-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-0501 JPCERT/CC 2012-02-08 <<< JPCERT/CC WEEKLY REPORT 2012-02-08 >>> ―――――――――――――――――――――――――――――――――――――― ■01/29(日)〜02/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mac OS X に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】HTC 製 Android 端末に脆弱性 【4】Pocket WiFi (GP02) にクロスサイトリクエストフォージェリの脆弱性 【5】学生向け Java セキュアコーディングセミナーひきつづき参加者募集中 【今週のひとくちメモ】Firefox/Thunderbird 法人向け延長サポート版 (ESR) リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr120501.html https://www.jpcert.or.jp/wr/2012/wr120501.xml ============================================================================ 【1】Mac OS X に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Multiple Security Updates http://www.us-cert.gov/current/archive/2012/02/02/archive.html#apple_releases_multiple_security_updates1 概要 Mac OS X、OS X Lion、Mac OS X Server、OS X Lion Server には、複数の脆弱 性があります。結果として、遠隔の第三者が任意のコードを実行したり、機密 情報を取得したり、セキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mac OS X v10.6.8 - Mac OS X Server v10.6.8 - OS X Lion v10.7 から v10.7.2 まで - OS X Lion Server v10.7 から v10.7.2 まで この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については Apple が提供する情報を参照してくだ さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#403593 Apple Mac OS X ATS にメモリ破損の脆弱性 https://jvn.jp/cert/JVNVU403593/index.html Japan Vulnerability Notes JVNVU#410281 Apple Mac OS X CoreText に解放済みメモリ使用 (use-after-free) の脆弱性 https://jvn.jp/cert/JVNVU410281/index.html Japan Vulnerability Notes JVNVU#382755 Apple Mac OS X における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU382755/index.html 関連文書 (英語) Apple Support HT4723 About the security content of OS X Lion v10.7.3 and Security Update 2012-001 http://support.apple.com/kb/HT5130 US-CERT Vulnerability Note VU#403593 Apple Mac OS X ATS data-font memory corruption vulnerability http://www.kb.cert.org/vuls/id/403593 US-CERT Vulnerability Note VU#410281 Apple Mac OS X CoreText embedded font vulnerability http://www.kb.cert.org/vuls/id/410281 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 10 and 3.6.26 http://www.us-cert.gov/current/archive/2012/02/02/archive.html#mozilla_releases_firefox_10_and 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、機密情報を取得したり、ユーザのブラウザ上で任 意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 9 およびそれ以前 - Firefox 3.6.25 およびそれ以前 - Thunderbird 9 およびそれ以前 - Thunderbird 3.1.17 およびそれ以前 - SeaMonkey 2.6 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ ります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 10.0 - 2012/01/31 リリース http://mozilla.jp/firefox/10.0/releasenotes/ Firefox セキュリティアドバイザリ Firefox 10 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10 Mozilla Japan Firefox リリースノート - バージョン 3.6.26 - 2012/01/31 リリース http://mozilla.jp/firefox/3.6.26/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.26 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.26 Mozilla Japan Thunderbird リリースノート - バージョン 10.0 - 2012/01/31 リリース http://mozilla.jp/thunderbird/10.0/releasenotes/ Thunderbird セキュリティアドバイザリ Thunderbird 10 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.18 - 2012/01/31 リリース http://mozilla.jp/thunderbird/3.1.18/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.18 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.18 SeaMonkey セキュリティアドバイザリ SeaMonkey 2.7 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7 Mozilla Japan ブログ Web 検索機能を追加した Thunderbird の最新版を公開 http://mozilla.jp/blog/entry/7750/ Mozilla Japan ブログ アドオンの互換性を改善した Firefox の最新版公開 - インスペクタなど便利な Web 開発者向けツールも搭載 http://mozilla.jp/blog/entry/7749/ 関連文書 (英語) SeaMonkey Project SeaMonkey 2.7 Release Notes http://www.seamonkey-project.org/releases/seamonkey2.7/ 【3】HTC 製 Android 端末に脆弱性 情報源 US-CERT Vulnerability Note VU#763355 802.1X password exploit on many HTC Android devices http://www.kb.cert.org/vuls/id/763355 概要 HTC 製 Android 端末には、脆弱性があります。結果として、遠隔の第三者が端 末に設定されている Wi-Fi 認証情報を取得する可能性があります。 対象となる製品は以下の通りです。 - Desire HD (Ace および Spade) - Versions FRG83D、GRI40 - Glacier - Version FRG83 - Droid Incredible - Version FRF91 - Thunderbolt 4G - Version FRG83D - Sensation Z710e - Version GRI40 - Sensation 4G - Version GRI40 - Desire S - Version GRI40 - EVO 3D - Version GRI40 - EVO 4G - Version GRI40 この問題は、HTC が提供する修正済みのバージョンに端末を更新することで解 決します。HTC によれば、製品によっては、自動でアップデートが適用される とのことです。詳細については、HTC が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#763355 HTC 製 Android 端末に Wi-Fi 認証情報漏えいの脆弱性 https://jvn.jp/cert/JVNVU763355/index.html 関連文書 (英語) HTC Help Center WiFi security fix http://www.htc.com/www/help/#w1307647922146 【4】Pocket WiFi (GP02) にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#33021167 Pocket WiFi (GP02) におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN33021167/index.html 概要 Pocket WiFi (GP02) の Web 管理画面には、クロスサイトリクエストフォージェ リの脆弱性があります。結果として遠隔の第三者が、管理画面にログインして いるユーザに細工したページを読み込ませることで、設定を初期化したり、再 起動したりする可能性があります。 対象となるバージョンは以下の通りです。 - Pocket WiFi (GP02) ファームウェアバージョン 11.203.11.05.168 およびそれ以前 この問題は、ベンダが提供する修正済みのバージョンにファームウェアを更新 することで解決します。詳細については、ベンダが提供する情報を参照してく ださい。 関連文書 (日本語) イー・アクセス Pocket WiFi (GP02)をご利用のお客さまへ 〜 マルチSSID※への対応に伴う本体ファームウェアのバージョンアップについて 〜 http://emobile.jp/topics/info20120201_01.html イー・アクセス アップデートツール Pocket WiFi (GP02) http://emobile.jp/products/hw/gp02/updatetool.html 【5】学生向け Java セキュアコーディングセミナーひきつづき参加者募集中 情報源 JPCERT/CC Java セキュアコーディングセミナーのご案内 https://www.jpcert.or.jp/event/securecoding-java-seminar.html 概要 JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 関西および関東で同内容のセミナーを各一回開催します。なお、参加者多数の 場合はお申し込み先着順となります。 Java セキュアコーディングセミナー @ キャンパスプラザ京都 [日時] 2012年2月15日(水) 13:30 - 16:30 [会場] キャンパスプラザ京都 6階 京都大学サテライト 京都市下京区西洞院通塩小路下る (MAP) http://www.consortium.or.jp/contents_detail.php?co=cat&frmId=585&frmCd=14-3-0-0-0 [定員] 30名 Java セキュアコーディングセミナー @ 慶應義塾大学日吉キャンパス [日時] 2012年2月18日(土) 13:30 - 16:30 [会場] 慶應義塾大学日吉キャンパス協生館 3F C3S01教室 神奈川県横浜市港北区日吉4-1-1 (MAP) http://www.kcc.keio.ac.jp/access/index.html [定員] 50名 関連文書 (日本語) JPCERT/CC Java セキュアコーディングセミナーお申し込み https://www.jpcert.or.jp/event/securecoding-java-application.html JPCERT/CC Java セキュアコーディングスタンダード CERT/Oracle 版 https://www.jpcert.or.jp/java-rules/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Firefox/Thunderbird 法人向け延長サポート版 (ESR) リリース Mozilla は、かねてよりアナウンスしていた法人向け延長サポート版 (ESR) で ある Firefox ESR 10.0、Thunderbird ESR 10.0 をリリースしました。 これにともない Firefox 3.6、Thunderbird 3.1 のサポートは 2012/04/24 ま でとされています。これらのバージョンをお使いの方は、ESR 10.0 へ速やかに 移行することをおすすめします。 参考文献 (日本語) Mozilla Japan Firefox と Thunderbird の法人向け延長サポート版 http://mozilla.jp/business/downloads/ JPCERT/CC WEEKLY REPORT 2012-01-18 【今週のひとくちメモ】Firefox/Thunderbird の法人向け延長サポート版について https://www.jpcert.or.jp/wr/2012/wr120201.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPMce+AAoJEDF9l6Rp7OBI0oYIAI19BLU+ndTs6qKhoCQqh8By h/wc0eSALgi3vMFSUBdHZm86vg10qQuIywUVGqzf4TH/UdArEbLBA2vpLTCQxnKZ rUlBPmGMQdOL1udfHxb/UGYbap4EpfSzRkbTPNTHM0nhvSSKUf8nX0EEosQ1Ca79 1qfv/ygZ5v12hYBofh+8WT9AiVAhWnCr+yxUzbnQ4e6Q84z4/IkKUmwZNp05rgfF 3YbX2o4PXJNP9W+s3A1h2cPBJKDnpKYNiopaEAqdNRiT604faUxhDk97VLxNYWr+ 0X2NPew0Im4W8hgiksrLZY759LdQD4EkgpmSZZ4dox2gLksLGF9O3SLN8Gd6eMk= =1GsD -----END PGP SIGNATURE-----