JPCERT-WR-2007-2101

JPCERT/CC

2007-06-06

<<< JPCERT/CC WEEKLY REPORT 2007-06-06 >>>

■05/27(日)〜06/02(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】Apple QuickTime for Java に複数の脆弱性

【3】Apple 製品に複数の脆弱性

【4】file コマンドに整数アンダーフローの脆弱性

【5】Sun Java System Web Proxy Server に脆弱性

【6】Avast! にバッファオーバーフローの脆弱性

【7】Logitech VideoCall にバッファオーバーフローの脆弱性

【8】HP System Management Homepage にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その3

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr072101.txt
https://www.jpcert.or.jp/wr/2007/wr072101.xml

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-151A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-151A.html

US-CERT Cyber Security Alert SA07-151A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA07-151A.html

US-CERT Vulnerability Notes Database
Search Results [mozilla_20070531] (全2件・2007年6月5日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=mozilla_20070531

CIAC Bulletin R-252
Mozilla Layout Engine Vulnerable
http://www.ciac.org/ciac/bulletins/r-252.shtml

CIAC Bulletin R-253
SeaMonkey Security Update
http://www.ciac.org/ciac/bulletins/r-253.shtml

CIAC Bulletin R-254
Thunderbird Security Update
http://www.ciac.org/ciac/bulletins/r-254.shtml

CIAC Bulletin R-255
Firefox Security Update
http://www.ciac.org/ciac/bulletins/r-255.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が
あります。結果として、遠隔の第三者が任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、使用している OS のベンダや配布元が提供する以下の修正
済みのバージョンに、該当する製品を更新することで解決します。

- Firefox 2.0.0.4 (またはそれ以降)
- Firefox 1.5.0.12 (またはそれ以降)
- Thunderbird 1.5.0.12 (またはそれ以降)
- SeaMonkey 1.0.9 (またはそれ以降)
- SeaMonkey 1.1.2 (またはそれ以降)

なお、2007年6月5日現在、Thunderbird 2.0 系列では修正済みのバージョ
ンは提供されていません。Mozilla の情報によると、修正済みのバージョ
ンである Thunderbird 2.0.0.4 を準備しているとのことです。

また、Firefox 1.5 系列のサポートは 6月で終了するため、Firefox
2.0 系列へ更新することを推奨します。

詳細については、Mozilla が提供する情報を参照してください。

【2】Apple QuickTime for Java に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#995836
Apple QuickTime for Java security bypass vulnerability
http://www.kb.cert.org/vuls/id/995836

US-CERT Vulnerability Note VU#434748
Apple QuickTime for Java information disclosure vulnerability
http://www.kb.cert.org/vuls/id/434748

CIAC Bulletin R-251
Apple QuickTime 7.1.6 Security Update
http://www.ciac.org/ciac/bulletins/r-251.shtml

概要

QuickTime for Java には複数の脆弱性があります。結果として、遠隔
の第三者が細工した Web ページを利用して任意のコードを実行する可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- QuickTime 7.1.6 for Windows
- QuickTime 7.1.6 for Mac OS X

この問題は、Apple が提供する Security Update (QuickTime 7.1.6) 
を適用することで解決します。

【3】Apple 製品に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#221876
Apple Mac OS X mDNSResponder buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/221876

US-CERT Vulnerability Note VU#116100
Apple Mac OS X iChat UPnP buffer overflow
http://www.kb.cert.org/vuls/id/116100

CIAC Bulletin R-247
Apple Security Update 2007-005
http://www.ciac.org/ciac/bulletins/r-247.shtml

概要

Mac OS X および Mac OS X Server には複数の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

この問題は、JPCERT/CC REPORT 2007-03-22号【3】で紹介した「BIND9 
に複数の脆弱性」と同一の脆弱性を含んでいます。

対象となる製品およびバージョンは以下の通りです。

- Intel および PowerPC ベースのシステムで稼動する以下の製品および
  バージョン
  - Apple Mac OS X v10.3.9、v10.4.9
  - Apple Mac OS X Server v10.3.9、v10.4.9

この問題は、Apple が提供する Security Update 2007-005 を適用する
ことで解決します。詳細については Apple が提供する情報を参照して
ください。

【4】file コマンドに整数アンダーフローの脆弱性

情報源

CIAC Bulletin R-250
File Security Update
http://www.ciac.org/ciac/bulletins/r-250.shtml

