JPCERT-WR-2009-3101

JPCERT/CC

2009-08-12

<<< JPCERT/CC WEEKLY REPORT 2009-08-12 >>>

■08/02(日)〜08/08(土) のセキュリティ関連情報

目　次

【1】Apple 製品に複数の脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】Java Runtime Environment (JRE) に複数の脆弱性

【4】複数の XML ライブラリの実装に脆弱性

【5】FreeNAS に複数の脆弱性

【6】「C/C++ セキュアコーディングハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ

【今週のひとくちメモ】Adobe Flash プラグインの更新に注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093101.txt
https://www.jpcert.or.jp/wr/2009/wr093101.xml

【1】Apple 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA09-218A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-218A.html

US-CERT Cyber Security Alert SA09-218A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-218A.html

DOE-CIRC Technical Bulletin T-204
Apple Mac OS X 2009-003 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-204.shtml

概要

Mac OS X および Mac OS X Server には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X 10.4.11 およびそれ以前
- Apple Mac OS X 10.5.7 およびそれ以前
- Apple Mac OS X Server 10.4.11 およびそれ以前
- Apple Mac OS X Server 10.5.7 およびそれ以前

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 3.0.13 and Firefox 3.5.2
http://www.us-cert.gov/current/archive/2009/08/06/archive.html#mozilla_releases_security_advisories

DOE-CIRC Technical Bulletin T-202
Mozilla Firefox Error Page Address Bar URL Spoofing Vulnerability
http://www.doecirc.energy.gov/bulletins/t-202.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、ユーザのブラウザ上で任意の
スクリプトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに該当する製品を更新することで解決します。Mozilla から
は、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.13
- Firefox 3.5.2

2009年8月11日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。

【3】Java Runtime Environment (JRE) に複数の脆弱性

情報源

US-CERT Current Activity Archive
Sun Releases Update 15 for Java SE 6
http://www.us-cert.gov/current/archive/2009/08/07/archive.html#sun_releases_java_se_6

DOE-CIRC Technical Bulletin T-203
Sun Java Runtime Environment Audio System Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-203.shtml

概要

Java Runtime Environment (JRE) には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 14 およびそれ以前
- JDK/JRE 5.0 Update 19 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。

なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。今後、修正プログラムは提供されません。後継の
バージョンへの対応をおすすめします。

【4】複数の XML ライブラリの実装に脆弱性

情報源

Japan Vulnerability Notes JVNVU#817433
複数の XML ライブラリの実装に脆弱性
https://jvn.jp/cert/JVNVU817433/index.html

概要

複数の XML ライブラリの実装には、XML データの解析に起因する複数
の脆弱性があります。結果として、遠隔の第三者が細工したファイルを
処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意の
コードを実行したりする可能性があります。

対象となることが確認されている実装は以下の通りです。

- Python libexpat
- Apache Xerces のすべてのバージョン
- libxml2
- JDK/JRE 6 Update 14 およびそれ以前
- JDK/JRE 5.0 Update 19 およびそれ以前
- OpenJDK 1.6

その他の実装も影響を受ける可能性があります。

この問題は、各ベンダや配布元が提供する修正済みのバージョンに、該
当する実装を更新することで解決します。詳細については、各ベンダや
配布元が提供する情報を参照してください。

【5】FreeNAS に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#15267895
FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN15267895/index.html

Japan Vulnerability Notes JVN#89791790
FreeNAS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89791790/index.html

概要

FreeNAS には、複数の脆弱性があります。結果として、遠隔の第三者が
ユーザのブラウザ上で任意のスクリプトを実行したり、細工した HTML 
文書をユーザに閲覧させることで設定を変更したり、データを削除した
りする可能性があります。

対象となるバージョンは以下の通りです。

- FreeNAS 0.69.2 およびそれ以前 

この問題は、配布元が提供する修正済みのバージョンに FreeNAS を更
新することで解決します。

【6】「C/C++ セキュアコーディングハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ

情報源

JPCERT/CC
C/C++ セキュアコーディングハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。
 
8月7日に開催した part2 はおかげさまで定員を超えるご応募を頂きま
した。多くの方のご参加をお待ちしております。
 
日時:   part3 ＜動的メモリ管理・書式指定文字列＞
        2009年09月10日(金) 13:00 〜 17:30 (受付 12:30〜)
会場:   株式会社インターネットイニシアティブ　大会議室1
        東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員:   80名

■今週のひとくちメモ

○Adobe Flash プラグインの更新に注意

Adobe Flash は、インタラクティブなアニメーションや音声を表現する
フォーマットとして様々な場面で利用されています。例えば、
PowerPoint や Excel などのアプリケーションのドキュメントにも 
Flash を埋め込むことが可能です。このような Windows のアプリケー
ションでは Internet Explorer (IE) のプラグインを利用して Flash 
を表示しています。

Web ブラウザとして IE を利用していない場合でも、IE 用の古い 
Flash プラグインがインストールされている場合、その脆弱性の影響を
受ける可能性があります。JPCERT/CC では、細工された Flash コンテ
ンツを Excel ファイルに埋め込んだ攻撃を確認しています。

普段利用していない Web ブラウザに関しても、プラグインの更新作業
を適切に行うように注意してください。

参考文献 (日本語)

JPCERT/CC REPORT 2008-01-17
【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意
http://www.jpcert.or.jp/wr/2008/wr080201.html#Memo

参考文献 (英語)

SophosLabs blog
Flash in the Formula!
http://www.sophos.com/blogs/sophoslabs/v/post/5798

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2009-08-12号

<<< JPCERT/CC WEEKLY REPORT 2009-08-12 >>>

■08/02(日)〜08/08(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Adobe Flash プラグインの更新に注意

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次