<<< JPCERT/CC WEEKLY REPORT 2014-09-10 >>>

■08/31(日)〜09/06(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性

【3】EmFTP に脆弱性

【4】WisePoint に複数の脆弱性

【今週のひとくちメモ】Pre-loaded Public Key Pinning

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Thunderbird
https://www.us-cert.gov/ncas/current-activity/2014/09/03/Mozilla-Releases-Security-Updates-Firefox-and-Thunderbird

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 32 より前のバージョン
- Firefox ESR 24.8 より前のバージョン
- Firefox ESR 31.1 より前のバージョン
- Thunderbird 31.1 より前のバージョン
- Thunderbird 24.8 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
          

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014 年 9 月 2 日)
http://www.mozilla-japan.org/security/announce/

【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性

情報源

Japan Vulnerability Notes JVNVU#90369988
複数の Android アプリに SSL 証明書を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU90369988/index.html

概要

CERT/CC では独自に作成したツール CERT Tapioka を使用して、SSL 証明書の
検証を適切に行っていない Android アプリを調査しました。その結果、SSL
証明書を適切に検証しない Android アプリが複数発見されています。

調査を行ったアプリ名や手動による脆弱性確認結果などの情報については、別
途公開されているファイル "Android apps that fail to validate SSL" を参
照してください。また、調査手法の詳細については CERT/CC blog を参照して
ください。

関連文書 (英語)

Google Docs
Android apps that fail to validate SSL
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing

CERT/CC Blog
Finding Android SSL Vulnerabilities with CERT Tapioca
https://www.cert.org/blogs/certcc/post.cfm?EntryID=204

CERT/CC Vulnerability Analysis
CERT Tapioca
https://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm

【3】EmFTP に脆弱性

情報源

Japan Vulnerability Notes JVN#50367052
EmFTP における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN50367052/index.html

概要

株式会社エムソフトが提供する EmFTP には、実行ファイルの読み込みに関する
脆弱性があります。結果として、遠隔の第三者が、拡張子の付いていないロー
カルファイルを開かせることで、該当製品を実行しているユーザの権限で任意
のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- EmFTP Standard
- EmFTP Professional

2014年9月10日現在、EmFTP の開発および更新は終了しています。拡張子の付い
ていないファイルを開く場合には、EmFTP から直接開くのではなく、別の方法
で開くようにしてください。

関連文書 (日本語)

EmEditor
EmFTP
https://jp.emeditor.com/about/other-products/emftp/

【4】WisePoint に複数の脆弱性

情報源

ファルコンシステムコンサルティング株式会社
WisePoint Ver4.1.19.9 Release Note
https://service.falconsc.com/service/product/patch/wp/4.1.x/4.1.19.9/release_note.txt

Japan Vulnerability Notes JVN#49672671
WisePoint におけるセッション固定の脆弱性
https://jvn.jp/jp/JVN49672671/index.html

概要

WisePoint には複数の脆弱性があります。結果として、遠隔の第三者が登録ユー
ザになりすましたり、ユーザのブラウザ上で任意のスクリプトを実行したりす
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- WisePoint バージョン 4.1.19.9 より前のバージョン

この問題は、ファルコンシステムコンサルティング株式会社が提供する修正済
みのバージョンに WisePoint を更新することで解決します。詳細については、
ファルコンシステムコンサルティング株式会社が提供する情報を参照して下さ
い。

関連文書 (日本語)

ファルコンシステムコンサルティング株式会社
WisePointパッチプログラムのダウンロード
https://service.falconsc.com/service/product/patch/index.html

■今週のひとくちメモ

○Pre-loaded Public Key Pinning

Firefox 32 では Pre-loaded Public Key Pinning と呼ばれる仕組みが実装さ
れています。これは、証明書チェーンを構成する証明書に含まれる公開鍵情報
のハッシュ値を Web ブラウザ側であらかじめ持っておくもので、不正なサー
バ証明書が使われたり、認証局が不正なサーバ証明書を発行していた場合に、
Web ブラウザ側で検出可能とすることを目的としています。この仕組みは
Chromium でもバージョン 13 から実装されています。

参考文献 (英語)

Mozilla Security Blog
Public key pinning released in Firefox
https://blog.mozilla.org/security/2014/09/02/public-key-pinning/

Mozilla Wiki
SecurityEngineering/Public Key Pinning
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

The Chromium Blog
New Chromium security features, June 2011
http://blog.chromium.org/2011/06/new-chromium-security-features-june.html

■JPCERT/CC からのお願い