<<< JPCERT/CC WEEKLY REPORT 2010-09-24 >>>

■09/12(日)〜09/18(土) のセキュリティ関連情報

目　次

【1】2010年9月 Microsoft セキュリティ情報について

【2】Adobe Flash Player に脆弱性

【3】Microsoft ASP.NET に脆弱性

【4】Microsoft Exchange Server に脆弱性

【5】Apple QuickTime に複数の脆弱性

【6】Google Chrome に複数の脆弱性

【7】C/C++ セキュアコーディングセミナー 2010 ＠東京 part3 参加者募集中

【今週のひとくちメモ】X-FRAME-OPTIONS によるクリックジャッキング対策

【1】2010年9月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA10-257A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-257A.html

US-CERT Cyber Security Alert SA10-257A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-257A.html

概要

Microsoft Windows、Office などの製品および関連コンポーネントには
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)

2010 年 9 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx

Japan Vulnerability Notes JVNTA10-257A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA10-257A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-061,062,063,064,065,066,067,068,069)
https://www.npa.go.jp/cyberpolice/topics/?seq=4779

JPCERT/CC Alert 2010-09-15 JPCERT-AT-2010-0023
2010年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100023.txt

【2】Adobe Flash Player に脆弱性

情報源

US-CERT Vulnerability Note VU#275289
Adobe Flash unspecified code execution vulnerability
http://www.kb.cert.org/vuls/id/275289

DOE-CIRC Technical Bulletin T-439
Adobe Flash Player Zero-Day Vulnerability
http://www.doecirc.energy.gov/bulletins/t-439.shtml

概要

Adobe Flash Player には、脆弱性があります。結果として、遠隔の第
三者が細工した Flash コンテンツを埋め込んだドキュメントを閲覧さ
せることで任意のコードを実行する可能性があります。なお、Adobe
Flash Player が同梱されている他の Adobe 製品も影響を受けます。ま
た、Adobe によると、本脆弱性を使用した攻撃が確認されているとのこ
とです。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 10.1.82.76 およびそれ以前の Windows 版、
  Macintosh 版、Linux 版、Solaris 版
- Adobe Flash Player 10.1.92.10 Android 版
- Adobe Reader 9.3.4 およびそれ以前
- Adobe Acrobat 9.3.4 およびそれ以前

この問題は、修正済みのバージョンに該当する製品を更新することで解
決します。なお、Adobe Reader および Acrobat の修正済みのバージョ
ンは 2010年10月4日の週に公開される予定です。対象製品の回避策など
の詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe TechNote
APSA10-03: Flash Player に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/866/cpsid_86695.html

Japan Vulnerability Notes JVNVU#275289
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU275289/index.html

Japan Vulnerability Notes JVNTA10-263A
Adobe Flash に脆弱性
http://jvn.jp/cert/JVNTA10-263A/index.html

関連文書 (英語)

Adobe Security Bulletin APSA10-03
Security Advisory for Flash Player
http://www.adobe.com/support/security/advisories/apsa10-03.html

Adobe Security Bulletin APSB10-22
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-22.html

US-CERT Technical Cyber Security TA10-263A
Adobe Flash Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-263A.html

【3】Microsoft ASP.NET に脆弱性

情報源

US-CERT Current Activity Archive
Microsoft Releases Security Advisory 2416728
http://www.us-cert.gov/current/archive/2010/09/20/archive.html#microsoft_releases_security_advisory_2416728

概要

マイクロソフトの ASP.NET には脆弱性があります。結果として、遠隔
の第三者がサーバ上の情報を閲覧したり、改ざんする可能性があります。

対象となる製品は以下の通りです。

- ASP.NET を使った Web アプリケーション全般

マイクロソフトによると、本脆弱性を使用した攻撃活動が確認されてい
ます。

2010年9月24日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。マイクロソフトからは、ASP.NET アプリケーショ
ンにおける回避策や、ASP.NET アプリケーションが本脆弱性の影響を受
けるかどうかを確認するための情報が提供されています。詳細について
は下記関連文書を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (2416728)
ASP.NET の脆弱性により、情報漏えいが起こる
https://www.microsoft.com/japan/technet/security/advisory/2416728.mspx

関連文書 (英語)

Microsoft Security Advisory (2416728)
Vulnerability in ASP.NET Could Allow Information Disclosure
https://www.microsoft.com/technet/security/advisory/2416728.mspx

Security Research & Defense
Understanding the ASP.NET Vulnerability
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Security Research & Defense
Additional Information about the ASP.NET Vulnerability
http://blogs.technet.com/b/srd/archive/2010/09/20/additional-information-about-the-asp-net-vulnerability.aspx

【4】Microsoft Exchange Server に脆弱性

情報源

DOE-CIRC Technical Bulletin T-438
Microsoft Outlook Web Access Authentication Flaw
http://www.doecirc.energy.gov/bulletins/t-438.shtml

概要

Microsoft Exchange Server の Outlook Web Access (OWA) には、脆弱
性があります。結果として、遠隔の第三者が OWA セッションをハイジャッ
クする可能性があります。

対象となるバージョンは以下の通りです。

- Microsoft Exchange Server 2003 Service Pack 2
- Microsoft Exchange Server 2007 Service Pack 1
- Microsoft Exchange Server 2007 Service Pack 2

Microsoft Exchange Server 2000、Microsoft Exchange Server 2007 
Service Pack 3 および Microsoft Exchange Server 2010 はこの脆弱
性の影響を受けません。

この問題は、この脆弱性の影響を受けないバージョンの Microsoft
Exchange Server にアップグレードすることで解決します。詳細につい
ては、下記関連文書の情報を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (2401593)
Outlook Web Access の脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/2401593.mspx

【5】Apple QuickTime に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases QuickTime 7.6.8
http://www.us-cert.gov/current/archive/2010/09/17/archive.html#apple_releases_quicktime_7_62

DOE-CIRC Technical Bulletin T-440
Apple QuickTime DLL Loading and ActiveX Control Bugs
http://www.doecirc.energy.gov/bulletins/t-440.shtml

概要

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した Web ページを閲覧させたり、細工した DLL ファイル
を置いたディレクトリにある画像ファイルを閲覧させたりすることで任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- Apple QuickTime (Windows) 7.6.8 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、QuickTime を
更新することで解決します。

関連文書 (日本語)

Apple
QuickTime 7.6.8 for Windows
http://support.apple.com/kb/DL837?viewlocale=ja_JP

Japan Vulnerability Notes JVNVU#997815
Apple Quicktime における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU997815/index.html

JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1

関連文書 (英語)

Apple Support HT4339
About the security content of QuickTime 7.6.8
http://support.apple.com/kb/HT4339?viewlocale=en_US

Apple Mailing Lists
APPLE-SA-2010-09-15-1 QuickTime 7.6.8
http://lists.apple.com/archives/security-announce//2010/Sep/msg00003.html

【6】Google Chrome に複数の脆弱性

情報源

Google Chrome Releases
Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_14.html

Google Chrome Releases
Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_17.html

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 6.0.472.62 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。

【7】C/C++ セキュアコーディングセミナー 2010 ＠東京 part3 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

現在、東京を会場にしたセミナー part3「CERT C セキュアコーディング
スタンダード」の参加申し込みを受け付けております。
皆様奮ってご参加ください。

  [日時] part3 ＜CERT C セキュアコーディングスタンダード＞
         2010年10月13日(水)

         13:30 -       受付開始
         14:00 - 14:45 CERT C セキュアコーディングスタンダード概論
         15:00 - 16:30 CERT C セキュアコーディングスタンダード各論
         16:45 - 17:15 CERT C セキュアコーディングスタンダード活用

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html

■今週のひとくちメモ

○X-FRAME-OPTIONS によるクリックジャッキング対策

Web ページの透過表示機能などを悪用することで、ユーザに意図しない
クリック動作をさせる「クリックジャッキング」と呼ばれる攻撃手法が
知られています。この対策のひとつとして、Web サイト側があらかじめ
HTTP レスポンスヘッダに X-FRAME-OPTIONS ヘッダを含めておき、Web 
ブラウザがこの値を解釈することにより、クリックジャッキングを防止
する手法があります。

Internet Explorer 8 をはじめとして Mozilla Firefox、Apple Safari、
Google Chrome、Opera など多くの Web ブラウザの最新版が 
X-FRAME-OPTIONS ヘッダを認識するようになっています。

Web サイト側で X-FRAME-OPTIONS ヘッダを活用することで、クリック
ジャッキングへの対応が可能となる環境が整ってきています。ぜひ、
Web サイト側での対応を検討してください。

参考文献 (日本語)

JPCERT/CC
クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜 (Version 2)
https://www.jpcert.or.jp/ed/2009/ed090001.pdf

参考文献 (英語)

OWASP
Clickjacking
http://www.owasp.org/index.php/Clickjacking

Opera
Web specifications support in Opera Presto 2.6
http://www.opera.com/docs/specs/presto26/

Mozilla Develper Center
The X-Frame-Options response header
https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

■JPCERT/CC からのお願い