つい最近出た「デジタル認証」の問題について、Microsoft社より3月23日に「Microsoft Security Advisory (2524375)」のセキュリティ・アドバイサリーがリリースされております。
アドバイサリーに書いた内容を良く見たら、認証問題についてIEブラウザには影響があり、「Phising」や「インターネット詐欺/Fraud」される可能性が非常に高いので、Microsoft社が緊急セキュリティアップデートをリリースしました⇒「Dscomm クライアントの DoS 攻撃に対する Windows のマイクロソフト セキュリティ アドバイザリ: 脆弱性」
アドバイサリーに書いた文書では「An update is available for all supported versions of Windows to help address this issue」、下記はページのスナップショットです↓
上記の情報に当たって、スマートフォーンの影響があるかどうかと調べましょう。
ご存知の様に世の中にWindows OS経由スマートフォーン携帯が沢山り、標準ブラウザーがIEブラウザモバイル版ですね、基本的にパソコンのIE版の古いバーションです。
色々確認したら、Microsoftスマートフォーンのブラウザに、認証の問題に付いて、影響があります。
但し、Microst社出した「Dscomm クライアントの DoS 攻撃に対する Windows のマイクロソフト セキュリティ アドバイザリ: 脆弱性」をじっと見たらWindows Phone OSのアップデートが入ってません、さらにアドバイサリーではでは「An update is available for all supported versions of Windows to help address this issue」が書いてあると(影響されたWindowsOSにはアップデートが出ますとの事です)...
Fraudulent Digital Certificationセキュリティ問題に影響されたのにMicrosoft社からアップデートが出ないと、何故か?
自分はなっとく出来なくてMicrosoft社に直接に連絡して聞きましたが、思ったように無視された。認証問題について現時点では結構流行っているので、スマートフォーンの対応をはっきりさせないと危ないかと思いました。
本件の問題完全にゼロデイ状況ですので。。。メーカーがレスポンス無しですね。
では、本件の問題について、何もレスポンスが無い状況で、Microsoft社がちゃんと認識して欲しいですのでSecunia Full Disclosure(seclists.org/fulldisclosure)のメーリングリストにレポートを送りました。
レポート内容を厳しく確認されたので、PING-PONG連絡が来ました。ちゃんと対応れていると信じて結果を待っていました。やっとFull Disclosureに本件の情報をアップされている状況になった↓
(内容は下記のURLに確認が出来ます、私の情報とhttp://0day.jpがちゃんと書いてあります↓
http://seclists.org/fulldisclosure/2011/Mar/296
本件に付いては結局Windows Phoneのゼロデイセキュリティ問題になったので、誰も気づかなかったと思いました。一つ勉強が出来た、日本にはスマートフォーン携帯のユーザが沢山居ますから、皆様のセキュリティをもっと守るように専門側が海外のセキュリティ情報をちゃんと見て、確認が必要です。私の知っている限りではミスが多いっていうか適当な情報も多いです。
何故かこの内容をこのブログに書いたかと、今後もし同じ事が起きたら、ちゃんと手続きすれば必ず進めます。
では、本件に付いてMicrosoft社のレスポンスを待ちましょう。
追加情報#1
■現時点情報↓
$ date
Sat Mar 26 03:49:13 JST 2011
待っている間にMicrosoft社より直接レスポンスが未だ来ないけれども、うわさ(rumour)のニュースが出てました、さっきこのページがGoogleで出てきました↓
Microsoft working on new Windows Phone 7 update to patch fraudulent SSL certificates
↑内容をちゃんと読んだら、これはMicrosoft社の回答なんだ、下記のように書いてあります(ポイントonly)↓
①「Microsoft is currently working on a Windows Phone 7 update to address the issue on its latest range of smartphones」
ようは、”現在パッチが開発最中”だって
②「Fraudulent digital certificates are not a Microsoft security vulnerability” explained Microsoft Trustworthy Computing manager Bruce Cowper」
それで ”認証セキュリティ問題は弊社の問題じゃないと。。。”(私よりのコメント:ふむふむ、これはどうかなぁ…)
③「Microsoft has not provided a specific time-line for the update saying it will provide “additional guidance as it comes available."」
”パッチリリース予定は未だ分からないと。。。” (私はno commentです)
■結論は↓
ゼロデイのままで予定が不明ですがメーカーが認めてくれた。メーカーに認識を入れるミッションは以上です。これからパッチ対応待ち状況とゼロデイの状況をはっきりさせましょう。
■リファレンス↓
http://thenextweb.com/microsoft/2011/03/25/windows-phone-7-update-coming-to-block-fake-ssl-certificates/
http://www.winrumors.com/microsoft-working-on-new-windows-phone-7-update-to-patch-fraudulent-ssl-certificates/
追加情報#2
$ date
Sat Mar 26 04:25:26 JST 2011
ゼロデイ状況をはっきりさせる為にFull Disclosureに結論を書きました。
今確実に分かったのは、セキュリティの為にFull Disclosureでレポートのアップ時間がわざっと延ばされた。例えば下記の結論を攻めたら↓
↑大体Sat Mar 26 11:14:39 JST 2011、7時間ぐらいにはアップされています。
本件のWindows Phoneのゼロデイ状況はFull Disclosureで認めて頂きました,
本件のレポートは世界のゼロデイ状況です、ではボールは今Microsoft社側にあります↓
http://seclists.org/fulldisclosure/2011/Mar/301
Sat Mar 26 04:25:26 JST 2011
ゼロデイ状況をはっきりさせる為にFull Disclosureに結論を書きました。
今確実に分かったのは、セキュリティの為にFull Disclosureでレポートのアップ時間がわざっと延ばされた。例えば下記の結論を攻めたら↓
↑大体Sat Mar 26 11:14:39 JST 2011、7時間ぐらいにはアップされています。
本件のWindows Phoneのゼロデイ状況はFull Disclosureで認めて頂きました,
本件のレポートは世界のゼロデイ状況です、ではボールは今Microsoft社側にあります↓
http://seclists.org/fulldisclosure/2011/Mar/301
追加情報#3
2011/03/29 03:26am JST
最新情報はMicrosoft社がアップデートを用意する事となります(http://bit.ly/fAVd0D)
最新情報はMicrosoft社がアップデートを用意する事となります(http://bit.ly/fAVd0D)
追加情報#4
Mon, 18 Apr 2011 19:09:31 +0900
Full Disclosureメーリングリストに本件のアップデート情報が無いとリマインダーが投げました⇒http://seclists.org/fulldisclosure/2011/Apr/284
Full Disclosureメーリングリストに本件のアップデート情報が無いとリマインダーが投げました⇒http://seclists.org/fulldisclosure/2011/Apr/284
追加情報#5
Tue, 19 Apr 2011 22:11:30 +0900
本日下記の情報が発見されました↓
「Microsoft’s third Windows Phone update is due to be released on May 3 2011, addressing a recently discovered security issue that could see users of WP7 handsets open to phishing attacks or content spoofing. The update, a source with inside information told SlashGear, is described as a security certificate fix, closing a loophole around compromised third-party certificates issued by Comodo」←ようはMicrosoft社から情報があり5月3日に本件のアップデートが出ますと。URLは↓
http://pocketnow.com/windows-phone/windows-phone-7-security-update-coming-may-3
本日下記の情報が発見されました↓
「Microsoft’s third Windows Phone update is due to be released on May 3 2011, addressing a recently discovered security issue that could see users of WP7 handsets open to phishing attacks or content spoofing. The update, a source with inside information told SlashGear, is described as a security certificate fix, closing a loophole around compromised third-party certificates issued by Comodo」←ようはMicrosoft社から情報があり5月3日に本件のアップデートが出ますと。URLは↓
http://pocketnow.com/windows-phone/windows-phone-7-security-update-coming-may-3
Thu, May 5 2011 22:11:30 +0900
Windows Update 7.0.7392.0をリリースしました↓
http://www.microsoft.com/windowsphone/en-us/howto/wp7/basics/update-history.aspx
これで、本件のゼロデイがCLOSEとなります。
Windows Update 7.0.7392.0をリリースしました↓
http://www.microsoft.com/windowsphone/en-us/howto/wp7/basics/update-history.aspx
これで、本件のゼロデイがCLOSEとなります。
ここで出来た勉強代は、大きいメーカーが自分の製品のバグのハンドルに付いて、直接にメーカーにレポートを送って中々直ぐにレスポンスが出ない状況です。こんな時にセキュリティ専門コミュニティーの力が必要です。認めてくれる迄に少し時間と手間がかかるけれども、認めてくれたら強くメーカーにちゃんと伝えてくれると本件には確認が出来ました。
本件のゼロデイに付いては日本からはじめて認識して、ちゃんと手続きしたの状況で、もっと力を合わせたら綺麗なゼロデイハンドル仕組みを作れるので、日本のセキュリティを守りましょう!
---
http://0day.jp
アドリアン・ヘンドリック
マルウェアとゼロデイ研究者
株式会社ケイエルジェイテック http://www.kljtech.com
Tweet
0 件のコメント:
コメントを投稿