JPCERT-WR-2009-1001 2009-03-11 2009-03-01 2009-03-07

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/03/05/archive.html#mozilla_foundation_releases_firefox_3 DOE-CIRC Technical Bulletin T-074 http://www.doecirc.energy.gov/ciac/bulletins/t-074.shtml

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得したりするなどの可能性があり ます。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.7 なお、2009年3月10日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダや配布元 が提供する情報を参照してください。

Mozilla Japan http://mozilla.jp/firefox/3.0.7/releasenotes/ Mozilla Japan http://www.mozilla-japan.org/security/announce/ Red Hat Security Advisory RHSA-2009:0315-4 https://rhn.redhat.com/errata/RHSA-2009-0315.html Red Hat Security Advisory RHSA-2009:0325-4 https://rhn.redhat.com/errata/RHSA-2009-0325.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/03/05/archive.html#opera_software_releases_opera_9

Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ プトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 9.64 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Opera ブラウザを更新することで解決します。

Opera Software http://jp.opera.com/ Opera Software http://jp.opera.com/docs/changelogs/windows/964/ Opera Software - Knowledge Base http://www.opera.com/support/kb/view/926/

US-CERT Vulnerability Note VU#649212 http://www.kb.cert.org/vuls/id/649212

libpng には、エレメントポインタが適切に初期化されないことに起因 する脆弱性があります。結果として、遠隔の第三者が細工した PNG ファ イルを処理させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - libpng-1.0.43 より前のバージョン - libpng-1.2.35 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。なお、本脆弱性の 影響は、libpng を利用しているアプリケーションにもおよぶので注意 してください。

Japan Vulnerability Notes JVNVU#649212 http://jvn.jp/cert/JVNVU649212/index.html libpng Home Page http://www.libpng.org/pub/png/libpng.html Red Hat Security Advisory RHSA-2009:0333-7 https://rhn.redhat.com/errata/RHSA-2009-0333.html

DOE-CIRC Technical Bulletin T-071 http://www.doecirc.energy.gov/ciac/bulletins/t-071.shtml

Novell eDirectory の管理コンソールには、バッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が細工した HTTP リクエ ストを処理させることで、SYSTEM または root の権限で任意のコード を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - Novell eDirectory 8.8 SP3 FTF2 - Novell eDirectory 8.7.3 この問題は、Novell が提供するパッチを eDirectory に適用すること で解決します。詳細については、Novell が提供する情報を参照してく ださい。

Novell http://download.novell.com/index.jsp?product_id=&search=Search&tab=patches&families=2597&version=&date_range=&keywords=&sort_by=&x=42&y=14 Novell http://download.novell.com/Download?buildid=Cf15mVyA3GI~ Novell http://download.novell.com/Download?buildid=lXrwD8NOc90~ Novell http://download.novell.com/Download?buildid=ZEya4WZ613k~

JPCERT Coordination Center http://www.jpcert.or.jp/ed/2009/ed090001.pdf

2009年3月3日、JPCERT/CC は「技術メモ − クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」を公開しました。 本文書は、Webサイト制作者及び運営者を対象に、クリックジャッキン グ攻撃の概要とその対策の一つとして X-FRAME-OPTIONS の概要、記述 方法、設定値による挙動の違いについて解説します。

JPCERT Coordination Center http://www.jpcert.or.jp/present/

JPCERT コーディネーションセンターは、2009年2月20日に東京ベルサー ル八重洲において開催した重要インフラ情報セキュリティフォーラム 2009 の講演資料を公開しました。本フォーラムは、重要インフラ事業 者 (情報通信、金融、電力、航空、鉄道、ガス、政府・行政サービス、 医療、水道、物流等の事業に係わる方）及び重要インフラ事業者にシス テムを提供するベンダー等を主な対象として、情報セキュリティ上の課 題や対策等に関する講演を中心に実施したものです。

現在サポートされている JDK/JRE の最新バージョンは以下の通りです。 - JDK/JRE 6 Update 12 (1.6.0 update 12) - JDK/JRE 5.0 Update 17 (1.5.0 update 17) 2009年10月30日まで EOL transition 期間中です。 その後 EOSL (End Of Service Life) となる予定です。 Java AutoUpdate では、セキュリティ対策が含まれていない場合などに は、最新のバージョンが配布されるわけではありません。実際に update 12 をインストールする場合にはマニュアルでダウンロードとイ ンストールを行う必要があります。 Sun によると 2009年第一四半期に予定されているアップデートではセ キュリティ対策を取り込んだリリースとなる予定です。 JDK 6 Project https://jdk6.dev.java.net/ Sun Developer Network (SDN) http://java.sun.com/javase/6/webnotes/6u12.html Sun Developer Network (SDN) http://java.sun.com/products/archive/eol.policy.html