概要

ファイルの種別を判定する file コマンドには、整数アンダーフローの
脆弱性があります。結果として、第三者が、細工したファイルに対して 
file コマンドを実行させることで任意のコードを実行できる可能性が
あります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに file コマンドを更新することで解決します。詳細につい
てはベンダや配布元が提供する情報を参照してください。

【5】Sun Java System Web Proxy Server に脆弱性

情報源

US-CERT Vulnerability Note VU#746889
Sun Java System Web Proxy Server fails to properly process malformed packets
http://www.kb.cert.org/vuls/id/746889

CIAC Bulletin R-248
Security Vulnerabilities in the SOCKS Module of Sun Java System Web Proxy
http://www.ciac.org/ciac/bulletins/r-248.shtml

概要

Sun Java System Web Proxy Server の SOCKS モジュールには、バッファ
オーバーフローの脆弱性があります。結果として、遠隔の第三者が Sun
Java System Web Proxy Server を実行しているユーザの権限で任意の
コードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Sun Java System Web Proxy Server 4.0.4 およびそれ以前

この問題は、Sun が提供する修正済みのバージョン 4.0.5 またはそれ
以降に Sun Java System Web Proxy Server を更新することで解決しま
す。

【6】Avast! にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#125868
Avast! antivirus buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/125868

CIAC Bulletin R-249
Avast! Antivirus Vulnerability
http://www.ciac.org/ciac/bulletins/r-249.shtml

概要

ALWIL Software が提供するウィルス対策ソフトウェア Avast! には、
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Avast! 4.7.700 より前のバージョン

この問題は、ALWIL Software が提供する修正済みのバージョンに
Avast! を更新することで解決します。

【7】Logitech VideoCall にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#330289
Logitech VideoCall multiple ActiveX controls contain stack buffer overflows
http://www.kb.cert.org/vuls/id/330289

CIAC Bulletin R-256
Logitech VideoCall Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-256.shtml

概要

Logitech VideoCall に含まれる複数の ActiveX コントロールには、複
数のバッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を利用して任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

2007年6月5日現在、この問題に対する修正プログラムは確認されており
ません。

Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま
す。詳細については、下記関連文書を参照してください。

【8】HP System Management Homepage にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#19240523
HP System Management Homepage におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2319240523/index.html

概要

HP が提供する HP System Management Homepage (SMH) には、クロスサ
イトスクリプティングの脆弱性があります。結果として、遠隔の第三者
がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるプラットフォームおよびバージョンは以下の通りです。

- Linux および Windows 上で動作する以下のバージョン
  - HP System Management Homepage 2.1.2 より前のバージョン

この問題は、HP が提供する修正済みのバージョンに SMH を更新するこ
とで解決します。

なお、SMH の旧製品にあたる Compaq System Management Homepage に
も同様の脆弱性があることが確認されています。Compaq System
Management Homepage は現在提供されていないため、SMH へアップグレー
ドすることが推奨されています。詳しくは HP が提供する情報を参照し
てください。

■今週のひとくちメモ

○生体認証 (バイオメトリクス認証) その3

生体認証の技術は他の認証方式と比較して歴史が浅く、現在も評価と改
良が続けられています。

生体認証では本人の身体的特徴や行動的特徴を利用するため、基本的に
認証情報の変更は困難です。このため、一度認証情報が漏えいすると、
その人は生涯リスクを負うことになります。他のシステムで同じ生体情
報を使用している場合、それらのシステムに影響が波及する可能性があ
ります。

生体認証システムを構築運用する場合には、生体認証だけでなく、パス
ワードやスマートカードなど他の認証方式と併用し(多要素認証)、認証
に利用する生体情報を適切に管理して、その管理方法をユーザに説明す
ることを推奨します。

参考文献 (日本語)

金融庁: 偽造キャッシュカード問題に関するスタディグループ
金融取引における生体認証について
http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf

JPCERT/CC REPORT 2006-07-12
【今週の一口メモ】複数の認証を併用する
http://www.jpcert.or.jp/wr/2006/wr062601.txt

JPCERT/CC REPORT 2007-05-23
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1
http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo

JPCERT/CC REPORT 2007-05-30
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その2
http://www.jpcert.or.jp/wr/2007/wr072001.html#Memo

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2007-06-06号

<<< JPCERT/CC WEEKLY REPORT 2007-06-06 >>>

■05/27(日)〜06/02(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

○生体認証 (バイオメトリクス認証) その3

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次