Apple QuickTime 製品に複数の脆弱性

JPCERT-WR-2009-0401 2009-01-28 2009-01-18 2009-01-24

Apple QuickTime 製品に複数の脆弱性 US-CERT Technical Cyber Security Alert TA09-022A Apple QuickTime Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-022A.html US-CERT Cyber Security Alert SA09-022A Apple QuickTime Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-022A.html DOE-CIRC Technical Bulletin T-043 Apple QuickTime Memory Corruption and Buffer Overflow Vulnerabilities http://www.doecirc.energy.gov/ciac/bulletins/t-043.shtml

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の第三者が細工した URL にアクセスさせたり、ムービーファイルを閲覧させたりすることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 版 QuickTime 7.5 およびそれ以前 - Microsoft Windows 版 QuickTime 7.5 およびそれ以前なお、iTunes など QuickTime を使用するソフトウェアをインストールしている場合も影響を受けます。詳細については、Apple が提供する情報を参照してください。この問題は、Apple が提供する修正済みのバージョン 7.6 に QuickTime を更新することで解決します。

Japan Vulnerability Notes JVNTA09-022A Apple QuickTime における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA09-022A/index.html アップル QuickTime - ダウンロード http://www.apple.com/jp/quicktime/download/ Apple Support HT3403 About the security content of QuickTime 7.6 http://support.apple.com/kb/HT3403 Apple security-announce Mailing List APPLE-SA-2009-01-21 QuickTime 7.6 http://lists.apple.com/archives/security-announce/2009/Jan/msg00000.html

Cisco Security Manager に認証回避の脆弱性 US-CERT Current Activity Archive Cisco Releases Security Advisory for Cisco Security Manager http://www.us-cert.gov/current/archive/2009/01/23/archive.html#cisco_releases_security_advisory_for6

Cisco Security Manager には、認証回避の脆弱性があります。結果として、遠隔の第三者が root 権限で IEV データベースおよび IEV サーバにアクセスする可能性があります。対象となる製品およびバージョンは以下の通りです。 - Cisco Security Manager 3.1 系の各バージョン - Cisco Security Manager 3.2.2 より前の 3.2 系の各バージョンなお、対象のシステムで IEV が使用されていない場合、Cisco Security Manager は本脆弱性の影響を受けません。この問題は、Cisco が提供するパッチを該当する製品に適用することで解決します。詳細については Cisco が提供する情報を参照してください。

Cisco Security Advisory 109370 Cisco Security Manager Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml

Sun SPARC Enterprise Server に認証回避の脆弱性 DOE-CIRC Technical Bulletin T-040 Sun SPARC Enterprise Server Authentication Bypass Vulnerability http://www.doecirc.energy.gov/ciac/bulletins/t-040.shtml

Sun SPARC Enterprise Server には、出荷時の設定に起因する認証回避の脆弱性があります。結果として、遠隔の第三者が root 権限で eXtended System Control Facility Unit (XSCFU) にログインする可能性があります。対象となる製品は以下の通りです。 - 2008年に製造されたシリアル番号の週表示部分が 38 から 49 までの SPARC Enterprise M4000/M5000 Server この問題は、Sun が提供する設定情報を適用することで解決します。詳細については、Sun が提供する情報を参照してください。

Sun Alert Notification 249126 Incorrect Software Setting Prior to Shipping on Certain Sun SPARC M4000/M5000 Servers May Allow Unauthorized Access http://sunsolve.sun.com/search/document.do?assetkey=1-66-249126-1

futomi's CGI Cafe の全文検索CGI に管理者権限奪取の脆弱性 Japan Vulnerability Notes JVN#80771386 futomi's CGI Cafe 製全文検索CGI における管理者権限奪取の脆弱性 http://jvn.jp/jp/JVN80771386/index.html

futomi's CGI Cafe の全文検索CGI には、管理者権限が奪取可能である脆弱性があります。結果として、遠隔の第三者が全文検索CGI の管理者になりすます可能性があります。対象となるバージョンは以下の通りです。 - 全文検索CGI Ver. 1.1.2 およびそれ以前この問題は、配布元が提供する修正済みのバージョンに全文検索CGI を更新することで解決します。

futomi's CGI Cafe 全文検索CGI 新バージョンの提供について http://www.futomi.com/library/info/2009/20090123.html

ソフトウエア難読化 (Software Obfuscation) ソフトウエアの本来の機能を保持したまま、そのソフトウエアを解析されることを防ぐためにソフトウエア難読化が行われることがあります。不要なコードを紛れ込ませたり、コードの順番を入れかえたり、ソースコード自身に特殊なエンコードを行ったりしてソフトウエアの挙動を隠ぺいします。ソフトウエアのアイデアやノウハウなどを保護する目的で研究されていましたが、現在では攻撃者が難読化された JavaScript やマルウエアを使用する例が増えています。これにはパターンマッチによる検知を防いだり、マルウエア作者の意図を秘匿する狙いがあると考えられています。 msdn Visual Studio 2008 Developer Center Dotfuscator Community Edition 4.0 http://msdn.microsoft.com/ja-jp/library/ms227240.aspx