<<< JPCERT/CC WEEKLY REPORT 2011-06-29 >>>

■06/19(日)〜06/25(土) のセキュリティ関連情報

目　次

【1】Mac OS X に複数の脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】LibreOffice に複数の脆弱性

【4】Blue Coat ProxySG に脆弱性

【5】WeblyGo にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Firefox の高速リリースサイクルについて

【1】Mac OS X に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Security Updates to Address Multiple Vulnerabilities
http://www.us-cert.gov/current/archive/2011/06/24/archive.html#apple_releases_security_updates_to3

概要

Mac OS X および Mac OS X Server には、複数の脆弱性があります。結
果として、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Mac OS X v10.6 から v10.6.7 まで
- Mac OS X Server v10.6 から v10.6.7 まで
- Mac OS X v10.5.8
- Mac OS X Server v10.5.8

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#976710
Apple Mac OS X における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU976710/index.html

関連文書 (英語)

Apple Support HT4723
About the security content of Mac OS X v10.6.8 and Security Update 2011-004
http://support.apple.com/kb/HT4723?viewlocale=en_US

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 5 and 3.6.18
http://www.us-cert.gov/current/archive/2011/06/24/archive.html#mozilla_releases_firefox_5_and

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、機密情報を取得したり、ユーザのブ
ラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 4.0.1 およびそれ以前
- Firefox 3.6.17 およびそれ以前
- Thunderbird 3.1.10 およびそれ以前
- SeaMonkey 2.0.14 およびそれ以前

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。2011年6月
28日現在、本脆弱性に対する SeaMonkey の修正バージョンはリリース
されていません。

なお、Mozilla によると、Firefox 4 以降のバージョンでは高速リリー
スサイクルへ移行したため、セキュリティアップデートのみのバージョ
ンを公開する予定はなく、Firefox 5 への更新を推奨しています。詳細
については、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 5.0 - 2011/06/21 リリース
http://mozilla.jp/firefox/5.0/releasenotes/

Firefox 5.0 セキュリティアドバイザリ
Firefox 5 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox5

Mozilla Japan
Firefox リリースノート - バージョン 3.6.18 - 2011/06/21 リリース
http://mozilla.jp/firefox/3.6.18/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.18 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.18

Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.11 - 2011/06/21 リリース
http://mozilla.jp/thunderbird/3.1.11/releasenotes/

Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.11 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.11

SeaMonkey-ja Project
SeaMonkey 2.1 (2011/6/10)
http://www.seamonkey.jp/

Mozilla Japan ブログ
Firefox と Thunderbird のセキュリティアップデートを公開しました
http://mozilla.jp/blog/entry/6916/

Mozilla Japan
高速リリースサイクルに関するよくある質問
http://mozilla.jp/firefox/preview/faq/

【3】LibreOffice に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#953183
LibreOffice 3.3 'Lotus Word Pro' document import filter contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/953183

概要

LibreOffice には、Lotus Word Pro (.lwp) ファイルの処理に起因する
複数の脆弱性があります。結果として、第三者が細工した .lwp ファイ
ルを開かせることで、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- LibreOffice 3.3.2 およびそれ以前

この問題は、ベンダが提供する修正済みのバージョンに LibreOffice 
を更新することで解決します。詳細については、ベンダが提供する情報
を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#953183
LibreOffice に複数の脆弱性
https://jvn.jp/cert/JVNVU953183/index.html

LibreOffice
LibreOffice 3.3.3 がダウンロードできるようになりました
http://nabble.documentfoundation.org/LibreOffice-3-3-3-td3082171.html

関連文書 (英語)

LibreOffice
LibreOffice 3.3.3 Final (2011-06-16)
http://www.libreoffice.org/download/

【4】Blue Coat ProxySG に脆弱性

情報源

DOE-CIRC Technical Bulletin T-651
Blue Coat ProxySG Discloses Potentially Sensitive Information in Core Files
http://www.doecirc.energy.gov/bulletins/t-651.shtml

概要

Blue Coat ProxySG には、脆弱性があります。結果として、ローカル
ユーザが機密情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- ProxySG 6.1 および 6.2

この問題は、Blue Coat が提供する修正済みのバージョンに ProxySG 
を更新することで解決します。詳細については、Blue Coat が提供する
情報を参照してください。
		

関連文書 (日本語)

Blue Coat Systems
Blue Coat ProxySG
http://www.bluecoat.co.jp/products/sg/

NEC
Blue Coat ProxySGシリーズ
http://www.nec.co.jp/datanet/bluecoat/

Hitachi Solutions
Blue Coat Systems Products - ProxySG 製品概要
http://www.hitachi-system.co.jp/bluecoat/sp/proxysg/outline/outline.html

FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
Proxy SGシリーズ(Proxy SG Full Proxy Edition)
http://www.ssl.fujitsu.com/products/network/netproducts/bluecoat/#sg

Macnica Networks
Blue Coat ProxySG/AV Full Proxy Edition
http://www.macnica.net/bluecoat/proxy.html/

関連文書 (英語)

Blue Coat Security Advisories SA56
June 17, 2011 - Sensitive information in ProxySG core files
https://kb.bluecoat.com/index?page=content&id=SA56&cat=PROXYSG&actp=LIST

【5】WeblyGo にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#43386477
WeblyGo におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN43386477/index.html

概要

カワイビジネスソフトウエアのグループウェア WeblyGo には、クロス
サイトスクリプティングの脆弱性があります。結果として、遠隔の第三
者がユーザのブラウザ上で任意のスクリプトを実行する可能性がありま
す。

対象となるバージョンは以下の通りです。

- WeblyGo V5.0 Pro/LE
- WeblyGo V5.02 Pro/LE
- WeblyGo V5.03 Pro/LE
- WeblyGo V5.04 Pro/LE
- WeblyGo V5.10 Pro/LE

この問題は、ベンダが提供する修正済みのバージョンに WeblyGo を更
新することで解決します。詳細については、ベンダが提供する情報を参
照してください。
		

関連文書 (日本語)

カワイビジネスソフトウエア
［重要］ WeblyGo V5 脆弱性対応アップデート（V5.20）
http://www.kbs.co.jp/jp/tabid/254/Default.aspx

■今週のひとくちメモ

○Firefox の高速リリースサイクルについて

2011年6月21日 Firefox 5.0 がリリースされました。機能追加、パフォー
マンスの強化と併せていくつかのセキュリティの問題に関する修正が含
まれています。

Mozilla は Firefox 4 以降、リリースサイクルを大幅に変更し、高速リ
リースサイクルへ移行しました。Firefox 4 以降は、セキュリティアッ
プデートのみのバージョンを公開する予定はなく、より頻繁に新バージョ
ンを公開すると発表しています。今後は、基本的に 6週間ごとに新バー
ジョンを公開するということです。

参考文献 (日本語)

Mozilla Firefox
高速リリースサイクルに関するよくある質問
http://mozilla.jp/firefox/preview/faq/

■JPCERT/CC からのお願い