JPCERT コーディネーションセンター

Weekly Report 2008-02-14号

JPCERT-WR-2008-0601
JPCERT/CC
2008-02-14

<<< JPCERT/CC WEEKLY REPORT 2008-02-14 >>>

■02/03(日)〜02/09(土) のセキュリティ関連情報

目 次

【1】Adobe Reader および Adobe Acrobat に脆弱性

【2】「Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性」に関する追加情報

【3】KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に脆弱性

【4】Yahoo! Music Jukebox の複数の ActiveX コントロールにバッファオーバーフローの脆弱性

【5】PC2M にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】インターネットセキュリティの歴史 第13回 「プロバイダ責任制限法」

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr080601.txt
https://www.jpcert.or.jp/wr/2008/wr080601.xml

【1】Adobe Reader および Adobe Acrobat に脆弱性

情報源

Adobe Securiry advisory
Security Update available for Adobe Reader and Acrobat 8
http://www.adobe.com/support/security/advisories/apsa08-01.html

概要

Adobe Reader および Adobe Acrobat には、脆弱性があります。結果と
して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ
とで、ユーザの権限で任意のコマンドを実行する可能性があります。な
お、本件に関しては攻撃方法に関する情報が公開されています。

対象となる製品とバージョンは以下の通りです。

- Adobe Reader 8.1.1 およびそれ以前
- Adobe Acrobat Professional, 3D, Standard 8.1.1 およびそれ以前

なお、Adobe Reader、Acrobat 7.0.9 およびそれ以前も本脆弱性の影響
を受けます。

この問題は、Adobe が提供する Adobe Reader 8.1.2 または Acrobat
8.1.2 にバージョンアップすることで解決します。詳細については 
Adobe が提供する情報を参照してください。

関連文書 (英語)

Adobe
Adobe Reader 8.1.2 Release Notes
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403079&sliceId=1

US-CERT Technical Cyber Security Alert TA08-043A
Adobe Reader and Acrobat Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-043A.html

Vulnerability Note VU#666281
Adobe Reader and Acrobat JavaScript methods buffer overflow vulnerabilities
http://www.kb.cert.org/vuls/id/666281

CERT/CC Current Activity Archive
Active Exploitation of Adobe Reader Vulnerabilities
http://www.us-cert.gov/current/archive/2008/02/11/archive.html#publically_available_exploit_for_adobe

【2】「Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性」に関する追加情報

情報源

Apple - Support
QuickTime 7.4.1 のセキュリティコンテンツについて
http://docs.info.apple.com/article.html?artnum=307407-ja

概要

JPCERT/CC REPORT 2008-01-17 号【2】で紹介した「Apple QuickTime
RTSP の Response message の処理にバッファオーバーフローの脆弱性」
に関する追加情報です。

Apple はこの問題に対する修正を含むセキュリティアップデートとして
QuickTime 7.4.1 を公開しました。詳細については、Apple が提供する
情報を参照してください。

関連文書 (日本語)

@police
QuickTime の脆弱性について(2/7)
http://www.cyberpolice.go.jp/important/2008/20080207_164356.html

JPCERT/CC REPORT 2008-01-17
【2】Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2008/wr080201.html#2

【3】KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に脆弱性

情報源

US-CERT Vulnerability Note VU#110947
KAME project IPv6 IPComp header denial of service vulnerability
http://www.kb.cert.org/vuls/id/110947

概要

KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に
は、脆弱性があります。結果として、遠隔の第三者が細工した IPComp 
ヘッダを持つ IPv6 パケットを送信することで、サービス運用妨害
(DoS) 攻撃を行う可能性があります。

対象となる製品は以下の通りです。

- IPv6 スタックに KAME プロジェクトが提供しているソースコードを
  使っている製品

この問題は、各ベンダや配布元が提供する修正済みのバージョンに該当
する製品を更新することで解決します。詳細については、各ベンダや配
布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#110947
KAME プロジェクトの IPv6 スタックにおける IPComp パケットの処理にサービス運用妨害(DoS)の脆弱性
http://jvn.jp/cert/JVNVU%23110947/index.html

関連文書 (英語)

The KAME project
http://www.kame.net/

【4】Yahoo! Music Jukebox の複数の ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#101676
Yahoo! Music Jukebox YMP Datagrid ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/101676

US-CERT Vulnerability Note VU#340860
Yahoo! Music Jukebox Yahoo! MediaGrid ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/340860

概要

Yahoo! Music Jukebox の複数の ActiveX コントロールには、バッファ
オーバーフローの脆弱性があります。結果として、遠隔の第三者が細工
した HTML 文書をユーザに閲覧させることで、ユーザの権限で任意のコー
ドを実行する可能性があります。なお、本件に関しては攻撃方法に関す
る情報が公開されています。

対象となるバージョンは以下の通りです。

- Yahoo! Music Jukebox 2.2.2.058 より前のバージョン

この問題は、Yahoo! が提供する修正済みのバージョンに Yahoo! Music
Jukebox を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#340860
Yahoo! Music Jukebox Yahoo! MediaGrid ActiveX コントロールにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23340860/index.html

Japan Vulnerability Notes JVNVU#101676
Yahoo! Music Jukebox YMP Datagrid ActiveX コントロールにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23101676/index.html

関連文書 (英語)

Yahoo! Troubleshooting and FAQs
Yahoo! Music Jukebox Security Update
http://help.yahoo.com/l/us/yahoo/music/jukebox/troubleshoot/securityupdate.html

【5】PC2M にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#38893575
PC2M におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2338893575/index.html

概要

携帯電話端末のブラウザ向けに Web ページや画像などを閲覧できるよう
に変換するソフトウェアである PC2M には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- PC2M 0.9.22.4 およびそれ以前

この問題は、配布元が提供する修正済みのバージョン 0.9.22.5 に 
PC2M を更新することで解決します。詳細については、配布元が提供す
る情報を参照してください。

関連文書 (日本語)

Under Construction, Baby
バージョン0.9.22.4及びそれ以前のPC2Mにおけるクロスサイトスクリプティング脆弱性について
http://www.rcdtokyo.com/pc2m/note/archives/i000854.php

■今週のひとくちメモ

○インターネットセキュリティの歴史 第13回 「プロバイダ責任制限法」

2001年11月30日、「特定電気通信役務提供者の損害賠償責任の制限及び
発信者情報の開示に関する法律 (プロバイダ責任制限法) 」が公布され、
2002年5月27日から施行されました。

この法律は、特定電気通信 (インターネット) による情報の流通によっ
て権利の侵害があった場合について、(1) 特定電気通信役務提供者 (プ
ロバイダ等) の損害賠償責任の制限、および (2) 発信者情報の開示を
請求する権利、の 2点について定めています。

また、社団法人テレコムサービス協会内に設置された「プロバイダ責任
制限法ガイドライン等検討協議会」により、「プロバイダ責任制限法 
発信者情報開示関係ガイドライン」が公表されています。

参考文献 (日本語)

総務省
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の概要
http://www.soumu.go.jp/joho_tsusin/top/denki_h.html

総務省
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の図解
http://www.soumu.go.jp/joho_tsusin/top/pdf/zukai.pdf

社団法人 テレコムサービス協会
プロバイダ責任制限法 発信者情報開示関係ガイドライン
http://www.telesa.or.jp/consortium/provider/pdf/provider_070226_guideline.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter