JPCERT-WR-2010-4801 2010-12-15 2010-12-05 2010-12-11

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/10/archive.html#mozilla_releases_firefox_3_65 DOE-CIRC Technical Bulletin T-512 http://www.doecirc.energy.gov/bulletins/t-512.shtml

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ロケーションバーを偽装したりする 可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.6.12 およびそれ以前 - Firefox 3.5.15 およびそれ以前 - Thunderbird 3.1.6 およびそれ以前 - Thunderbird 3.0.10 およびそれ以前 - SeaMonkey 2.0.10 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。

Mozilla Japan http://mozilla.jp/firefox/3.6.13/releasenotes/ Firefox 3.6 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13 Mozilla Japan http://mozilla.jp/firefox/3.5.16/releasenotes/ Firefox 3.5 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.16 Mozilla Japan http://mozilla.jp/thunderbird/3.1.7/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.7 Mozilla Japan http://mozilla.jp/thunderbird/3.0.11/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.11 SeaMonkey Project http://www.seamonkey.jp/ja/releases/seamonkey2.0.11/ SeaMonkey 2.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.11

US-CERT Vulnerability Note VU#912279 http://www.kb.cert.org/vuls/id/912279

glibc の regcomp 関数には、再帰呼出しを繰り返し、スタック領域を 使い切ってしまうことに起因する脆弱性があります。結果として、第三 者が細工した正規表現を処理させることでサービス運用妨害 (DoS) 攻 撃を行う可能性があります。 対象となる製品は以下の通りです。 - glibc 2010年12月14日現在、この問題に対する解決策は提供されていません。 回避策、解決策については、使用している OS のベンダや配布元が今後 提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#912279 https://jvn.jp/cert/JVNVU912279/index.html Free Software Foundation http://www.gnu.org/software/libc/libc.html

US-CERT Vulnerability Note VU#309873 http://www.kb.cert.org/vuls/id/309873 DOE-CIRC Technical Bulletin T-510 http://www.doecirc.energy.gov/bulletins/t-510.shtml

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工したファイルを閲覧させることで任意のコードを実行した り、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime 7.6.9 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、QuickTime を 更新することで解決します。

Japan Vulnerability Notes JVNVU#387412 https://jvn.jp/cert/JVNVU387412/index.html Japan Vulnerability Notes JVNVU#309873 https://jvn.jp/cert/JVNVU309873/index.html Apple Support HT4447 http://support.apple.com/kb/HT4447?viewlocale=en_US Apple Support HT4435 http://support.apple.com/kb/HT4435?viewlocale=en_US Apple Mailing Lists http://lists.apple.com/archives/security-announce/2010/Dec/msg00000.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/10/archive.html#wordpress_releases_version_3_0

WordPress には、脆弱性があります。結果として、Author レベルまた は Contributor レベルのユーザが権限を昇格するなどの可能性があり ます。 対象となるバージョンは以下の通りです。 - WordPress 3.0.3 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。

WordPress Blog http://wordpress.org/news/2010/12/wordpress-3-0-3/ WordPress Codex http://codex.wordpress.org/Version_3.0.3 WordPress Codex 日本語版 http://wpdocs.sourceforge.jp/Version_3.0.3

Japan Vulnerability Notes JVN#36673836 https://jvn.jp/jp/JVN36673836/index.html Japan Vulnerability Notes JVN#78536512 https://jvn.jp/jp/JVN78536512/index.html

Movable Type には、複数の脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行したり、当該製品 で管理している情報を閲覧したり、変更したりする可能性があります。 この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。詳細については、シック ス・アパートが提供する情報を参照してください。

シックス・アパート http://www.sixapart.jp/movabletype/news/2010/12/08-1100.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/about/press/20101208.html

Japan Vulnerability Notes JVN#62736872 https://jvn.jp/jp/JVN62736872/index.html

EPSON 製プリンタドライバのインストーラには、プログラムファイル等 を格納するフォルダ (C:\Program Files) のアクセス権を変更する脆弱 性があります。結果として、本来アクセス権限のないユーザが任意のファ イルやフォルダを作成・編集・削除する可能性があります。 対象となるバージョンは以下の通りです。 - LP-S9000 用のドライバ Ver4.1.11 (32-bit 版および 64-bit 版) よ り前のバージョン - LP-S7100 用のドライバ Ver4.1.7 (32-bit 版および 64-bit 版) よ り前のバージョン この問題は、セイコーエプソンが提供する修正済みのバージョンにプリ ンタドライバを更新し、当該フォルダのアクセス権の設定を変更するこ とで解決します。詳細については、セイコーエプソンが提供する情報を 参照してください。

セイコーエプソン株式会社 http://www.epson.jp/support/misc/lps7100_9000/index.htm

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 このたび、北海道地区のプログラム開発者の皆様に受講いただけるよう、 札幌を会場とした2日間コースを、1月27日(木)、28日(金)に開催します。 受講料は無料です。皆様のご参加をお待ちしています。 [日時] part1 ＜セキュアコーディング概論・文字列＞ 2011年01月27日(木) 09:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 ＜整数・コードレビュー＞ 2011年01月28日(金) 09:10 - 受付開始 09:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] ACU 1605中研修室 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員]　50名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-SAP-application.html

2010年もいよいよ残り少なくなってきました。今年もこの場をお借りし て、担当者が選んだ 2010年の重大ニュースをご紹介いたします。 - DNSSEC 整いました 今年は DNSSEC の本格的な導入の年となりました。root ゾーンへの 署名が予定どおり開始され、JP ゾーンにおいても署名が開始されて います。今後の DNSSEC の普及によって、DNS キャッシュポイズニン グへの本質的な対策が期待されています。 ルートゾーンへの.jpゾーンのDSレコード登録・公開に伴う影響について http://jprs.jp/info/notice/20101210-ds-published.html - Stuxnet 今年の 7月に、制御系システムを狙ったマルウエア Stuxnet が確認 されました。制御系システムを対象とした攻撃は以前から話題になっ ていましたが、Stuxnet は特定の制御システムを対象に活動するとい う調査報告が公開され、大きな注目を集めました。 Stuxnet攻撃がエネルギー業界にもたらした意味 http://www.itmedia.co.jp/enterprise/articles/1007/29/news061.html - Web サイト経由の攻撃 Gumblar の攻撃は昨年から今もなお続いています。また、Web サイト の閲覧を通じて PC にマルウエアを感染させる手法は、日々進化して おり、今年は「ドライブバイダウンロード攻撃」という名称が広く浸 透しました。 ■今週のひとくちメモ: 踏み台にされる Web サイト〜いわゆる Gumblar の攻撃手法の分析調査〜 https://www.jpcert.or.jp/wr/2010/wr104401.html#Memo - 日本の Web サイトへのサイバー攻撃 9月の中国漁船拿捕に端を発するサイバー攻撃では、国内のいくつか のサイトが改ざんされたり、DDoS 攻撃などが確認されたりしたこと で JPCERT/CC も対応に追われました。皆様からいただいた情報など をもとに、国内関係機関との情報共有を行い、中国を含む各国の CSIRT と連携し対応を行いました。関係者の皆様、大変ありがとうご ざいました。 - 今年も多発した情報漏えい 今年も情報漏えいに関するニュースは多々ありましたが、国内での大 きなニュースでは、官庁内部で作成したと思われる資料の流出や、記 録映像の流出などがありました。海外での事例としては、Wikileaks による機密文書の公開が、世界中のメディアを騒がせました。 - 最新 OS のセキュリティ対策 Windows XP SP2 では、セキュリティ対策のひとつとして DEP が導入 されました。しかし最近ではこれを回避する攻撃コードが登場してい ます。より強固なセキュリティ対策が導入されている最新の OS を使 うことで攻撃の成功率を引き下げることができます。 - JPCERT/CC が CNA (CVE Numbering Authority) として認定 2010年6月に JPCERT/CC は、CNA として認定されました。国内では初 めて、また、第三者調整機関としては CERT/CC に次いで 2組織目に なります。これにより、国内のパートナーシップや海外から報告され た脆弱性関連情報に自らの判断で CVE番号を付与できるようになりま した。 JPCERT/CC、国内初のCNA (CVE Numbering Authority)に認定 https://www.jpcert.or.jp/press/2010/PR20100624_cna.pdf - 新しい情報発信を始めました JPCERT/CC では、新しい情報発信の試みとして、英語 Blog や Twitter を始めています。英語 Blog では JPCERT/CC の活動などを 英語で発信しています。 Twitter のフォロワーも 1200 を数えてい ます。 JPCERT/CC Blog http://blog.jpcert.or.jp/ JPCERT コーディネーションセンター on Twitter http://twitter.com/jpcert 今年一年 JPCERT/CC WEEKLY REPORT のご愛読、誠にありがとうござい ました。年内の発行はあと 1回です。2011年も JPCERT/CC WEEKLY REPORT をよろしくお願いいたします。