JPCERT コーディネーションセンター

Weekly Report 2007-08-08号

JPCERT-WR-2007-3001
JPCERT/CC
2007-08-08

<<< JPCERT/CC WEEKLY REPORT 2007-08-08 >>>

■07/29(日)〜08/04(土) のセキュリティ関連情報

目 次

【1】Sun Java Web Start にバッファオーバーフローの脆弱性

【2】Apple 製品に複数の脆弱性

【3】一太郎シリーズに脆弱性

【4】OpenSSL に脆弱性

【5】弥生会計および弥生販売のクイックナビゲータ機能に脆弱性

【6】Atheros のワイヤレスネットワークドライバに脆弱性

【今週のひとくちメモ】インターネットセキュリティの歴史 第7回 「Love Letter ウイルス」

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr073001.txt
https://www.jpcert.or.jp/wr/2007/wr073001.xml

【1】Sun Java Web Start にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVNVU#481921
Sun Java Web Start にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23481921/index.html

概要

Sun Java Web Start には、バッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が細工した JNLP ファイルを開かせるこ
とで Java Web Start を実行しているユーザの権限で任意のコマンドを
実行する可能性があります。

Java Web Start は、Web を通じて Java アプリケーションを配布するた
めのツールであり、JRE (Java Runtime Environment) 等の Java 実行環
境に同梱されています。

対象となるバージョンは以下の通りです。

- JDK 6 Update 1 およびそれ以前
- JRE 6 Update 1 およびそれ以前
- JDK 5.0 Update 11 およびそれ以前
- JRE 5.0 Update 11 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンにそれぞれの製品を
更新することで解決します。

関連文書 (英語)

Sun Alert Notification 102996
Security Vulnerability in Java Web Start URL Parsing Code May Allow Untrusted Applications to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102996-1

【2】Apple 製品に複数の脆弱性

情報源

アップル - サポート
Apple セキュリティアップデートについて
http://docs.info.apple.com/article.html?artnum=61798-ja

概要

Mac OS X、Mac OS X Server、Safari 3.0 および、iPhone には複数の
脆弱性があります。結果として、遠隔の第三者が任意のコードを実行し
たり、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンについては Apple が提供する情報を参照してく
ださい。

この問題は、Apple が提供する以下のセキュリティアップデートを適用
することで解決します。

- Mac OS X および Mac OS X Server では Security Update 2007-007
- Safari 3 beta では Safari 3 Beta Update 3.0.3
- iPhone では iPhone v1.0.1 Update

関連文書 (日本語)

Japan Vulnerability Notes JVN#16018033
Safari における URL の表示偽装の脆弱性
http://jvn.jp/jp/JVN%2316018033/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#16018033 「Safari」における URL の表示偽装の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_16018033.html

関連文書 (英語)

Apple - Support
About Security Update 2007-007
http://docs.info.apple.com/article.html?artnum=306172

Apple - Support
About the security content of Safari 3 Beta Update 3.0.3
http://docs.info.apple.com/article.html?artnum=306174

Apple - Support
About the security content of iPhone v1.0.1 Update
http://docs.info.apple.com/article.html?artnum=306173

【3】一太郎シリーズに脆弱性

情報源

ジャストシステム
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystem.co.jp/info/pd7003.html

概要

ジャストシステムの一太郎シリーズには脆弱性があります。結果として、
遠隔の第三者が、細工した一太郎文書ファイルをユーザに開かせること
で任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- 一太郎2007
- 一太郎ガバメント2007
- 一太郎2007体験版
- 一太郎2006
- 一太郎ガバメント2006
- 一太郎2005
- 一太郎 文藝
- 一太郎2004
- 一太郎13
- 一太郎12
- 一太郎11
- 一太郎ビューア

2007年8月7日現在、この問題を解決するアップデートモジュールは提供
されていません。ジャストシステムでは、アップデートモジュールを開
発中と発表しています。アップデートモジュールが提供されるまで不審
な一太郎ファイルは開かないようにしてください。

【4】OpenSSL に脆弱性

情報源

US-CERT Vulnerability Note VU#724968
RSA key reconstruction vulnerability
http://www.kb.cert.org/vuls/id/724968

概要

OpenSSL の RSA 実装には、脆弱性があります。結果として、ローカル
ユーザが暗号鍵を取得する可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 0.9.8e およびそれ以前

この問題は、OpenSSL Project が提供するパッチを OpenSSL に適用す
ることで解決します。

関連文書 (英語)

OpenSSL
Welcome to the OpenSSL Project
http://openssl.org/

【5】弥生会計および弥生販売のクイックナビゲータ機能に脆弱性

情報源

Japan Vulnerability Notes JVN#43615794
弥生会計における認証情報の扱いに関する脆弱性
http://jvn.jp/jp/JVN%2343615794/index.html

概要

弥生会計および弥生販売のクイックナビゲータ機能には、脆弱性があり
ます。結果として、遠隔の第三者が認証情報を取得する可能性がありま
す。

対象となる製品およびバージョンは以下の通りです。

- 弥生会計05シリーズ・やよいの青色申告05各製品
- 弥生会計06シリーズ・やよいの青色申告06各製品 (R2 を含む)
- 弥生会計07シリーズ・やよいの青色申告07各製品 (R2 を除く)
- 弥生販売06シリーズ各製品
- 弥生販売07シリーズ各製品 (製品バージョン10.0.1のみ)

この問題は、弥生株式会社が提供する修正済みのバージョンに該当の製
品を更新することで解決します。

関連文書 (日本語)

弥生株式会社_お知らせ
【重要】 旧バージョンの「弥生会計(やよいの青色申告含む)」「弥生販売」をご利用のお客様へ
http://www.yayoi-kk.co.jp/news/20070730.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#43615794 「弥生会計」における認証情報の扱いに関する脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_43615794.html

【6】Atheros のワイヤレスネットワークドライバに脆弱性

情報源

US-CERT Vulnerability Note VU#730169
Atheros wireless network drivers may fail to properly handle malformed frames
http://www.kb.cert.org/vuls/id/730169

概要

Atheros のワイヤレスネットワークドライバには、脆弱性があります。
結果として、遠隔の第三者が細工した IEEE 802.11 マネージメントフ
レームを送信することでサービス運用妨害 (DoS) 攻撃を行う可能性が
あります。

対象となるプラットフォームおよびバージョンは以下の通りです。

 - Microsoft Windows で動作する以下のバージョン
  - Atheros ドライバのバージョン 5.3.0 系 
  - Atheros ドライバのバージョン 6.0.3 系

なお、Windows Vista 用のドライバについては、本脆弱性の影響を受け
ません。

この問題は、Atheros が提供する修正済みのバージョンに Atheros ド
ライバを更新することで解決します。また、Atheros から OEM 提供を
受けているベンダが、自社ブランドの製品としてデバイスドライバを更
新する場合もあります。詳細については、各ベンダが提供する情報を参
照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#730169
Atheros 社のワイヤレスネットワークドライバにおけるマネージメントフレームの取り扱いに関する脆弱性
http://jvn.jp/cert/JVNVU%23730169/index.html

■今週のひとくちメモ

○インターネットセキュリティの歴史 第7回 「Love Letter ウイルス」

2000年5月、VBScript で書かれた「Love Letter」または「I LOVE YOU」
と呼ばれるウイルスによる被害が発生しました。このウイルスは電子メー
ルや IRC などの複数の方法を使って感染を試みます。

感染を広めた電子メールは以下のような内容です。

[件名]
  I LOVE YOU

[本文]
  kindly check the attached LOVELETTER coming from me.
  (訳) 私からのラブレターを添付したのでご覧ください.

[添付ファイル]
  LOVE-LETTER-FOR-YOU.TXT.VBS (VBScript ファイル)

ユーザが添付ファイルを開くことで Love Letter ウイルスに感染し、
Microsoft Outlook のアドレス帳に登録された全てのアドレスに対して
同様のメールを送付します。

Love Letter ウイルスはシンプルながらも受信者の興味をひくメールの
件名で国内でも爆発的に感染を広げました。

参考文献 (英語)

CERT Advisory CA-2000-04
Love Letter Worm
http://www.cert.org/advisories/CA-2000-04.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter