JPCERT-WR-2008-5001
2008-12-25
2008-12-14
2008-12-20
「Microsoft Internet Explorer の XML 解析処理に脆弱性」に関する追加情報
JPCERT/CC REPORT 2008-12-17 号【2】で紹介した「Microsoft Internet
Explorer の XML 解析処理に脆弱性」に関する追加情報です。
2008年12月18日、Microsoft より本脆弱性を修正する定例外のセキュリ
ティ更新プログラムが公開されました。詳細については、Microsoft が
提供する情報を参照してください。
マイクロソフト セキュリティ情報 MS08-078 - 緊急
Internet Explorer 用のセキュリティ更新プログラム (960714)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx
Japan Vulnerability Notes JVNTA08-352A
Microsoft Internet Explorer のデータバインディング処理における脆弱性
http://jvn.jp/cert/JVNTA08-352A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-078)
http://www.cyberpolice.go.jp/important/2008/20081218_100815.html
JPCERT/CC Alert 2008-12-18
Microsoft Internet Explorer の脆弱性 (MS08-078) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080023.txt
JPCERT/CC REPORT 2008-12-17
【2】Microsoft Internet Explorer の XML 解析処理に脆弱性
http://www.jpcert.or.jp/wr/2008/wr084901.html#2
Apple Mac OS X に複数の脆弱性
Mac OS X および Mac OS X Server には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったり、権限を昇格したりするなどの可能性があり
ます。
対象となる製品およびバージョンは以下の通りです。
- Apple Mac OS X 10.4.11 およびそれ以前
- Apple Mac OS X 10.5.5 およびそれ以前
- Apple Mac OS X Server 10.4.11 およびそれ以前
- Apple Mac OS X Server 10.5.5 およびそれ以前
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。
Apple Support HT3338
セキュリティアップデート 2008-008 / Mac OS X v10.5.6 のセキュリティコンテンツについて
https://support.apple.com/kb/HT3338?viewlocale=ja_JP
Apple Support HT3194
Mac OS X 10.5.6 アップデートについて
http://support.apple.com/kb/HT3194?viewlocale=ja_JP
Japan Vulnerability Notes JVNTA08-350A
Apple 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-350A/index.html
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行したり、
機密情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実行
したりする可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.5
- Firefox 2.0.0.20
- SeaMonkey 1.1.14
2008年12月24日現在、Thunderbird の修正プログラムは提供されていま
せん。なお、2008年12月18日以前にこの問題への対策として公開されて
いた Firefox 2.0.0.19 では、Windows 版に一部の修正が含まれていな
かったため、その対策として Firefox 2.0.0.20 が公開されました。詳
細については、OS のベンダや配布元が提供する情報を参照してくださ
い。
また、Firefox 2 のサポートは、Firefox 2.0.0.20 のリリースが最後
となります。Firefox 2 ユーザは、この機会に Firefox 3 へ移行する
ことを強く推奨します。
Mozilla Japan
Firefox 2 リリースノート - Firefox 2.0.0.20 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.20/releasenotes/
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.5 - 2008/12/16 リリース
http://mozilla.jp/firefox/3.0.5/releasenotes/
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
SeaMonkey Project
SeaMonkey 1.1.14
http://www.seamonkey-project.org/releases/seamonkey1.1.14/
Red Hat Security Advisory RHSA-2008:1036-7
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-1036.html
Red Hat Security Advisory RHSA-2008:1037-7
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-1037.html
PHP にクロスサイトスクリプティングの脆弱性
PHP には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。
対象となるバージョンは以下の通りです。
- PHP 5.2.7 およびそれ以前
なお、PHP の設定で display_errors=off である場合は、この問題の影
響を受けません。また、PHP 5.3.0alpha は、本脆弱性の影響を受けま
せん。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに PHP を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。
なお、配布元によると、PHP 4.X は、2007年12月31日をもってサポート
終了とされています。PHP 4.X を使用している場合は、PHP 5.2.X へアッ
プグレードすることを推奨します。
PHP
PHP 5.2.8 Released!
http://www.php.net/archive/2008.php#id2008-12-08-1
PHP
PHP 5.2.8 Release Announcement
http://www.php.net/releases/5_2_8.php
Opera ブラウザに複数の脆弱性
Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したり、機密情報を取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- Opera 9.63 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Opera ブラウザを更新することで解決します。
Opera Software
Opera ブラウザ
http://jp.opera.com/
Opera Software
Opera 9.63 for Windows 更新履歴
http://jp.opera.com/docs/changelogs/windows/963/
Opera Software - Knowledge Base
Advisory: Manipulating text input contents can allow execution of arbitrary code
http://www.opera.com/support/kb/view/920/
Opera Software - Knowledge Base
Advisory: HTML parsing flaw can cause Opera to execute arbitrary code
http://www.opera.com/support/kb/view/921/
Opera Software - Knowledge Base
Advisory: Long hostnames in file: URLs can cause execution of arbitrary code
http://www.opera.com/support/kb/view/922/
Opera Software - Knowledge Base
Advisory: Script injection in feed preview can reveal contents of unrelated news feeds
http://www.opera.com/support/kb/view/923/
Opera Software - Knowledge Base
Advisory: Built-in XSLT templates can allow cross-site scripting
http://www.opera.com/support/kb/view/924/
冬期の長期休暇を控えて
JPCERT/CC は 2008年12月22日、「冬期の長期休暇を控えて」を公開し
ました。
冬期の長期休暇期間中におけるコンピュータセキュリティインシデント
発生の予防および緊急時の対応に関して、セキュリティ対策実施状況な
らびに緊急時の連絡体制を事前に再確認していただきますようお願い致
します。
情報セキュリティ総合的普及啓発シンポジウム開催のお知らせ
2009年1月28日、29日の両日に、財団法人日本情報処理開発協会主催の
「情報セキュリティ総合的普及啓発シンポジウム」が開催されます。今
回は「事業継続マネジメントの新たなる出発」を主要テーマとして取り
上げ、事業継続マネジメント専門家の方々の講演が予定されています。
日時: 1月28日(水) 午前10時00分〜午後5時10分
1月29日(木) 午前9時30分〜午後5時20分
場所: 日経ホール (日本経済新聞社内8F)
参加費: \10,000
詳細については上記情報源のページをご参照ください。
OpenSSH の実験的機能 VisualHostKey
OpenSSH v5.1 から、SSH サーバホスト鍵のフィンガープリントをより
人間が判別しやすいアスキーアートとして表示される機能が実験的に加
えられました。
初めて SSH サーバに接続する際には、SSH サーバホスト鍵のフィンガー
プリントを確認し、自分が接続すべきサーバと通信を行っていることを
確認することが重要です。
VisualHostKey=yes というオプションを利用してホストに接続すると以
下のようなアスキーアートが表示されます。
user[~]: ssh -o VisualHostKey=yes host1
Host key fingerprint is df:f1:91:2d:fb:7e:f3:0a:38:71:20:91:e9:3c:ee:60
+--[ RSA 1024]----+
| ... . |
| . +.B . |
| . O.X o |
| + B.O |
| S o.= |
| .E |
| . |
| |
| |
+-----------------+
本機能はランダムな文字列を可視化し、人間にとって覚えやすい形で提
示することを目指したユニークな機能です。
OpenSSH
OpenSSH 5.1/5.1p1
http://www.openssh.com/txt/release-5.1