JPCERT-WR-2007-2101
2007-06-06
2007-05-27
2007-06-02
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が
あります。結果として、遠隔の第三者が任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
この問題は、使用している OS のベンダや配布元が提供する以下の修正
済みのバージョンに、該当する製品を更新することで解決します。
- Firefox 2.0.0.4 (またはそれ以降)
- Firefox 1.5.0.12 (またはそれ以降)
- Thunderbird 1.5.0.12 (またはそれ以降)
- SeaMonkey 1.0.9 (またはそれ以降)
- SeaMonkey 1.1.2 (またはそれ以降)
なお、2007年6月5日現在、Thunderbird 2.0 系列では修正済みのバージョ
ンは提供されていません。Mozilla の情報によると、修正済みのバージョ
ンである Thunderbird 2.0.0.4 を準備しているとのことです。
また、Firefox 1.5 系列のサポートは 6月で終了するため、Firefox
2.0 系列へ更新することを推奨します。
詳細については、Mozilla が提供する情報を参照してください。
Mozilla Foundation セキュリティアドバイザリ 2007-12
メモリ破壊の形跡があるクラッシュ (rv:1.8.0.12/1.8.1.4)
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-12.html
Mozilla Foundation セキュリティアドバイザリ 2007-13
永続的な自動補完によるサービス妨害
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-13.html
Mozilla Foundation セキュリティアドバイザリ 2007-14
Cookie パスの不正利用
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-14.html
Mozilla Foundation セキュリティアドバイザリ 2007-15
APOP 認証に関するセキュリティ脆弱性
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-15.html
Mozilla Foundation セキュリティアドバイザリ 2007-16
addEventListener を利用したクロスサイトスクリプティング
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-16.html
Mozilla Foundation セキュリティアドバイザリ 2007-17
XUL ポップアップの偽装
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-17.html
Japan Vulnerability Notes JVNTA07-151A
Mozilla 製品における複数の脆弱性
http://jvn.jp/cert/JVNTA07-151A/index.html
Red Hat Security Advisory RHSA-2007:0400-3
Critical: firefox security update
http://rhn.redhat.com/errata/RHSA-2007-0400.html
Red Hat Security Advisory RHSA-2007:0401-2
Critical: thunderbird security update
http://rhn.redhat.com/errata/RHSA-2007-0401.html
Red Hat Security Advisory RHSA-2007:0402-4
Critical: seamonkey security update
http://rhn.redhat.com/errata/RHSA-2007-0402.html
Apple QuickTime for Java に複数の脆弱性
QuickTime for Java には複数の脆弱性があります。結果として、遠隔
の第三者が細工した Web ページを利用して任意のコードを実行する可
能性があります。
対象となる製品およびバージョンは以下の通りです。
- QuickTime 7.1.6 for Windows
- QuickTime 7.1.6 for Mac OS X
この問題は、Apple が提供する Security Update (QuickTime 7.1.6)
を適用することで解決します。
アップル - サポート
Security Update (QuickTime 7.1.6) について
http://docs.info.apple.com/article.html?artnum=305531-ja
アップル - サポート - ダウンロード
Security Update (QuickTime 7.1.6 for Windows)
http://www.apple.com/jp/ftp-info/reference/securityupdatequicktime716forwindows.html
アップル - サポート - ダウンロード
Security Update (QuickTime 7.1.6 for Mac)
http://www.apple.com/jp/ftp-info/reference/securityupdatequicktime716formac.html
Apple 製品に複数の脆弱性
Mac OS X および Mac OS X Server には複数の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
この問題は、JPCERT/CC REPORT 2007-03-22号【3】で紹介した「BIND9
に複数の脆弱性」と同一の脆弱性を含んでいます。
対象となる製品およびバージョンは以下の通りです。
- Intel および PowerPC ベースのシステムで稼動する以下の製品および
バージョン
- Apple Mac OS X v10.3.9、v10.4.9
- Apple Mac OS X Server v10.3.9、v10.4.9
この問題は、Apple が提供する Security Update 2007-005 を適用する
ことで解決します。詳細については Apple が提供する情報を参照して
ください。
アップル - サポート
Security Update 2007-005 について
http://docs.info.apple.com/article.html?artnum=305530-ja
アップル - サポート - ダウンロード
Security Update 2007-005 v1.1 (PPC)
http://www.apple.com/jp/ftp-info/reference/securityupdate2007005v11ppc.html
アップル - サポート - ダウンロード
Security Update 2007-005 v1.1 (Universal)
http://www.apple.com/jp/ftp-info/reference/securityupdate2007005v11universal.html
JPCERT/CC REPORT 2007-03-22
【3】BIND9 に複数の脆弱性
http://www.jpcert.or.jp/wr/2007/wr071101.html#3
file コマンドに整数アンダーフローの脆弱性
ファイルの種別を判定する file コマンドには、整数アンダーフローの
脆弱性があります。結果として、第三者が、細工したファイルに対して
file コマンドを実行させることで任意のコードを実行できる可能性が
あります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに file コマンドを更新することで解決します。詳細につい
てはベンダや配布元が提供する情報を参照してください。
US-CERT Vulnerability Note VU#606700
file integer underflow vulnerability
http://www.kb.cert.org/vuls/id/606700
Red Hat Security Advisory RHSA-2007:0391-3
Moderate: file security update
https://rhn.redhat.com/errata/RHSA-2007-0391.html
Sun Java System Web Proxy Server に脆弱性
Sun Java System Web Proxy Server の SOCKS モジュールには、バッファ
オーバーフローの脆弱性があります。結果として、遠隔の第三者が Sun
Java System Web Proxy Server を実行しているユーザの権限で任意の
コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Sun Java System Web Proxy Server 4.0.4 およびそれ以前
この問題は、Sun が提供する修正済みのバージョン 4.0.5 またはそれ
以降に Sun Java System Web Proxy Server を更新することで解決しま
す。
Sun Alert Notification 102927
Security Vulnerabilities in the SOCKS Module of Sun Java System Web Proxy Server 4.0
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102927-1
Avast! にバッファオーバーフローの脆弱性
ALWIL Software が提供するウィルス対策ソフトウェア Avast! には、
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- Avast! 4.7.700 より前のバージョン
この問題は、ALWIL Software が提供する修正済みのバージョンに
Avast! を更新することで解決します。
ALWIL Software
avast! Managed Client Revision History
http://www.avast.com/eng/adnm-management-client-revision-history.html
Logitech VideoCall にバッファオーバーフローの脆弱性
Logitech VideoCall に含まれる複数の ActiveX コントロールには、複
数のバッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を利用して任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
2007年6月5日現在、この問題に対する修正プログラムは確認されており
ません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま
す。詳細については、下記関連文書を参照してください。
マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797
HP System Management Homepage にクロスサイトスクリプティングの脆弱性
HP が提供する HP System Management Homepage (SMH) には、クロスサ
イトスクリプティングの脆弱性があります。結果として、遠隔の第三者
がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- Linux および Windows 上で動作する以下のバージョン
- HP System Management Homepage 2.1.2 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに SMH を更新するこ
とで解決します。
なお、SMH の旧製品にあたる Compaq System Management Homepage に
も同様の脆弱性があることが確認されています。Compaq System
Management Homepage は現在提供されていないため、SMH へアップグレー
ドすることが推奨されています。詳しくは HP が提供する情報を参照し
てください。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#19240523 「HP System Management Homepage」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19240523.html
SUPPORT COMMUNICATION - SECURITY BULLETIN c01056592
HPSBMA02216 SSRT071310 rev.1 - HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01056592
US-CERT Vulnerability Note VU#292457
HP System Management Homepage cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/292457
生体認証 (バイオメトリクス認証) その3
生体認証の技術は他の認証方式と比較して歴史が浅く、現在も評価と改
良が続けられています。
生体認証では本人の身体的特徴や行動的特徴を利用するため、基本的に
認証情報の変更は困難です。このため、一度認証情報が漏えいすると、
その人は生涯リスクを負うことになります。他のシステムで同じ生体情
報を使用している場合、それらのシステムに影響が波及する可能性があ
ります。
生体認証システムを構築運用する場合には、生体認証だけでなく、パス
ワードやスマートカードなど他の認証方式と併用し(多要素認証)、認証
に利用する生体情報を適切に管理して、その管理方法をユーザに説明す
ることを推奨します。
金融庁: 偽造キャッシュカード問題に関するスタディグループ
金融取引における生体認証について
http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf
JPCERT/CC REPORT 2006-07-12
【今週の一口メモ】複数の認証を併用する
http://www.jpcert.or.jp/wr/2006/wr062601.txt
JPCERT/CC REPORT 2007-05-23
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1
http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo
JPCERT/CC REPORT 2007-05-30
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その2
http://www.jpcert.or.jp/wr/2007/wr072001.html#Memo