ストアへ
企業・法人向け中小企業向け個人向けパートナーシマンテックについて
SYM06-019
|
| リモート アクセス | できる(ただし、ユーザとの対話が必要) |
| ローカル アクセス | できない |
| 認証の必要性 | サイトは限定されている、ユーザとの対話が必要 |
| 公開されているエクスプロイト | なし |
概要
シマンテックが開発した ActiveX コントロールに脆弱性が存在することが報告されています。この Active X コントロールはシマンテックの一部の個人向け製品に、シマンテックの技術サポート用トラブルシューティング・ツールの一部としてインストールされています。これらの脆弱性を悪用すると、不正な情報開示が引き起こされたり、またはユーザが使用するブラウザのコンテキストで任意のコードの実行が可能になることがあります。ただし、悪用に成功するためには特定の条件が必要です。
サポート対象製品
| 製品名 | バージョン | 解決策 |
| Symantec Automated Support Assistant | 修正プログラムを利用可能 | |
| Symantec Norton AntiVirus | 2005-2006 | 修正プログラムを利用可能 |
| Symantec Norton Internet Security | 2005-2006 | 修正プログラムを利用可能 |
| Symantec Norton System Works | 2005-2006 | 修正プログラムを利用可能 |
メモ:シマンテックが開発した ActiveX コントロールが搭載されているのは、上記の個人向け製品のみです。ただし Automated Support Assistant は、サポート対象となっているシマンテックの何らかの個人向け製品が稼働するコンピュータ上では、問題検出を支援し、問題解決に関する情報をユーザに提供するために使用されます。そのため、上記の表に含まれていない場合でも、シマンテックの個人向け製品の 2006 年およびそれ以前のバージョンが稼働するシステム上には、この ActiveX コントロールがインストールされている可能性があります。
シマンテックの企業・法人向け製品では、ActiveX コントロールをインストールする、または使用することがないため、本件の影響は受けません。また、個人向け製品の 2007 年のリリースも本件の影響は受けません。
解説
シマンテックはシマンテックが開発した ActiveX コントロールにスタック・オーバーフローおよび情報漏えいの脆弱性が存在するという報告を Next Generation Security Research(NGSS)から受けました。この ActiveX コントロールは、シマンテックの Automated Support Assistant の一部として、シマンテックの一部の個人向け製品(上記の製品)とともにインストールされます。この ActiveX コントロールでは、外部からの入力を正しく認証できません。そのため、ブラウザのクラッシュを引き起こしたり、メソッドの不正使用によりシステム情報への不正アクセスが可能になることがあります。また、スタック・オーバーフローを引き起こし、ユーザが使用するブラウザのコンテキストで悪質なコードの実行が可能になる場合があります。
この脅威の影響は、大幅に緩和することが可能です。なぜなら、この脅威を悪用するためには対話によるユーザの介入が必要であり、また攻撃者が標的とするシステムを侵害するためには、信頼されているドメインの Web サイトになりすます必要があるからです。特定された ActiveX コントロールは、そのコントロールのスクリプトが記述可能な、特定の信頼できる Web サイトに限定されています。この脆弱性を悪用するためには、攻撃者は Web サイトをその正当なサイトに見せかけてユーザがサイト内の特定の URL をクリックするように仕向け、悪質なコードによってそのユーザのシステムに影響を及ぼす必要があります。
弊社の対応
シマンテックは本件に対応するソリューションを開発し、シマンテックの LiveUpdate およびその他のサイトなどを通じてリリースしました。
シマンテックのユーザで、通常 LiveUpdate を手動で定期的に実行しているお客様は、すでに保護されています。ただし、入手可能なパッチがすべて適切にシマンテック製品に適用されるようにするため、以下の手順に従い、手動で LiveUpdate を実行してください。
- 上記のシマンテック個人向け製品のうち、インストールされているいずれかの製品を開きます。
- ツールバーから [LiveUpdate] をクリックします。
- LiveUpdate を実行して、すべてのシマンテック製品の更新をダウンロードおよびインストールします。
シマンテックは弊社のサポート・サイトで、脆弱性が存在する現行のコンポーネントのアップグレードをリリースしました。ユーザは脆弱性が存在しないバージョンの Automated Support Assistant をそこからダウンロードすることができます。
Automated Support Assistant を以前ダウンロードした可能性のあるお客様、または上記の個人向け製品をインストール済みのお客様は、シマンテックのサポート・サイト https://www-secure.symantec.com/techsupp/asa/install.jsp にアクセスして Automated Support Assistant の新バージョンをダウンロードしていただけます。新バージョンをダウンロードすると、旧バージョンは脆弱性のない更新版に差し替えられます。
シマンテックは、すべてのお客様がすべてのアップデートを適用し、このような性質の脅威から製品を保護することをお勧めします。
シマンテックは、本件の悪用についての報告、または本件に起因した被害報告は受けておりません。
緩和策
Symantec Security Response では、リスクにさらされている旧バージョンの削除を支援する削除ツールも開発しました。この削除ツールはこちらから入手できます。
本件を悪用しようとする試みを検出および阻止する IDS シグネチャが開発されています。
Symantec Norton Internet Security または Norton Personal Firewall をご使用のお客様は、LiveUpdate を自動的に実行している場合にはシグネチャのアップデートがダウンロードされます。LiveUpdate を自動的に実行していない場合には、可能な限り最新の保護状態を維持するために LiveUpdate を手動で定期的に実行することをお勧めします。ローカル・ユーザのインターネット・ゾーンを設定すると、ユーザの同意なしに ActiveX コントロールの有効化が禁止される場合があります。攻撃者がこの脆弱性の悪用に成功すると、ローカル・ユーザと同一のユーザ権限を取得できます。システム上で少ないユーザ権限しか持たないように設定されたアカウントのユーザは、管理者権限を持つユーザと比べ、システム侵害の試みが発生した場合に受ける影響が少なくて済みます。
従来と同様、未知の悪質なコードがこのような方法で記述された場合には、Symantec Security Response が迅速に対応し、更新された定義を LiveUpdate で配信して、新たな脅威を検出および阻止します。
ベスト・プラクティス
通常のベスト・プラクティスの一環として、多重的なセキュリティ対策を講じることを強く推奨します。
- 可能な限り最小の権限を付与する原則の下で操作を実行します。
- すべてのオペレーティング・システムとアプリケーションは、ベンダーが提供する最新の修正プログラムを適用することで、常に最新の状態にしておきます。
- ユーザは、少なくともファイアウォールおよびウイルス対策アプリケーションを実行し、ネットワーク内外のトラフィックに潜む脅威を複数の場所で検出および防止します。
- ユーザは、電子メールで送信される不審な添付ファイルや実行形式のファイルには十分注意してください。また、未知または信頼できない Web サイトにアクセスしたり、未知または信頼できない URL のリンクを辿らないように気をつけてください。
- 未知のソースから提供されたり、要求していない、または気づかないうちに送信されてきた添付ファイルや実行形式のファイルは開かないでください。
- 常に慎重すぎるほどの対応を心がけてください。送信者に心当たりがあっても、ソース・アドレスはなりすましである可能性もあります。
- 疑わしい場合には、添付ファイルを開く前に送信者に連絡して、その送信者が確かに送信したこと、またその理由を確認します。それでもなお疑わしい場合は、添付ファイルを開かずに削除します。
CVE
本件に対する CVE(Common Vulnerabilities and Exposures)リスト登録候補名を申請する予定です。CVE 候補名を受領後、適宜本アドバイザリーを更新します。本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。
クレジット
本件の報告および問題の解決にあたり、多大なご協力をいただいた Next Generation Security Research の John Heasman 氏に感謝いたします。
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety(OISafety)の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC(National Infrastructure Advisory Council :米国の国家インフラ諮問委員会)による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com(米国)までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。
弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process(製品脆弱性対応プロセス)ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。
脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com(米国)まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。
 |
Symantec Vulnerability Response Policy (英語) |
 |
シマンテック製品脆弱性 レスポンス用 PGP キー |
Copyright (c) 2006 by Symantec Corp.
このアドバイザリーの電子媒体による配信は、Symantec Product Security の許可なく改ざんを行わない場合に限り認められています。このアドバイザリーの一部または全部を電子媒体以外の媒体へ複製または印刷する場合は必ず事前にシマンテックの許可を受ける必要があります。
免責事項
このアドバイザリーは、発行時点で確認されていた情報を基に正確であると判断された情報で構成されています。記載情報の使用は、現状のまま使用することを条件に認められています。本書の記載内容について弊社は一切保証いたしておりません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本書の著者も発行者も一切責任を負いません。
Symantec、Symantec Product Security、VERITAS、およびシマンテックの各製品名は、Symantec Corp. およびその関連会社の米国および各国における登録商標です。その他の商品名・会社名等はすべて各社の商標または登録商標です。
米国サイト最終更新日: 2006年10月5日(木) 09:23:01
©1995 - 2010 Symantec Corporation