JPCERT-WR-2015-3101
2015-08-12
2015-08-02
2015-08-08
Firefox に同一生成元ポリシー回避の脆弱性
Firefox には、同一生成元ポリシー回避の脆弱性があります。結果として、遠
隔の第三者が、細工したページをユーザにアクセスさせることで、ユーザの端
末に保存されている情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 39.0.3 より前のバージョン
- Firefox ESR 38.1.1 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 6 日)
http://www.mozilla-japan.org/security/announce/
PHP に複数の脆弱性
PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
対象となるバージョンは以下の通りです。
- PHP 5.6.12 より前のバージョン
- PHP 5.5.28 より前のバージョン
- PHP 5.4.44 より前のバージョン
この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。
PHP Group
PHP 5 ChangeLog Version 5.6.12
https://php.net/ChangeLog-5.php#5.6.12
PHP Group
PHP 5 ChangeLog Version 5.5.28
https://php.net/ChangeLog-5.php#5.5.28
PHP Group
PHP 5 ChangeLog Version 5.4.44
https://php.net/ChangeLog-5.php#5.4.44
WordPress に複数の脆弱性
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユ
ーザのブラウザ上で任意のスクリプトを実行したり、データベースに対して任
意のクエリを実行したりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- WordPress 4.2.3 およびそれ以前
この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。
WordPress
WordPress 4.2.4 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2015/08/06/wordpress-4-2-4-security-and-maintenance-release/
Android 版「ヨドバシ」に複数の脆弱性
Android 版「ヨドバシ」には、複数の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、中間者攻撃によって暗号通信を盗聴す
るなどの可能性があります。
対象となるバージョンは以下の通りです。
- Android 版「ヨドバシ」 バージョン 1.2.1.0 およびそれ以前
この問題は、株式会社ヨドバシカメラが提供する修正済みのバージョンに Android
版「ヨドバシ」を更新することで解決します。詳細は、株式会社ヨドバシカメ
ラが提供する情報を参照してください。
MS14-025 への対策確認の呼びかけ
2015年8月7日、US-CERT は「Required Group Policy Preference Actions for
Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新
プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ
れましたが、適用前にすでに保存されていたパスワードは削除されません。そ
のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して
います。すでに保存されていたパスワードを放置していると、システムへの不
正なアクセスを招くことになります。
US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が
今も続いているとして注意を呼びかけています。該当する製品をお使いの管理
者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす
めします。
マイクロソフト セキュリティ情報 MS14-025 - 重要
グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspx
マイクロソフト サポート
[MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日)
https://support.microsoft.com/ja-jp/kb/2962486
US-CERT Current Activity
Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025
https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security
Microsoft TechNet Blogs - Ash de Zylva’s Weblog
(Don’t) Set or Save Passwords Using Group Policy Preferences
http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx