-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-2001 JPCERT/CC 2014-05-28 <<< JPCERT/CC WEEKLY REPORT 2014-05-28 >>> ―――――――――――――――――――――――――――――――――――――― ■05/18(日)〜05/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性 【2】Apple の Safari に複数の脆弱性 【3】複数の Cisco 製品に脆弱性 【4】Hanvon Face ID に認証欠如の問題 【今週のひとくちメモ】不正送金の被害にあわないために ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr142001.html https://www.jpcert.or.jp/wr/2014/wr142001.xml ============================================================================ 【1】Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性 情報源 CERT/CC Vulnerability Note VU#239151 Microsoft Internet Explorer 8 CMarkup use-after-free vulnerability https://www.kb.cert.org/vuls/id/239151 概要 Microsoft Internet Explorer 8 には、解放済みメモリ使用の脆弱性がありま す。結果として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 8 2014年5月27日現在、Microsoft から修正プログラムは公開されていません。 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - Microsoft Internet Explorer 11 にアップグレードする - Enhanced Mitigation Experience Toolkit (EMET) を利用する - Active X コントロールおよびアクティブスクリプティングを無効化する 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97953185 Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性 https://jvn.jp/vu/JVNVU97953185/index.html 関連文書 (英語) Zero Day Initiative (ZDI) (0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability http://zerodayinitiative.com/advisories/ZDI-14-140/ 【2】Apple の Safari に複数の脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for Safari https://www.us-cert.gov/ncas/current-activity/2014/05/22/Apple-Releases-Security-Updates-Safari 概要 Apple の Safari には、複数の脆弱性があります。結果として、遠隔の第三者 が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりす る可能性があります。また、細工した URL により postMessage の origin を 誤って判別させる可能性があります。 対象となるバージョンは以下の通りです。 - Safari 6.1.4 より前のバージョン - Safari 7.0.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#98457223 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98457223/index.html 関連文書 (英語) Apple About the security content of Safari 6.1.4 and Safari 7.0.4 http://support.apple.com/kb/HT6254 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Advisories https://www.us-cert.gov/ncas/current-activity/2014/05/21/Cisco-Releases-Security-Advisories 概要 複数の Cisco 製品には脆弱性があります。結果として、遠隔の第三者が、サ ービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Wide Area Application Services (WAAS) ソフトウエアバージョン 5.1.1 から 5.1.1d - Cisco Nexus - Cisco Unified Computing System (UCS) - Cisco MDS 9000 Series Multilayer Switches - Cisco 1000 Series Connected Grid Routers (CGR) この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。 関連文書 (英語) Cisco Security Advisory Cisco Wide Area Application Services Remote Code Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-waas Cisco Security Advisory Multiple Vulnerabilities in Cisco NX-OS-Based Products http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-nxos 【4】Hanvon Face ID に認証欠如の問題 情報源 CERT/CC Vulnerability Note VU#767044 Hanvon facial recognition (Face ID) devices do not authenticate commands https://www.kb.cert.org/vuls/id/767044 概要 Hanvon の顔認識デバイス Face ID のファームウェアには、重要な機能に対す る認証の欠如の問題が存在します。結果として、遠隔の第三者が、ユーザ情報 およびアクセス制御に関する情報を改ざんする可能性があります。 対象となるバージョンは以下の通りです。 - Face ID ファームウェア 1.007.110 より前のバージョン この問題は、Hanvon が提供する修正済みのバージョンに Face ID のファーム ウェアを更新することで解決します。詳細については、Hanvon が提供する情報 を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95165083 Hanvon Face ID に認証欠如の問題 https://jvn.jp/vu/JVNVU95165083/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○不正送金の被害にあわないために 前回の Weekly Report ではフィッシング対策協議会から公開されている「イ ンターネットバンキングの不正送金にあわないためのガイドライン」をご紹介 しました。 不正送金を行う手法の 1つとして、MITB(Man-In-The-Browser) と呼ばれるも のがあります。この手法は、ユーザの PC をマルウエアに感染させて、金融機 関のウェブサイトにアクセスした時に偽画面を表示し、ユーザに認証情報など を入力させるものです。 一般にこの攻撃を検知することは困難です。そのため、マルウエアに感染しな いように事前の予防策をとることが重要です。ガイドラインで「第二の鉄則」 として紹介されているように、使用しているソフトウエアやウイルス対策ソフ ト、ウイルス検知用データを最新の状態に保ち、怪しいウェブサイトへのアク セスは避けるようにしましょう。 参考文献 (日本語) フィッシング対策協議会 資料公開: インターネットバンキングの不正送金にあわないためのガイドライン公開のお知らせ https://www.antiphishing.jp/news/info/internetbanking_guidelineview.html 参考文献 (英語) Wikipedia Man-in-the-browser http://en.wikipedia.org/wiki/Man-in-the-browser ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJThTaQAAoJEDF9l6Rp7OBIGSAIAKwwH3XqdXdDAWbItE2ECIhI T2khC+XaPTtoWxVrWRLwmeYcic3dMgRn4Csm1tPrDeoD1xBa3qtlXeQ9VpvUULG1 JcITHnz5OQ08d64wzpqLsOIShCm6qd0YQM1SjNHsTYacsi7oXoSunoal1cZZqEe0 UbJc8Dt0fSVq6nLr9d+vSznmqsTtsHsoNMpZFsjOV6rhhPi4A0Fv/rB0VEXrtDHC 3L3fcewPYijLzbhe2agqT40DO3fkUyS6yKE3Qvo5dqm0DmAE7EvNRorQbsLuQHnE WAIU2FAtJ8ofz2/B9mi6ZZ7bDdx5e/vuYYbdl8hsaJd1OI59AEjuu8xKfil6QCM= =wvyY -----END PGP SIGNATURE-----