Loading...

マカフィーセキュリティ情報- McAfee Agent アップデートで対応される http-generic-click-jacking に関する脆弱性
セキュリティ情報 ID:   SB10094
最終更新:  2015/02/19
評価:


概要

 ドキュメントの対象者:  技術・セキュリティ担当者
 脆弱性の重大度:  プロテクションメカニズムの失敗 (Protection Mechanism Failure)
 セキュリティ設定ミス (Security Misconfiguration)
 リダイレクトとフォワード無効化 (Invalidated Redirects and Forwards)
 CVE 番号:  なし
 CERT/CC 番号:  なし
 セキュリティレーティング:  中
 Base / CVSS スコア:  4.3 / 3.5
 推奨される対策:  MA 4.8.0 Patch 3 のインストール / アップデート
 MA 5.0.1 のインストール / アップデート
 セキュリティ情報の修正:  なし
 備考:  MA 5.0.1 リリースにつきましては、2015年第一四半期を予定しています。
 影響を受けるソフトウェア:  McAfee Agent 4.8.0 Patch 2 、もしくはそれ以前のバージョン
 McAfee Agent 5.0.0
 最新ソフトウェアの入手:  http://www.mcafee.com/japan/licensed2/

説明

Windows上でリモートログを表示するための McAfee Agent(MA)機能は、http-generic-click-jackingに対して脆弱です。攻撃者は悪質な 'clickjacking' ページを作ることができ、ユーザーがこの悪質なアクションの開始ボタンをクリックした場合、この欠陥が悪用されるおそれがあります。
 
注意: デフォルトの McAfee Agent ポリシー設定が適用されている場合、この脆弱性を悪用することはできません。
McAfee Agent の全般ポリシーで、"ePOサーバからの接続のみを使用する" オプションを無効にした場合に脆弱は存在します。
 
この Patch は以下の問題を修正します:
 
CAPEC-103
Common Attack Pattern Enumeration and Classification - Clickjacking
http://capec.mitre.org/data/definitions/103.html
   
CWE-693
Protection Mechanism Failure
http://cwe.mitre.org/data/definitions/693.html
   
影響を受けるコンポーネント:
  • McAfee Agent リモートログビューア
これら全ての問題は 2015年2月17日 にリリースされた McAfee Agent 4.8.0 Patch 3  、2015年第一四半期リリース予定の MA 5.0.1 にて解決されます。

修正

改善プランは、MA4.6.0 / MA4.8.0/ MA5.0.0 現在サポートされているバージョンアップグレードすることですこれらの修正MA4.8.0 Patch 3 と MA5.0.1 にそれぞれ含まれます
  • MA4.6.x ユーザーは 2015年2月17日にリリースされた、MA4.8.0 Patch 3(MA480P3WIN.zip) へアップグレードいただく必要があります。
  • MA4.8.x ユーザーは 2015年2月17日にリリースされた、MA4.8.0 Patch 3(MA480P3WIN.zip) へアップグレードいただく必要があります。
  • または、2015年第一四半期後半リリース予定の最新の MA5.0.1(MA501WIN.zip) へ直接アップグレードすることができます。
詳細につきましては、リリースノートのアップグレード手順をご参照ください。
 
マカフィー製品ダウンロードサイトへアクセスのうえ、該当する製品の Patch 修正プログラムファイルをダウンロードします:
   
製品 パッケージタイプ ファイル名 リリース日
MA 4.8.0 Patch 3 Patch MA480P3WIN.zip 2015年02月17日
MA 5.0.1 Patch MA501WIN.zip 2015年第一四半期
 
マカフィー製品の入手方法
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号、および画面に表示されるコードを入力します。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
注意: 
適切な製品のリンクをクリックして、 ZIP ファイルをダウンロードします。
マカフィー製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにてそれぞれご確認下さい。

回避策

下記いずれかの回避策を選択します:
  •  McAfee Agent の全般ポリシーで、'ePOサーバからの接続のみを使用する' オプションが選択されていることを確認してください。 これでリモートログビューア機能が ePO サーバから接続のみ接続されるようになります。 これは弊社が推奨するデフォルトの設定です。
     
  • ご使用中のブラウザで最大のセキュリティ制限を強制する:
    • JavaScript の無効化
    • Flash の無効化
    • CSS (Cascading Style Sheets) の無効化
    • iFrames の禁止
       
  • 昇格させた全ての権限をできるだけ早く削除します。

確認

なし

よくある質問(FAQ)

この脆弱性の影響を受ける製品バージョンは何ですか?
 
McAfee Agent は影響を受けます。
 
影響を受けるバージョン:

  • McAfee Agent 5.0.0
  • McAfee Agent 4.8.0 Patch 2 、もしくはそれ以前のバージョン
保護されているバージョン:
  • McAfee Agent 5.0.1 (2015年第一四半期リリース予定)
  • McAfee Agent 4.8.0 Patch 3、もしくはそれ以降のバージョン
マカフィーは最新バージョンへのアップデートをすべてのお客様へ推奨します。
 
この Hotfix / Patch はどんな問題を修正しますか? 
1013473: MA は 'Click Jacking' に対して脆弱です(http-generic-click-jacking)
 
注意: MA 4.8.0 Patch 3 と MA 5.0.1 には、このセキュリティ問題の修正とは別に、お客様のエクスペリエンスを改善するための追加的な修正が含まれています。詳細につきましては、パッチのリリースノートをご参照ください。
 
マカフィー企業向け製品はこの脆弱性の影響を受けますか?
はい、McAfee Agent は企業向け製品です。
 
どのようにして使用しているマカフィー製品が脆弱であるかを知ることができますか? 
エンドポイントまたはクライアントベースの製品につきましては、以下の手順を使用してください:
  1. Windows タスクバー上の McAfee tray shield アイコンをク右クリックします。
  2. 製品情報を選択し、‘McAfee Agent’ の製品バージョンを表示させます。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。
詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/
 
使用されるCVSSスコアリングメトリクスは何ですか?

 Base Score  4.3
 Related exploit range (AccessVector)  Network
 Attack complexity (AccessComplexity)  Medium
 Level of authentication needed (Authentication)  None
 Confidentiality impact  None
 Integrity impact  Partial
 Availability impact  None
 Temporal Score (Overall)
 3.5
 Availability of exploit (Exploitability)  Unproven that exploit exists
 Type of fix available (RemediationLevel)  Workaround
 Level of verification that vulnerability exists (ReportConfidence)  Not Defined
 
NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2
 
問題を解決するためにマカフィーは何をしましたか?
McAfeeは、このセキュリティ上の欠陥に対処するパッチを2015年02月17日にリリースしました。
 
Hotfix や Patch は何処からダウンロードできますか?
http://www.mcafee.com/japan/licensed2/ よりダウンロードが可能です。
※ダウンロードには承認番号、画面に表示されるコードの入力が必要です。
 
この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせて発表します。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

Any future product release dates mentioned in this bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese