<<< JPCERT/CC WEEKLY REPORT 2007-12-12 >>>

■12/02(日)〜12/08(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】Microsoft Windows の Web プロキシ自動発見機能に脆弱性

【3】Cisco Security Agent for Microsoft Windows にバッファオーバーフローの脆弱性

【4】Skype の URI 処理に脆弱性

【5】Tk Toolkit にバッファオーバーフローの脆弱性

【6】Solaris に含まれる Mozilla の JavaScript エンジンに複数の脆弱性

【7】Cairo に複数の整数オーバーフローの脆弱性

【8】Mortbay Jetty に複数の脆弱性

【9】ZABBIX に権限昇格の脆弱性

【10】SonicStage CP にバッファオーバーフローの脆弱性

【11】HttpLogger にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】担当者が選ぶ 2007年の重大ニュース

【1】Mozilla 製品群に複数の脆弱性

情報源

CIAC Bulletin S-066
Mozilla Security Update
http://www.ciac.org/ciac/bulletins/s-066.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が
あります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス
クリプトを実行したり、ユーザの権限で任意のコードを実行したり、ア
クセス制限を回避したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可能
性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 2.0.0.10
- SeaMonkey 1.1.7

なお、2007年12月11日現在、その他のバグを修正した Firefox
2.0.0.11 が公開されています。

また、今回の修正には、JPCERT/CC REPORT 2007-11-14号【3】で紹介し
た「Mozilla Firefox の jar URI の処理にクロスサイトスクリプティン
グの脆弱性」に対する修正が含まれています。

関連文書 (日本語)

Mozilla Japan
Foundation セキュリティアドバイザリ: 2007 年 11 月 26 日
http://www.mozilla-japan.org/security/announce/

Mozilla Japan
Firefox 2.0.0.10 リリースノート
http://www.mozilla-japan.org/products/firefox/2.0.0.10/releasenotes/

JPCERT/CC REPORT 2007-11-14
【3】Mozilla Firefox の jar URI の処理にクロスサイトスクリプティングの脆弱性
http://www.jpcert.or.jp/wr/2007/wr074401.html#3

関連文書 (英語)

Red Hat Security Advisory RHSA-2007:1082-5
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2007-1082.html

Red Hat Security Advisory RHSA-2007:1084-8
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2007-1084.html

【2】Microsoft Windows の Web プロキシ自動発見機能に脆弱性

情報源

マイクロソフト セキュリティ アドバイザリ (945713)
Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/945713.mspx

概要

Microsoft Windows の Web プロキシ自動発見 (WPAD) 機能には管理者
が予期しない外部のホストからプロキシ設定をインポートしてしまう脆
弱性があります。この問題が起きるのは、 Internet Explorer で「設
定を自動的に検出する」設定をしている他に、DNS サフィックスで設定
されているドメイン名やネットワーク環境など幾つかの条件を満たす場
合のみです。

対象となる製品は以下の通りです。

- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows 2003 Server
- Microsoft Windows Vista

2007年12月11日現在、この問題に対する修正プログラムは公開されてい
ません。

この問題の回避策としては、組織内に WPAD というホストを用意し、設
定ファイル WPAD.DAT を作成する、あるいは各クライアント PC でプロ
キシ自動発見機能を無効にするなどの方法があります。

詳細についてはマイクロソフトのアドバイザリを参照下さい。

【3】Cisco Security Agent for Microsoft Windows にバッファオーバーフローの脆弱性

情報源

CIAC Bulletin S-069
Cisco Security Agent for Windows System Driver Vulnerability
http://www.ciac.org/ciac/bulletins/s-069.shtml

概要

Cisco Security Agent for Microsoft Windows には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者がサービス運用
妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があ
ります。

対象となる製品およびバージョンについては Cisco が提供する情報を
参照してください。

この問題は、Cisco が提供する修正済みのバージョンに Cisco Security
Agent for Microsoft Windows を更新することで解決します。

関連文書 (英語)

Cisco Security Advisories 99837
Cisco Security Agent for Windows System Driver Remote Buffer Overflow Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a008090a434.shtml

Cisco Applied Intelligence Response 99865
Identifying and Mitigating Exploitation of the CSA for Windows System Driver Remote Buffer Overflow Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a008090a445.html

【4】Skype の URI 処理に脆弱性

情報源

Skype 日本語ブログ
Skype for Windows ver. 3.6.0.216 変更ログ
http://share.skype.com/sites/ja/2007/11/16/skype_for_windows_3.6.0.216.html

概要

P2P 電話ソフトである Skype には、skype4com URI の解析部分にバッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した skype4com URI にアクセスさせることで、任意のコードを実
行する可能性があります。

対象となるバージョンは以下の通りです。

- Skype for Windows 3.5.0.239 およびそれ以前

この問題は、Skype が提供するバージョン 3.6.0.216 に製品を更新す
ることで解決します。

関連文書 (英語)

Secunia Advisories
Skype skype4com URI Handler Buffer Overflow
http://secunia.com/advisories/27934/

【5】Tk Toolkit にバッファオーバーフローの脆弱性

情報源

CIAC Bulletin S-067
Tk Vulnerability
http://www.ciac.org/ciac/bulletins/s-067.shtml

概要

Tcl 向けの GUI ツールキットの Tk Toolkit には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が細工した GIF 
画像を処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、
任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Tk Toolkit 8.4.12 以前のバージョン
- Tk Toolkit 8.3.5 以前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Tk Toolkit を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian セキュリティ勧告 DSA-1415-1
tk8.4 -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1415.ja.html

Debian セキュリティ勧告 DSA-1416-1
tk8.3 -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1416.ja.html

関連文書 (英語)

Tk Toolkit
[ 1458234 ] Segmentation fault when using animated GIFs
https://sourceforge.net/tracker/?func=detail&atid=112997&aid=1458234&group_id=12997

【6】Solaris に含まれる Mozilla の JavaScript エンジンに複数の脆弱性

情報源

CIAC Bulletin S-070
Multiple Security Vulnerabilities in the JavaScript Engine
http://www.ciac.org/ciac/bulletins/s-070.shtml

概要

Sun が提供する Mozilla の JavaScript エンジンには、複数の脆弱性が
あります。結果として、遠隔の第三者が細工した Web ページまたは電子
メールをユーザに閲覧させることで、サービス運用妨害 (DoS) 攻撃を行
ったり、そのユーザの権限で任意のコードを実行したりする可能性があ
ります。なお、この問題は、Mozilla Foundation のセキュリティアドバ
イザリ 2006-65「メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)」の
脆弱性の一部が該当します。詳細については、下記関連文書を参照してく
ださい。

対象となるプラットフォームおよびバージョンは以下の通りです。

- SPARC および x86 で動作する以下のバージョン
 - Solaris 8、9、10 向けの Mozilla 1.7 以前

2007年12月11日現在、この問題に対する修正プログラムは提供されてい
ません。

回避策としては、JavaScript 機能を無効にするなどの方法があります。

この問題は JPCERT/CC REPORT 2006-11-15【1】で紹介した「Mozilla 
製品における複数の脆弱性の修正」に含まれている問題と同じです。

関連文書 (日本語)

Mozilla Foundation セキュリティアドバイザリ 2006-65
メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-65.html

JPCERT/CC REPORT 2006-11-15
【1】Mozilla 製品における複数の脆弱性の修正
http://www.jpcert.or.jp/wr/2006/wr064401.html#1

関連文書 (英語)

Sun Alert Notification 103139
Multiple Security Vulnerabilities in the JavaScript Engine in Mozilla 1.7 for Solaris 8, 9 and 10
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-103139-1

【7】Cairo に複数の整数オーバーフローの脆弱性

情報源

CIAC Bulletin S-063
Cairo Security Update
http://www.ciac.org/ciac/bulletins/s-063.shtml

概要

ベクタグラフィックライブラリの Cairo には、複数の整数オーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が細工した PNG
画像を処理させることで、ユーザの権限で任意のコードを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- Cairo 1.4.12 以前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Cario を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

cairo
cairo 1.4.12 release available
http://cairographics.org/news/cairo-1.4.12/

Red Hat Security Advisory RHSA-2007:1078-3
Important: cairo security update
http://rhn.redhat.com/errata/RHSA-2007-1078.html

【8】Mortbay Jetty に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#237888
Mortbay Jetty Dump Servlet vulnerable to cross-site scripting
http://www.kb.cert.org/vuls/id/237888

US-CERT Vulnerability Note VU#438616
Mortbay Jetty fails to properly handle cookies with quotes
http://www.kb.cert.org/vuls/id/438616

US-CERT Vulnerability Note VU#212984
Mortbay Jetty vulnerable to HTTP response splitting
http://www.kb.cert.org/vuls/id/212984

概要

Java ベースの Web サーバ、Mortbay Jetty には、複数の脆弱性があり
ます。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリ
プトを実行したり、セッションハイジャックを行ったり、サービス運用
妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Mortbay Jetty 6.1.6rc0 以前のバージョン

この問題は、配布元が提供するバージョン 6.1.6 に Mortbay Jetty を
更新することで解決します。

関連文書 (英語)

Mortbay
jetty6 - Jetty WebServer
http://jetty.mortbay.org/

Mortbay
jetty-6.1.6 - 18 November 2007
http://svn.codehaus.org/jetty/jetty/trunk/VERSION.txt

【9】ZABBIX に権限昇格の脆弱性

情報源

CIAC Bulletin S-071
Zabbix Vulnerability
http://www.ciac.org/ciac/bulletins/s-071.shtml

概要

ネットワーク監視システムの ZABBIX には、権限昇格の脆弱性がありま
す。結果として、ローカルのユーザが管理者権限で任意のコードを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- ZABBIX 1.4.3 以前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ZABBIX を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian セキュリティ勧告 DSA-1420-1
zabbix -- プログラムミス
http://www.debian.org/security/2007/dsa-1420.ja.html

関連文書 (英語)

ZABBIX SIA
ZABBIX 1.4.3
http://www.zabbix.com/rn1.4.3.php

【10】SonicStage CP にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#66291445
SonicStage CP におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2366291445/index.html

概要

ソニーが提供する音楽管理アプリケーションソフトウェア、
SonicStage CP には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が細工したプレイリストファイルをユーザ
に取り込ませることで、サービス運用妨害 (DoS) 攻撃を行ったり、
任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- SonicStage Ver.4.0
- SonicStage Ver.4.1
- SonicStage Ver.4.2
- SonicStage Ver.4.3

この問題は、ソニーが提供する修正済みのバージョンに SonicStage CP 
を更新することで解決します。

関連文書 (日本語)

ソニー株式会社
SonicStage CP（SonicStage Ver.4.0/4.1/4.2/4.3）セキュリティ脆弱性対策アップデートプログラムご提供のお知らせ
http://www.sony.jp/pr/info/info071204.html

ソニー株式会社
SonicStage Ver.4.0以降をご使用のお客様へ重要なお知らせ
http://www.sony.jp/pr/info/info071106.html

独立行政法人 情報処理推進機構 セキュリティセンター
「SonicStage CP」におけるセキュリティ上の弱点（脆弱性）の注意喚起について
http://www.ipa.go.jp/security/vuln/200712_SonicStage.html

【11】HttpLogger にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#02854109
HttpLogger におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2302854109/index.html

概要

KLab 株式会社が提供する HttpLogger には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- HttpLogger 0.8.1

この問題は、KLab 株式会社が提供する修正済みのバージョンに
HttpLogger を更新することで解決します。

関連文書 (日本語)

KLab 株式会社
「HttpLogger」バージョンアップのお知らせ
http://dsas.blog.klab.org/archives/51149337.html

■今週のひとくちメモ

○担当者が選ぶ 2007年の重大ニュース

2007年もいよいよ残り少なくなってまいりました。今年も昨年に引き続
きこの場をお借りして、担当者が選んだコンピュータセキュリティにお
ける 2007年の重大ニュースをご紹介いたします。

- 情報セキュリティの脅威が国際政治の問題に
  エストニアに対する大規模な DoS 攻撃や、アメリカ・イギリスなど
  に対する情報詐取を目的としたサイバー攻撃など、国境を越えた大規
  模インシデントが注目されました。エストニアの件ではエストニアの
  国防担当大臣が「数日間にわたって、銀行のオンラインサービスなど
  が利用不能になり国民の間に不安が広まった。金銭的被害よりも心理
  的な負担が大きかった」と、振り返っています。

- CSIRT の必要性増す、CSIRT 同士の連携強化
  組織的・戦略的なセキュリティ対策を取ることの必要性が認識され、
  楽天などのように組織内 CSIRT を構築する企業や、NRIセキュアのよ
  うに国際的な CSIRT フォーラムである FIRST に加盟する組織が増え
  つつあります。同時に CSIRT 同士の繋がりを強化するべく日本シー
  サート協議会が設立されました。

- 国内の金融機関を狙ったフィッシングの発生
  2006年まではあまり目立たなかった日本の銀行、金融サービス事業者
  に対するフィッシングサイトが相次いで確認されました。クレジット
  カード番号などの金銭被害に直結する情報ではなく、住所や携帯電話
  番号などの個人情報の入力を求めるサイトが目立った点が特徴的でし
  た。

- 新しいテクノロジー
  1月に Windows Vista が発売開始され、また、10月には Mac OS X
  10.5 Leopard が発売開始されました。Windows Vista には Windows
  Defender、BitLocker、UAC などのセキュリティへの新しい取組みが
  導入されています。また IE7 にはフィッシング対策機能が追加され、
  週に 90万アクセスをブロックしていると報告されています。

- 様々な Web サービスの普及とセキュリティ
  Google Docs など新しい Web サービスの提供が進み、これまでのセ
  キュリティの枠組では扱いにくい問題なども発生しています。総務省
  は、SaaS において必要とされる情報セキュリティ対策を検討する
  「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催してい
  ます。

- Web 経由の脅威
  Web ページを閲覧させることにより感染を広める攻撃が目立ちました。
  中でも DNS Rebinding 攻撃や RSS へのスクリプト挿入攻撃などの新
  たな攻撃手法が注目を集めましたが、実際に大規模な被害が確認され
  たのは MPack によるものでした。MPack が注目された理由としては、
  1) 入手が比較的容易であったこと 2) 様々なプラットフォームで稼
  働する複数の攻撃コードが用いられたこと 3) 海外で多くの Web ペー
  ジが改竄され、MPack が置かれた危険なサーバへ知らずにアクセスす
  る被害が多発した点が挙げられます。また非常に多機能な管理プログ
  ラム (Web インターフェース) が付属しており、攻撃者がページへの
  アクセス数や被害に遭ったユーザの数等を容易に確認出来るような仕
  組みが設けられていました。

最後になりましたが、今年1年の JPCERT/CC REPORT のご愛読、まこと
にありがとうございました。年内の JPCERT/CC REPORT 発行はあと2回
です。

来たる 2008年も JPCERT/CC REPORT をよろしくお願いいたします。

参考文献 (日本語)

CSIRT - 日本シーサート協議会
http://www.nca.gr.jp/

【楽天市場】会社情報 ニュースリリース
コンピュータ関連事故の対応組織「CSIRT」を新設
http://www.rakuten.co.jp/info/release/2007/1206_1.html

NRIセキュアテクノロジーズ株式会社 ニュースリリース
NRIセキュアのインシデントレスポンスチーム（NCSIRT） FIRSTに加盟
http://www.nri-secure.co.jp/news/2007/1026.html

JPCERT/CC Alert 2007-04-03
国内金融機関を装ったフィッシングサイトに関する注意喚起
http://www.jpcert.or.jp/at/2007/at070009.txt

総務省(報道資料)
「ASP・SaaSの情報セキュリティ対策に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/070618_3.html

JPCERT/CC Alert 2007-06-28
複数の脆弱性を使用する攻撃ツール MPack に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070016.txt

参考文献 (英語)

Center for Strategic and International Studies (CSIS)
Statesmen's Forum: Jaak Aaviksoo, Minister of Defense, Republic of Estonia
http://www.csis.org/component/option,com_csis_events/task,view/id,1440/

IEBlog
The First Year of IE7
http://blogs.msdn.com/ie/archive/2007/11/30/the-first-year-of-ie7.aspx

■JPCERT/CC からのお願い