-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1201 JPCERT/CC 2014-03-26 <<< JPCERT/CC WEEKLY REPORT 2014-03-26 >>> ―――――――――――――――――――――――――――――――――――――― ■03/16(日)〜03/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】spモードメールに脆弱性 【3】Silex にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Technical Guidance for Handling the New CVE-ID Syntax ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141201.html https://www.jpcert.or.jp/wr/2014/wr141201.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Updates for Firefox, Thunderbird, and Seamonkey http://www.us-cert.gov/ncas/current-activity/2014/03/18/Mozilla-Releases-Updates-Firefox-Thunderbird-and-Seamonkey 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 28 より前のバージョン - Firefox ESR 24.4 より前のバージョン - Thunderbird 24.4 より前のバージョン - Seamonkey 2.25 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2014年3月18日) http://www.mozilla-japan.org/security/announce/ 【2】spモードメールに脆弱性 情報源 Japan Vulnerability Notes JVN#89260331 spモードメールにおいて Java メソッドが実行される脆弱性 https://jvn.jp/jp/JVN89260331/index.html 概要 NTTドコモの spモードメールには脆弱性があります。結果として、遠隔の第三 者が、細工したメールを送信しユーザに開かせることで、任意の Java メソッ ドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 まで - Android 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで この問題は NTTドコモが提供する修正済みのバージョンに spモードメールを更 新することで解決します。詳細については NTTドコモが提供する情報を参照し て下さい。 関連文書 (日本語) Google Play spモードメール https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail 【3】Silex にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#14282890 Silex におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN14282890/index.html 概要 Silex には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Silex 2.0.0 より前のバージョン この問題は、Silex Labs が提供する修正済みのバージョンに Silex を更新す ることで解決します。詳細については、Silex Labs が提供する情報を参照して 下さい。 関連文書 (英語) GitHub silexlabs/Silex https://github.com/silexlabs/Silex ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Technical Guidance for Handling the New CVE-ID Syntax MITRE から、CVE 番号の取扱いに関するガイダンスが公開されました。CVE 番 号は、従来の 4桁固定から、2014年以降は 4桁以上の可変長とする変更が行な われています。このガイダンスでは、2014年以降の変更に対応して、適切に CVE 番号の処理を行うための注意点やアドバイスを提供しています。 自社で脆弱性情報の収集分析を行っている方は参考にしてください。 参考文献 (日本語) JPCERT/CC ひとくちメモ 新しい CVE 番号体系が決定 https://www.jpcert.or.jp/tips/2013/wr132601.html 参考文献 (英語) MITRE Technical Guidance for Handling the New CVE-ID Syntax http://cve.mitre.org/cve/identifiers/tech-guidance.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTMiNUAAoJEDF9l6Rp7OBIVqEIAJ9mHqYFqzVBDcwZLUuJMM6Q tGMXtTXqGcMDwbJj2Mq3M5YBdyjwShtnrjkqqkSWMX6/btM9/HTQrpYEp/jX4XJJ wS94OPg+fzqktNlLmqn6Da/abj3jZ3YsRvA4SWKXzTPDuQcytkq0Iljahj1W6LXU dhbrg7GhkY3ZZQ99meqeCOUBhtO+atNnKPcXw93Jqtx3gNwE348SsMy0yhtUPPKk i618KhgLcOLSXt10ab1h9HXsagNibu0PDylB6ikNn68TSWeqUe30855u0fnl6O1w WVWMsOXqRG7uPA2V0mN/1sACbQ/+PQRFAmrViyXatpD/UxrWHLIvfY0OzGTiUGk= =GN3o -----END PGP SIGNATURE-----