JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2009 > Weekly Report 2009-12-09号

最終更新: 2009-12-09

Weekly Report 2009-12-09号


JPCERT-WR-2009-4701
JPCERT/CC
2009-12-09

<<< JPCERT/CC WEEKLY REPORT 2009-12-09 >>>

■11/29(日)〜12/05(土) のセキュリティ関連情報

目 次

【1】Java for Mac OS X に複数の脆弱性

【2】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性

【3】複数の SSL VPN 製品にブラウザのセキュリティが迂回される問題

【今週のひとくちメモ】Firefox 3.0.x のサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr094701.txt
https://www.jpcert.or.jp/wr/2009/wr094701.xml

【1】Java for Mac OS X に複数の脆弱性

情報源

Apple
Apple security updates
http://support.apple.com/kb/HT1222

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が権限を昇格したり、任意のコードを実行したりする可能性が
あります。

対象となるバージョンは以下のとおりです。

- Java for Mac OS X 10.5 Update 6 より前のバージョン
- Java for Mac OS X 10.6 Update 1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。

関連文書 (日本語)

JPCERT/CC WEEKLY REPORT 2009-11-11
【1】Java Runtime Environment (JRE) に複数の脆弱性
http://www.jpcert.or.jp/wr/2009/wr094301.html#1

Apple Support HT3970
Java for Mac OS X 10.5 Update 6 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3970?viewlocale=ja_JP

Apple Support HT3969
Java for Mac OS X 10.6 Update 1 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3969?viewlocale=ja_JP

関連文書 (英語)

APPLE-SA-2009-12-03-1 Java for Mac OS X 10.6 Update 1
http://lists.apple.com/archives/security-announce//2009/Dec/msg00000.html

APPLE-SA-2009-12-03-2 Java for Mac OS X 10.5 Update 6
http://lists.apple.com/archives/security-announce//2009/Dec/msg00001.html

【2】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity Archive
Research In Motion Releases Advisory for BlackBerry PDF Distiller Vulnerabilities
http://www.us-cert.gov/current/archive/2009/12/03/archive.html#research_in_motion_releases_advisory1

概要

BlackBerry Enterprise Server および BlackBerry Professional
Software の PDF 表示機能には、バッファオーバーフローの脆弱性があ
ります。結果として、遠隔の第三者が細工した PDF ファイルをユーザ
に閲覧させることで、BlackBerry Attachment Service を実行するサー
バ上で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Microsoft Windows 2003 または 2008 で動作する BlackBerry 
  Enterprise Server 5.0.0
- Microsoft Windows 2000 で動作する BlackBerry Enterprise Server
  5.0.0
- BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) 〜 4.1
  Service Pack 7 (4.1.7)
- BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4)

この問題は、Research In Motion が提供する修正済みのバージョンに、
該当する製品を更新することで解決します。詳細については、Research
In Motion が提供する情報を参照してください。

関連文書 (英語)

Research In Motion - Security Advisory KB19860
Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19860

【3】複数の SSL VPN 製品にブラウザのセキュリティが迂回される問題

情報源

US-CERT Vulnerability Note VU#261869
Clientless SSL VPN products break web browser domain-based security models
http://www.kb.cert.org/vuls/id/261869

概要

複数の SSL VPN 製品には、ブラウザのセキュリティメカニズム (Same
Origin Policy) を迂回可能な問題があります。結果として、遠隔の第
三者が細工した Web ページをユーザに閲覧させることで、VPN のセッ
ションをハイジャックしたり、ユーザが SSL VPN を通じてアクセスし
たコンテンツを閲覧したり、改ざんしたりする可能性があります。

対象となる製品は以下の通りです。

- SSL VPN を実装している製品

2009年12月8日現在、この問題に対する解決策は提供されていません。

回避策としては、URL の書き換えを信頼できるドメインに限定する、VPN
サーバの接続先を信頼できるドメインに限定する、URL 隠ぺい (URL 
hiding) 機能を無効にするなどの方法があります。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#261869
複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題
https://jvn.jp/cert/JVNVU261869/index.html

■今週のひとくちメモ

○Firefox 3.0.x のサポート終了

Mozilla Firefox の 3.0.x に対するセキュリティおよび安定性に関す
る更新の提供は 2010年1月まで、という予定が表明されています。

Firefox 3.5 へ移行していないユーザは、使用するアドオンの対応状況
や他アプリケーションとの連携などの確認を行い、Firefox 3.5 へ移行
することをお勧めします。

参考文献 (日本語)

Mozilla Japan
Firefox 旧バージョンのダウンロード
http://mozilla.jp/firefox/locales/older/

参考文献 (英語)

Mozilla
Upgrading to Firefox 3・5
http://support.mozilla.com/en-US/kb/Upgrading+to+Firefox+3%C2%B75

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english