ストアへ
企業・法人向け中小企業向け個人向けパートナーシマンテックについて
SYM07-002
|
| リモート アクセス | できる |
| ローカル アクセス | できない |
| 認証の必要性 | なし |
| 公開されているエクスプロイト | なし |
概要
SupportSoft(www.supportsoft.com)が開発したトラブルシューティング用 ActiveX コントロールに、複数の脆弱性が確認されました。これらの ActiveX コントロールのうちの 2 つは、シマンテックがライセンス供与を受け、特定バージョンのシマンテックの個人向け製品に搭載しています。また、Automated Support Assistant サポート・ツールの一部として利用されています。シマンテック製品に搭載された ActiveX コントロールに存在する脆弱性は、スタック・オーバーフローを引き起こす可能性があります。このオーバーフローが悪用される場合は、ユーザのマニュアル操作が要求されます。攻撃が成功するとユーザのシステムが侵害され、任意のコードが実行されたり、攻撃者がブラウザの許可を得てシステム資産に不正にアクセスしたりする可能性があります。
影響を受けるシマンテック製品
| 製品名 | バージョン |
| Symantec Automated Support Assistant | 対応アップデートを利用可能 |
| Symantec Norton AntiVirus 2006 | 対応アップデートを利用可能 |
| Symantec Norton Internet Security 2006 | 対応アップデートを利用可能 |
| Symantec Norton System Works 2006 | 対応アップデートを利用可能 |
影響を受けないシマンテック製品
| 製品名 | バージョン |
| Symantec 2007 Consumer Products | すべて |
| Symantec Norton 360 | |
| Symantec Corporate and Enterprise Products | すべて |
メモ:
このような脆弱性の存在する ActiveX コントロールが搭載されているのは、上記の個人向け製品のみです。Automated Support Assistant は、サポートを必要とする個人のお客様がシマンテックのサポート・サイトにアクセスしたときにオンラインお客様サポートで採用されています。Automated Support Assistant ツールにより、ユーザへの問題解決方法の提供が可能になります。SupportSoft 製の ActiveX コントロールは、2005 年半ばにシマンテックのお客様サポート・サイトに初めて導入されました。2006 年 8 月までは、脆弱性の存在しない ActiveX コントロールが導入されていましたが、Automated Support Assistant によって、脆弱性の存在する ActiveX コントロールが シマンテックの個人向け製品および、上記以外のバージョンの製品を稼動させているお客様のシステムにインストールされた可能性があります。お使いの製品に、 脆弱性が存在するバージョンの Automated Support Assistant 修復ツールが搭載されているかどうかの判断については、下記の「弊社の対応」をご覧ください。
シマンテックの企業・法人向け製品には、これらの ActiveX コントロールが搭載されていないため、本件の影響は受けません。
解説
シマンテックは、SupportSoft が開発した ActiveX コントロールのうちの 2 つ(SmartIssue tgctlsi.dll および ScriptRunner tgctlsr.dll)に、スタック・オーバーフローおよび不正アクセスの脆弱性が存在するという報告を Next Generation Security Software(NGSS)から受けました。シマンテックはこの 2 つの ActiveX コントロールのライセンス供与を受けており、2006 年に販売した一部の個人向け製品に搭載しています。また、弊社のお客様サポート・サイトで提供している Automated Support Assistant サポート・ツールの一部にも利用しています。これらの SupportSoft 製 ActiveX コントロールは、外部入力を正しく認証できないものでした。そのため、システム・リソースへの不正アクセスや、ブラウザの許可を得た悪質なコードの実行を許してしまう危険があり、ユーザのシステムが侵害される可能性があります。
このような脆弱性を悪用した攻撃の試みには、ユーザのマニュアル操作が要求されます。攻撃者は、悪質なコードを仕込んだ不正な Web サイトにユーザを誘導して、またはユーザが悪質な URL をクリックするように仕向けて、ユーザのシステムを侵害しようとします。また、SupportSoft 製のこれらの ActiveX コントロールはサイト・ロックされており、そのため攻撃を受ける危険度はさらに低いのですが、脆弱性の存在するバージョンではこの機能が正しく実装されていないことが確認されています。
弊社の対応
シマンテックは SupportSoft と緊密に連携して、ActiveX コントロールの脆弱性に対応したアップデートを利用可能にしました。SupportSoft は、シマンテックが利用している ActiveX コントロールおよび、その他の製品で使用されている ActiveX コントロールについての Security Bulletin を、自社のサポート・サイト(www.supportsoft.com)に掲載しています。
シマンテックは弊社のお客様サポート・サイトから、脆弱性の存在する ActiveX コントロールをただちに削除しました。シマンテックのエンジニアは、SupportSoft が提供した当該 ActiveX コントロールのアップデートを幅広くテストした上で、シマンテックのサポート・サイトの Automated Support Assistant をアップデートしました。また、シマンテック製品のアップデートを定期的に行なっている個人のお客様に対し、2006 年 11 月に、LiveUpdate を通じて、これらの脆弱性の存在する ActiveX コントロールを使用できないようにしました。自動 LiveUpdate のみに頼っている個人のお客様には、自動通知を出して、LiveUpdate を実行して、アップデートされていないものすべてをアップデートするようアドバイスしています。しかし、更新ファイルがすべて正常に取得され、シマンテック製品に適用されるようにするため、以下の手順に従い、定期的に LiveUpdate を実行してください。
- インストールされているシマンテック製品を開きます。
- ツールバーから [LiveUpdate] をクリックします。
- LiveUpdate を実行して、すべてのシマンテック製品の更新をダウンロードおよびインストールします。または、システムが最新の状態であると表示されるのを確認してください。
シマンテックは、システムを脅威から保護するため、アップデートを行なってセキュリティを常に最新の状態に保つよう推奨します。
2005 年 7 月以降に Automated Support Assistant ツールをダウンロードしたお客様、および上記バージョンの個人向け製品をインストール済みのお客様は、シマンテックのサポート・サイト(https://www-secure.symantec.com/techsupp/asa/install.jsp)にアクセスして、Automated Support Assistant 修復ツールをアップデートしていただけます。Automated Support Assistant 修復ツールの最新バージョンをダウンロードすれば、現在お使いの ActiveX コントロールが脆弱性の存在しないバージョンにアップデートされます。2006 年 8 月以降にシマンテックのサポート・サービスを受けたことのあるお客様の場合は、ActiveX コントロールは脆弱性の存在しない最新バージョンのものになっています。
本件を実際に悪用した攻撃の試みに関する情報や、本件に起因したお客様からの被害報告は受けておりません。
