<<< JPCERT/CC WEEKLY REPORT 2009-08-12 >>>
■08/02(日)〜08/08(土) のセキュリティ関連情報
目 次
【1】Apple 製品に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】Java Runtime Environment (JRE) に複数の脆弱性
【4】複数の XML ライブラリの実装に脆弱性
【5】FreeNAS に複数の脆弱性
【6】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ
【今週のひとくちメモ】Adobe Flash プラグインの更新に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093101.txt
https://www.jpcert.or.jp/wr/2009/wr093101.xml
【1】Apple 製品に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA09-218A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-218A.htmlUS-CERT Cyber Security Alert SA09-218A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-218A.htmlDOE-CIRC Technical Bulletin T-204
Apple Mac OS X 2009-003 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-204.shtml
概要
Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 - Apple Mac OS X 10.5.7 およびそれ以前 - Apple Mac OS X Server 10.4.11 およびそれ以前 - Apple Mac OS X Server 10.5.7 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。
関連文書 (日本語)
Apple Support HT3757
セキュリティアップデート 2009-003/Mac OS X v10.5.8 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3757?viewlocale=ja_JPJapan Vulnerability Notes JVNTA09-218A
Apple 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA09-218A/index.html
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 3.0.13 and Firefox 3.5.2
http://www.us-cert.gov/current/archive/2009/08/06/archive.html#mozilla_releases_security_advisoriesDOE-CIRC Technical Bulletin T-202
Mozilla Firefox Error Page Address Bar URL Spoofing Vulnerability
http://www.doecirc.energy.gov/bulletins/t-202.shtml
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、ユーザのブラウザ上で任意の スクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに該当する製品を更新することで解決します。Mozilla から は、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.13 - Firefox 3.5.2 2009年8月11日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.2 - 2009/08/03 リリース
http://mozilla.jp/firefox/3.5.2/releasenotes/Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.13 - 2009/08/03 リリース
http://mozilla.jp/firefox/3.0.13/releasenotes/Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.2Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.13 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.13
【3】Java Runtime Environment (JRE) に複数の脆弱性
情報源
US-CERT Current Activity Archive
Sun Releases Update 15 for Java SE 6
http://www.us-cert.gov/current/archive/2009/08/07/archive.html#sun_releases_java_se_6DOE-CIRC Technical Bulletin T-203
Sun Java Runtime Environment Audio System Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-203.shtml
概要
Java Runtime Environment (JRE) には、複数の脆弱性があります。結果とし て、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。今後、修正プログラムは提供されません。後継の バージョンへの対応をおすすめします。
関連文書 (英語)
Sun Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u15.htmlSun Microsystems
JDK 5.0u20 Release Notes
http://java.sun.com/j2se/1.5.0/ReleaseNotes.html#150_20Sun Alert 263408
A Security Vulnerability in the Java Runtime Environment Audio System may Allow System Properties to be Accessed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263408-1
【4】複数の XML ライブラリの実装に脆弱性
情報源
Japan Vulnerability Notes JVNVU#817433
複数の XML ライブラリの実装に脆弱性
https://jvn.jp/cert/JVNVU817433/index.html
概要
複数の XML ライブラリの実装には、XML データの解析に起因する複数 の脆弱性があります。結果として、遠隔の第三者が細工したファイルを 処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意の コードを実行したりする可能性があります。 対象となることが確認されている実装は以下の通りです。 - Python libexpat - Apache Xerces のすべてのバージョン - libxml2 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 - OpenJDK 1.6 その他の実装も影響を受ける可能性があります。 この問題は、各ベンダや配布元が提供する修正済みのバージョンに、該 当する実装を更新することで解決します。詳細については、各ベンダや 配布元が提供する情報を参照してください。
関連文書 (英語)
CERT-FI
Advisory on XML libraries
http://www.cert.fi/en/reports/2009/vulnerability2009085.htmlSun Alert 263489
A Security Vulnerability in the Java Runtime Environment (JRE) With Parsing XML Data May Allow a Remote Client to Create a Denial of Service (DoS) Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1
【5】FreeNAS に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#15267895
FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN15267895/index.htmlJapan Vulnerability Notes JVN#89791790
FreeNAS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN89791790/index.html
概要
FreeNAS には、複数の脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行したり、細工した HTML 文書をユーザに閲覧させることで設定を変更したり、データを削除した りする可能性があります。 対象となるバージョンは以下の通りです。 - FreeNAS 0.69.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに FreeNAS を更 新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
「FreeNAS」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html
関連文書 (英語)
FreeNAS: The Free NAS Server
FreeNAS 0.7RC1 (Sardaukar)
http://www.freenas.org/index.php?option=com_frontpage&Itemid=22
【6】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ
情報源
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 8月7日に開催した part2 はおかげさまで定員を超えるご応募を頂きま した。多くの方のご参加をお待ちしております。 日時: part3 <動的メモリ管理・書式指定文字列> 2009年09月10日(金) 13:00 〜 17:30 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名
関連文書 (日本語)
JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html
■今週のひとくちメモ
○Adobe Flash プラグインの更新に注意
Adobe Flash は、インタラクティブなアニメーションや音声を表現する フォーマットとして様々な場面で利用されています。例えば、 PowerPoint や Excel などのアプリケーションのドキュメントにも Flash を埋め込むことが可能です。このような Windows のアプリケー ションでは Internet Explorer (IE) のプラグインを利用して Flash を表示しています。 Web ブラウザとして IE を利用していない場合でも、IE 用の古い Flash プラグインがインストールされている場合、その脆弱性の影響を 受ける可能性があります。JPCERT/CC では、細工された Flash コンテ ンツを Excel ファイルに埋め込んだ攻撃を確認しています。 普段利用していない Web ブラウザに関しても、プラグインの更新作業 を適切に行うように注意してください。
参考文献 (日本語)
JPCERT/CC REPORT 2008-01-17
【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意
http://www.jpcert.or.jp/wr/2008/wr080201.html#Memo
参考文献 (英語)
SophosLabs blog
Flash in the Formula!
http://www.sophos.com/blogs/sophoslabs/v/post/5798
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/