした。これで、社風が変わりセキュリティ・バグ対応が遅れるようにならないことを祈っています。(ちゃんと最後は、強引にセキュリティ絡みにしたなっと!(^^;) )
【98/11/24】IEの Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始情報 撤回
マイクロソフト株式会社から、[Microsoft Security Advisor Program 日本版]の情報で、「Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始」が、11月24日付けで公開されましたが、同日付けで撤回されています。
「Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版」と記載されていましたので、この「モバイル虎の穴」で【98/11/19】に報告した、Untrusted Scripted Paste 問題 (Cuartango 問題)の別バージョン『TheSon of Cuartango Hole』に関連した修正プログラムのアップデート版の日本語バージョンが配布開始されたと考え、早速リンク先の「Internet Explorer 4.01 "Untrusted Scripted Paste" 問題の修正プログラムがご利用になれます」で、パッチを入手して適用後、評価しました。しかし、『TheSon of Cuartango Hole』問題が解決していないので、おかしいと思っていた矢先に、情報が撤回されていました。
現場でちょっとした混乱が生じたのかもしれませんが、修正プログラムのアップデート版の日本語バージョンの配布を楽しみにしています。
しかし INTERNET Watch(98/11/24)では、「IE日本語版のセキュリティパッチ2種リリース」で、『「Untrusted Scripted Paste」問題は、 (中略) 同問題へのパッチはすでに公開されているが、対応できない場合もあることから改訂版の公開となった。』とされています。この「Winセキュリティ虎の穴」が間違っているかもしれないと、ちょっと不安になってきましたので、INTERNET Watchへメールで問い合わせて見ることにします。確認が出来るまで少々お待ち下さい。
【98/11/25】追加情報:「確かに同パッチおよびそのアナウンスは Web からアクセスできなくなっております。(中略) が、編集部でこれに気づいたのが本日夕方で、マイクロソフト社には連絡がとれておりません。そのため、当該ファイルの回収なのか、サーバーのトラブルなのか、原因不明の状態となっております。」という丁寧なお返事をインプレス Watch 編集部から頂きました。
また、「修正版のつもりが以前と同じものだったのではないでしょうか。といってもファイルのプロパティ>バージョン情報と、クイックビュアでの情報を比較しただけですが、ファイルサイズも含めて全く同じでした。」という貴重な情報をこの「Winセキュリティ虎の穴」をご覧頂いている木村様から頂いています。有り難うございました。
【98/11/24】気まぐれ『今日の注目』リンク
◆Win98初のサービスリリース,テスターに配布
(ZDNetニュース:98/11/23)
◆マイクロソフト、MacとUNIX用IEからJavaを除去
(CNET Briefs Tech News:98/11/22)
◆コンピュータ不正アクセス被害の届出状況について
(情報処理振興事業協会:98/11/20)
◆Windows NT Server対応ウイルス対策ソフトウェア ServerProtect for Windows NT Ver.4.6 11月18日店頭発売開始
(トレンドマイクロ:98/11/18)
【98/11/23】速報! IE4の『"Dotless IP Address" 問題』に対する日本語版パッチ公開
Microsoft社から、この「虎の穴」で【98/10/25】に報告したIE4の『"Dotless IP Address" 問題』に対する英語版のパッチに続き、日本語版のパッチが公開された「Internet Explorer 4 "Dotless IP Address" 問題の修正プログラムがご利用になれます」が11月23日付けで公開されています。
対象等は、お知らせしている通りです。
今回も、[Microsoft Security Advisor Program 日本版]より、[IE セキュリティ情報]の方が先に公開されました。
【98/11/23】速報! 「AOL(America Online)」が、「Netscape Communications」を買収?
「AOL(America Online)」が、「Netscape Communications」を約40億USドルで買収するかもしれないというニュースが、米国のニュース・サイトを中心に11月22日付け(現地時間)で公開されています。
もし、実現すればAOLが、ネットスケープのNetcenterウェブ・サイトやネットスケープのWebブラウジング・ソフトを管理することになると思われます。またそれには、「Sun Microsystems」も絡むようです。
AOL may buy Netscape in $4 billion deal (CNET News.com:98/11/22)や、Report: AOL May Acquire Netscape(Business News from Wired News:98/11/22)や、米AOL、ネットスケープ買収へ・米誌報道(NIKKEI NET サイバー:98/11/23)、AOL,Netscape買収に向け交渉中?(ZDNetニュース:98/11/23)等が、現在公開されています。
要チェックのニュースです。
【98/11/23】NT4.0 のPPTPセキュリティ強化パッチ公開(日本語版)
マイクロソフト株式会社から、米国で一時話題沸騰となったPPTPに関連したNT4.0 日本語版 Service Pack 3 以降に修正されたモジュールとして「PPTPパフォーマンス アップグレード モジュール」が11月19日付けで公開されています。
今回のパッチは、当然セキュリティの強化も含みますが、内容の解説として「Microsoft Technical Support -サポート技術情報」「PPTP アップグレード モジュール リリース ノート」があります。
しかし、年内?の日本語版SP4の公開が迫っていますので、もう「NT4.0 日本語版 Service Pack 3 以降に修正されたモジュール」は公開されないだろうと思っていましたので、意外なリリースです。
【98/11/21】速報! 「英語版NT4.0用SP4リリース後、初のセキュリティhotfixes」 RPCサービスへの「Denial of Service Attack」問題公開
Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-017)」「Patch Available for "Named Pipes Over RPC" Issue」が11月19日付け(現地時間)で公開されています。
「Named Pipes Over RPC」と呼ばれる、リモート・プロシージャー・コール (RPC) サービスを利用した最新の「Denial of Service Attack(サービスが出来なくなる攻撃)」です。
対象は、「Microsoft Windows NT Workstation version 4.0」,「Microsoft Windows NT Server version 4.0」,「Microsoft Windows NT Server 4.0, Enterprise Edition」,「Microsoft Windows NT Server 4.0, Terminal Server Edition」です。
悪意がある攻撃者は、あるサーバのリモート・プロシージャー・コール (RPC) サービスへ、多数の「named pipe connections」をオープンして、そしてランダムなデータを送ることによって「Denial of Service(サービスが出来なくなる)」状態を発生させます。具体的には、RPCサービスが無効なコネクションを閉じるように試みるときに、サービスは、かなりのリソース,およびメモリーやCPUを費やしてしまいます。
異なる攻撃プログラムは、他のシステム・サービスをターゲットにするかもしれません。一般的にターゲットにされる2つのサービスは,「SPOOLSS」および「LSASS」のシステム・サービス・プロセスです。
この問題に対するWindows NTのhotfixes(パッチ)が、英語版のみ公開されています。尚、今回のhotfixes(パッチ)は、この「虎の穴」で【98/10/22】に報告した、「Service Pack 4.0 for Windows NT Workstation 4.0 And Windows NT Server 4.0」がリリースされてから以降、初の「セキュリティ・ホール」用hotfixes(パッチ)になります。
また、パッチを適用することができない利用者(日本語版Windows NTを使用している場合も含む)の対処方法は記載されていませんが、リモート・プロシージャー・コール (RPC) サービス用の「TCP、UDP両方のポート番号135」や、「SPOOL(スプール)SS」および「LSA(Local Security Authority)SS」が使用するポート(現在自宅なのでちょっと不明です。)をルータやファイアウォールで遮断するすることによって、この問題を回避可能だと思われます。
尚、Microsoft Knowledge Base (KB) article Q195733「Denial of Service in Applications Using Named Pipes Over RPC」(英語情報)があります。
【98/11/20】気まぐれ『今日の注目』リンク
◆【速報】米ウイルス研究団体、HTMLファイル利用ウイルスの可能性を警告
(Biztech News:98/11/20)
◆トレンドマイクロ,電子メールのウイルスに対応
(ZDNetニュース:98/11/19)
【98/11/19】速報! IEの『Untrusted Scripted Paste 問題(Cuartango 問題)』の別バージョン『The Son of Cuartango Hole』に対するパッチ公開(英語版)
Microsoft社から、「虎の穴」で【98/10/18】に報告した、『Untrusted Scripted Paste 問題(Cuartango 問題)』に対するパッチも無力化する、別バージョン「The Son of Cuartango Hole」に対応した「Microsoft Security Bulletin (MS98-015)」のアップデート版のリリースとして「Update available for "Untrusted Scripted Paste" Issue in Microsoft Internet Explorer 4.01」が11月18日付け(現地時間)で更新されて公開されています。
対象は、「Windows NT 4.0 と Windows 95版の Internet Explorer 4.01 及び 4.01 SP1」と、「Internet Explorerが統合されている Windows 98」、「Windows 3.1 と Windows NT 3.51版の Internet Explorer 4.01」です。ちなみに、「Internet Explorer 4」以前は、対象外です。
また、Internet Explorerをデフォルト・ブラウザーとして使用していなくても、Internet Explorerによって供給されるHTML機能を使用するソフトウェア(Outlook ExpressやOutlook 98等)にも影響を及ぼします。
そして、Macintosh や UNIX版の Internet Explorerは、どのバージョンでも影響を受けません。
現在公開されているのは、英語版用パッチのみであり、日本語版は公開待ちです。
回避方法は、「インターネット ゾーン」で、アクティブ・スクリプト(「VBScript」および JavaScript の機能が全て実装されている「JScript」)を「無効にする」ことです。
具体的には、「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「インターネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「アクティブ・スクリプト」の項目で、「無効にする」を選択し、「OKボタン」で反映します。また、「制限付きサイトゾー
ン」にも同じ設定をします。
尚、CNET Briefs Tech Newsの11月18日付け(現地時間)の関連翻訳記事『IEセキュリティホールに再びパッチ 』があります。
【98/11/19】速報! 「Internet Explorer 5(日本語版)」の一般向け Beta版 正式公開
Microsoft社から、この「虎の穴」で昨日報告した、「Internet Explorer 5」の「Public Beta」日本語版の情報が掲載された「Internet Explorer ホーム ページ」が11月19日付けで公開されています。
また、予想通り「Internet Explorer 5 Beta」専用ページも公開されました。
【98/11/19】気まぐれ『今日の注目』リンク
◆内部不正が最大の関心事に 米国企業が本気で取り組むセキュリティ対策
(Biztech News:98/11/19)
◆市場製品の約3倍の駆除率をもつアンチウィルスソフト新製品 「アンチドート」をバーテックス リンク社が発表
(バーテックス リンク:98/11/17)
【98/11/18】スクープ! 「Internet Explorer 5(日本語版)」の一般向け Beta版 公開目前
Microsoft社から、この「虎の穴」で【98/11/05】に報告した、「Internet Explorer 5」の「Public Beta」日本語版である「ie5setup.exe」(インテル・バイナリ)が米国のダウンロード用Webサイトにリンク無しでアップされています。(アップ先のURLは正式公開後にお知らせします!)
今回の「Public Beta」版の日本語版は11月中旬と言われていましたので、ちょいと遅れた公開になりそうです。
「Internet Explorer ホーム ページ」に正式な情報がアップされると思いますので、要チェックです。また、米国の「Internet Explorer 5 Beta Home」と同じ用に専用のページも準備されると思います。
尚、対応済みかどうかは公開されないでしょうが、「Internet Explorer 5 Beta版」(日本語版)も影響を受けることが予想されるセキュリティー・バグは、以下の通りです。
■「MS Explorer 4 Crash Bug (Win 95, Win 98, Win NT)」日本語訳:「虎の穴」【98/11/07】報告,
システム・クラッシュを伴う「Internet Explorer」の「Java」に関するセキュリティ・バグ
【98/11/18】気まぐれ『今日の注目』リンク
◆オーストラリアを徘徊する『バック・オリフィス』
(Wired News:98/11/17)
【98/11/16】気まぐれ『今日の注目』リンク
◆「GroupWise」に電子メールのバグの報告
(ZDNetニュース:98/11/13)
◆「NT+Interix」にLinuxとSolaris用のインタフェース追加の計画
(ZDNetニュース:98/11/13)
【98/11/13】気まぐれ『今日の注目』リンク
◆アセンド社、RADIUS に準拠した 商用 AAA サーバ NavisRadius の販売を発表
(アセンド コミュニケーションズ ジャパン:98/11/13)
◆HTMLで繁殖するウィルス
(Wired News:98/11/11)
◆Windows NT 4.0の穴を埋めるService Pack 4
(PC WEEK ONLINE JAPAN:98/11/09)
◆「Netscape TuneUp for IE」がアップデート オフラインの状態でもアンインストール可能に *セキュリティ関連ではありませんが、何かと問題の多い「Netscape TuneUp for IE」のやや改善版情報
(窓の杜:98/11/11)
【98/11/12】「Microsoft,NT Services for UNIX」正式版公開
Microsoft社から、NTにUNIX機能を追加するアドオン・パックである「Microsoft Windows NT Services for UNIX Add-On Pack」正式版をリリースしたMicrosoft Delivers Windows NT Services for UNIX Add-On Packで11月10日付け(現地時間)で公開されています。
「Resource sharing」、「Remote administration」、「Password synchronization」、「Common scripting across platforms」等便利な機能を持っていますが、インターネット上のサーバには、セキュリティの観点から日本語版が出ても組み込んじゃイケナイと思います。
尚、ZDNetニュースの11月10日付け(現地時間)の記事Microsoft,NT Services for UNIX正式発表が公開されています。
【98/11/11】気まぐれ『今日の注目』リンク
◆Netscape Communicator 4.5 日本語版 (Windows 95/NT版)リリース*正式なプレスリリース
(日本ネットスケープ・コミュニケーションズ:98/11/07)
【98/11/10】気まぐれ『今日の注目』リンク
◆MSがQuickTime問題の修正を発表*セキュリティ問題ではありませんが、Windowsのバージョンによって、IE配下で「QuickTime」が動作しない問題に関するパッチを公開(英語版)
(Wired News:98/11/09)
◆「特選翻訳」発売のお知らせ 〜WWWブラウザ上でリアルタイムに翻訳 PC/ソフトウェア技術者のための翻訳ソフト〜*本製品が対象とする英文ドキュメントは、「マイクロソフト社の技術情報を中心としたパーソナルコンピュータ/ソフトウェア関連技術情報」と言いきるのが凄い(^^;) 私欲しいです。
(アスキーサムシンググッド:98/11/06)
【98/11/08】4項目のセキュリティー・バグ対応?「Netscape Communicator 4.08」(英語版) 公開
Netscape Communications社から、この「虎の穴」で【98/10/06】に報告した、「Netscape Communicator 4.07」(英語版)の様々なセキュリティ・バグを解消した?新バージョン「Netscape Communicator 4.08」(英語版)がftp://ftp.netscape.com/pub/communicator/4.08/english/で11月6〜7日付け(現地時間)で公開されています。
Mac版,UNIX版,Windows版が公開されています。また、「Netscape Navigator」も同時公開されています。
対応済みかどうかは正式に公開されていませんが、「Netscape Communicator 4.07」が影響を受けていたセキュリティー・バグは、以下の通りです。
■「Injection Bug」:「虎の穴」【98/10/07】報告,JavaScriptに関するバグ
■「No-Cache Meta-Tag Bug」:「虎の穴」【98/10/30】報告,SSLアクセスに関するバグ
■「JavaScript Cache Browsing Bug」:「虎の穴」【98/11/01】報告,JavaScriptに関するバグ
■「MIME Type Buffer Overflow Vulnerability」: UNIX版のみ対象の為、未報告
セキュリティー・バグ対応状況は、詳しい報告がアップされる[Netscape Security Notes]に注目です。
【98/11/08】「Netscape Communicator 4.5」正式版(日本語版)公開
Netscape Communications社から、この「虎の穴」で【98/10/19】に報告した、Webブラウザの最新版「Netscape Communicator 4.5」の正式版(英語版)に引き続き、日本語バージョンがftp://ftp.netscape.com/pub/communicator/4.5/japanese/で11月7日付け(現地時間)で公開され、ダウンロード可能になっています。
Windows 32bit版のみが公開されています。また残念ながら、「Netscape Navigator」は同時公開されていません。
【98/11/07】システム・クラッシュを伴う「Internet Explorer」の「Java」に関するセキュリティ・バグ公開
「Anfy Java Team」のイタリアのプログラマ「Fabio Ciucci」氏から、「DirectDraw Java foundation classes」が「Internet Explorer」や、場合によってはOSそのものをクラッシュさせるセキュリティ・バグ「MS Explorer 4 Crash Bug (Win 95, Win 98, Win NT)」が11月1日付け(現地時間)で公開されています。また、「Anfy Java」の日本語サイトを運用されている「どらねこ工房」様によりその日本語訳も11月5日付けで公開されています。(「どらねこ工房」様 情報有り難うございました)
対象は、Windows NTとWindows 95/98版の「Internet Explorer 4.0, 4.01, 4.01 with SP1,5ベーター版」のバージョンです。(マックOS,及びUnix OSバージョンは、影響を受けません。)また、Windows 95/98のプラットフォームの場合、ナント! システム・クラッシュ発生し、システムの再起動が必要となります。
今回のバグは、最近多かった「JavaScript」が原因では無く、「Javaアプレット」が原因です。また、マイクロソフトの、スタンダードなJava言語に対して行った変更が影響しており、そのJavaアプレットは、純粋なJava環境では動作しないとされています。
回避方法は、ブラウザの「JavaScript」機能を無効にすることです。「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「インターネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「Java」の「Javaの許可」の項目で、「Javaを無効にする」を選択し、「OKボタン」で反映します。
尚、このセキュリティ・バグを取材したCNET社の11月5日付け(現地時間)の記事「DirectDraw bug causes crashes」が公開されています。
これは、日本語版の「CNET Briefs Tech News」でも翻訳されていない記事です。
【98/11/05】「Internet Explorer 5(英語版)」の一般向け Beta版公開
Microsoft社から、この「虎の穴」で昨日関連情報を報告した通り、「Internet Explorer 5」の「Public Beta」が公開された「Microsoft Brings IntelliSense to the Web With Beta of Microsoft Internet Explorer 5 」(英語版)が11月4日付け(現地時間)で公開されています。
「Internet Explorer 5」は現在まで、開発者向けBeta版としてのみ公開されていました。また、「Internet Explorer 5 Beta Home」も公開されています。
今回の「Public Beta」版の日本語版は11月中旬、英語版の「Internet Explorer 5」正式版は99年初旬が予定されているようです。ちなみに、今回の英語版の「Public Beta」版は、日本語のOS環境にはインストールしないほうが無難です。
【98/11/05】気まぐれ『今日の注目』リンク
◆IE 5のベータ版がリリース
(CNET Briefs Tech News:98/11/04)
◆IEにもキーワード検索機能
(Wired News:98/11/04)
◆インタフェース強化で新時代に対応するIE 5.0初の一般向けベータ
(ZDNetニュース:98/11/05)
【98/11/04】気まぐれ『今日の注目』リンク
◆Microsoft IE 5 beta due(Microsoft IE 5 beta2が11月4日の現地時間にリリースされるだろうというニュース)
(C|Net News.Com :98/11/03)
◆NT 4.0のSP4にいくつかの問題
(ZDNetニュース:98/11/04)
【98/11/03】「Winセキュリティ虎の穴」新装独立開店のご挨拶
1996年10月14日開設の「NTイントラ虎の穴」で主に「NT関連」と、1997年3月21日開設の「モバイル虎の穴」で主に「Webブラウザ関連」のセキュリティ情報を追ってきましたが、最近セキュリティ情報が急増しそれぞれの本来のページの趣旨とかけ離れてきましたので、「Winセキュリティ虎の穴」という別ページを立ち上げ、今回「新装独立開店」(^^;)することにしました。
まあ、自分の仕事関連のメモ替わりに更新していきますので、内容に偏りはあるかもしれませんが、気楽に続けて行きますのでどうぞお付き合い下さい。
【98/11/03】使える「NT関連セキュリティ・ブックマーク」 公開
日経BP社の「日経Windows NT」から、NTのセキュリティ関連ホームページへのリンク集である「NT関連セキュリティ・ブックマーク」が公開されています。
ちなみに「Winセキュリティ虎の穴」のセキュリティに関する前身である「NTイントラ虎の穴」の紹介及び、リンクもして頂いています。
尚、この「NTのセキュリティ関連ホームページへのリンク集」が作られる契機になった記事である、「日経Windows NT」の1998年11月号の特集「部門サーバーを危険から守る」は、NTに関するセキュリティのノウハウがまとめてあり、必見です。
【98/11/02】気まぐれ『今日の注目』リンク
◆「米アクセント、ファイヤーウォール管理ソフト『Raptor Firewall 6.0』を発表」
(ASCII24)
【98/11/01】スクープ! 「Netscape Communicator」の「JavaScript」に関する別のセキュリティ・バグ 公式見解
Netscape Communications社から、この「虎の穴」で【98/10/30】に報告した、「Netscape Communicator」の「JavaScript」に関する別のセキュリティ・バグ「The JavaScript Cache Browsing Bug」が10月29日付け(現地時間)で公開されています。
対象は、Windows 版の「Navigator 3.04 / 4.07」と「Netscape Communicator 4.5」のバージョンです。(マックOS,及びUnix OSバージョンは、影響を受けません。)また、アップデート版は、すぐにネットスケープ・Webサイトに掲載されるようです。
今回のバグの原因も、お伝えしているようにやはり「JavaScript」です。悪意のあるWebサイト・オペレーターが、ユーザーのブラウザー・キャッシュを読み取ることが可能なようです。
回避方法は、ブラウザの「JavaScript」機能を無効にすることです。具体的には、Communicatorの「Edit」メニューの中の「Preferences」項目を選択します。そして、その中の「Advanced」を選択します。そして「Enable JavaScript」機能のチェックボックスからチェックを外します。最後に「OK]ボタンをクリックします。
[Winセキュリティ虎の穴]へ戻る [98年12月のTopics]へ
このページに関するご意見ご感想は山下 眞一郎(E-mail:yama@bears.ad.jp)までどうぞ。
All Rights Reserved, Copyright Fujitsu Minami-Kyusyu Systems Engineering Limited 1998.