緩和策
Symantec Security Response は、AntiVirus Bloodhound のウイルス定義「Bloodhound.Exploit.119」をリリース予定です。これにより、ヒューリスティック検出機能を提供し、ActiveX コントロールの脆弱性を悪用しようとする試みを検出および阻止します。このヒューリスティック機能を持つウイルス定義は、LiveUpdate または Intelligent Updater を通じて入手できます。
また、この脆弱性を悪用しようとする試みを検出および阻止するための IDS シグネチャも公開されています。
Symantec Norton Internet Security または Norton Personal Firewall をご使用のお客様は、自動 LiveUpdate によってシグネチャを定期的にアップデートできます。自動 LiveUpdate 機能を利用していないお客様は、LiveUpdate をマニュアルで頻繁に実行して、セキュリティの状態を最新に保つよう推奨します。
ローカル・ユーザのインターネット・ゾーンをより安全に設定すると、ユーザの同意なしに ActiveX コントロールの有効化が禁止される場合があります。
攻撃者がこの脆弱性の悪用に成功すると、ローカル・ユーザと同一のユーザ権限を取得できます。システム上で少ないユーザ権限しか持たないように設定されたアカウントのユーザの場合、管理者権限を持つユーザと比べ、受ける影響が少なくて済みます。
従来と同様、このような方法で未知の悪質なコードを配布しようとする試みが確認された場合には、Symantec Security Response が迅速に対応し、更新された定義を LiveUpdate で配信して、新たな脅威を検出および阻止します。
ベスト・プラクティス
通常のベスト・プラクティスの一環として、多重的なセキュリティ対策を講じることを強く推奨します。
- 可能な限り最小の権限を付与する原則の下で操作を実行します。
- すべてのオペレーティング・システムとアプリケーションは、ベンダーが提供する最新の修正プログラムを適用することで、常に最新の状態にしておきます。
- ユーザは、少なくともファイアウォールおよびウイルス対策アプリケーションを実行し、ネットワーク内外のトラフィックに潜む脅威を複数の場所で検出および防止します。
- ユーザは、電子メールで送信される不審な添付ファイルや実行形式のファイルには十分注意してください。また、未知または信頼できない Web サイトにアクセスしたり、未知または信頼できない URL のリンクを辿らないように気をつけてください。
- 未知のソースから提供されたり、要求していない、または気づかないうちに送信されてきた添付ファイルや実行形式のファイルは開かないでください。
- 常に慎重すぎるほどの対応を心がけてください。送信者に心当たりがあっても、ソース・アドレスはなりすましである可能性もあります。
- 疑わしい場合には、添付ファイルを開く前に送信者に連絡して、その送信者が確かに送信したこと、またその理由を確認します。それでもなお疑わしい場合は、添付ファイルを開かずに削除します。
CVE
本件には、CVE-2006-6490 という識別番号が付けられました。本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。
クレジット
シマンテックは SupportSoft と緊密に連携し、影響を受けるその他すべての企業・法人のお客様に、本件および本件に対処するアップデートに関する情報を提供しています。本件の第一発見者であり、その報告および問題解決に当たりシマンテックおよび SupportSoft に多大な協力をいただきました NGS Software Ltd. の Mark Litchfield 氏に感謝いたします。また、本件を独自に確認し、シマンテックおよび SupportSoft への報告および問題解決に当たりご協力をいただいた CERT のアナリストの皆様、ならびに本件の問題解決に当たりご協力いただいた iDefense の Peter Vreugdenhil 氏に感謝いたします。
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety(OISafety)の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC(National Infrastructure Advisory Council :米国の国家インフラ諮問委員会)による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com(米国)までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。
弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process(製品脆弱性対応プロセス)ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。
脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com(米国)まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。
 |
Symantec Vulnerability Response Policy (英語) |
 |
シマンテック製品脆弱性 レスポンス用 PGP キー |
Copyright (c) 2009 by Symantec Corp.
Permission to redistribute this alert electronically is granted as long as it is not edited in any way unless authorized by Symantec Security Response. Reprinting the whole or part of this alert in any medium other than electronically requires permission from secure@symantec.com.
Disclaimer
The information in the advisory is believed to be accurate at the time of publishing based on currently available information. Use of the information constitutes acceptance for use in an AS IS condition. There are no warranties with regard to this information. Neither the author nor the publisher accepts any liability for any direct, indirect, or consequential loss or damage arising from use of, or reliance on, this information.
Symantec, Symantec products, Symantec Security Response, and secure@symantec.com are registered trademarks of Symantec Corp. and/or affiliated companies in the United States and other countries. All other registered and unregistered trademarks represented in this document are the sole property of their respective companies/owners.
米国サイト最終更新日: 2007年2月22日(木) 09:10:15
©1995 - 2009 Symantec Corporation