JPCERT コーディネーションセンター

Weekly Report 2012-06-20号

JPCERT-WR-2012-2301
JPCERT/CC
2012-06-20

<<< JPCERT/CC WEEKLY REPORT 2012-06-20 >>>

■06/10(日)〜06/16(土) のセキュリティ関連情報

目 次

【1】Microsoft 製品に複数の脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】Oracle Java に複数の脆弱性

【4】MySQL に脆弱性

【5】Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性

【6】Dolphin Browser における WebView クラスに関する脆弱性

【今週のひとくちメモ】Android アプリ開発者向け情報

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122301.txt
https://www.jpcert.or.jp/wr/2012/wr122301.xml

【1】Microsoft 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA12-164A
Microsoft Updates for Multiple Vulnerabilities
https://www.us-cert.gov/cas/techalerts/TA12-164A.html

概要

Microsoft の複数の製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、権限昇格を行ったりする可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Internet Explorer
- Microsoft .NET Framework
- Microsoft Lync
- Microsoft Dynamics AX

この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2012 年 6 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms12-jun

Microsoft TechNet Blogs > 日本のセキュリティチーム
2012 年 6 月のセキュリティ情報 (月例) - MS12-036 〜 MS12-042
http://blogs.technet.com/b/jpsecurity/archive/2012/06/13/3503546.aspx

独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性の修正について (MS12-037)(CVE-2012-1875等)
https://www.ipa.go.jp/security/ciadr/vul/20120613-ms.html

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-036,037,038,039,040,041,042)
https://www.npa.go.jp/cyberpolice/topics/?seq=9601

Japan Vulnerability Notes JVNTA12-164A
Microsoft 製品における複数の脆弱性に対するアップデート (緊急)
https://jvn.jp/cert/JVNTA12-164A/index.html

JPCERT/CC Alert 2012-06-13 JPCERT-AT-2012-0020
2012年6月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120020.html

【2】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Adobe Flash Player
https://www.us-cert.gov/current/archive/2012/06/11/archive.html#adobe_releases_security_advisory_for15

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 11.2.202.235 およびそれ以前の Windows 版、Macintosh 版、Linux 版
- Adobe Flash Player 11.1.115.8 およびそれ以前の Android 4.x 版
- Adobe Flash Player 11.1.111.9 およびそれ以前の Android 3.x 版、Android 2.x 版

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
をアップデートすることで解決します。詳細については、Adobe が提供する情
報を参照して下さい。

関連文書 (日本語)

Adobe
APSB12-14: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/937/cpsid_93754.html

Japan Vulnerability Notes JVN#38163638
Flash Player における同一生成元ポリシー実装不備の脆弱性
https://jvn.jp/jp/JVN38163638/index.html

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=9579

JPCERT/CC Alert 2012-06-11 JPCERT-AT-2012-0019
Adobe Flash Player の脆弱性 (APSB12-14) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120019.html

関連文書 (英語)

Adobe Seuciry Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-14.html

【3】Oracle Java に複数の脆弱性

情報源

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for June 2012
https://www.us-cert.gov/current/archive/2012/06/13/archive.html#oracle_releases_critical_patch_update19

概要

Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 7 Update 4 およびそれ以前
- JDK/JRE 6 Update 32 およびそれ以前
- JDK/JRE 5.0 Update 35 およびそれ以前
- SDK/JRE 1.4.2_37 およびそれ以前
- Java FX 2.1 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに該当する製品を更新することで解決します。

なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。最新の Java SE またはサポートのある製品への移行をお
勧めします。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#162931
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU162931/index.html

関連文書 (英語)

Oracle
Oracle Java SE Critical Patch Update Advisory - June 2012
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

【4】MySQL に脆弱性

情報源

JC3-CIRC Technical Bulletin U-188
MySQL User Login Security Bypass and Unspecified Vulnerability
http://circ.jc3.doe.gov/bulletins/U-188.shtml

概要

MySQL には、認証が回避される脆弱性があります。結果として、遠隔の第三者
がデータベースにアクセスしたり、データを更新したりする可能性があります。

対象となるバージョンは以下の通りです。

- MySQL 5.x

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに MySQL を更新することで解決します。

関連文書 (英語)

Ubuntu
USN-1467-1: MySQL vulnerabilities
http://www.ubuntu.com/usn/usn-1467-1/

Novell
CVE-2012-2122
http://support.novell.com/security/cve/CVE-2012-2122.html

Debian
CVE-2012-2122
http://security-tracker.debian.org/tracker/CVE-2012-2122

【5】Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性

情報源

US-CERT Vulnerability Note VU#649219
SYSRET 64-bit operating system privilege escalation vulnerability on Intel CPU hardware
https://www.kb.cert.org/vuls/id/649219

概要

Intel CPU で動作する複数の 64bit OS や仮想化環境には、権限昇格の脆弱性
が存在します。結果として、一般ユーザによって特権を取得されたり、仮想化
環境においてゲスト OS 上からホスト OS を操作されたりする可能性がありま
す。

影響を受ける製品は複数存在します。詳しくは各製品開発者が提供する情報を
参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#649219
Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU649219/index.html

関連文書 (英語)

Xen-announce
Xen Security Advisory 7 (CVE-2012-0217) - PV privilege escalation
http://lists.xen.org/archives/html/xen-announce/2012-06/msg00001.html

FreeBSD
Privilege escalation when returning from kernel
http://security.freebsd.org/advisories/FreeBSD-SA-12:04.sysret.asc

Microsoft Security Bulletin MS12-042 - Important
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167)
https://technet.microsoft.com/en-us/security/bulletin/MS12-042

Redhat Customer Portal
Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2012-0720.html

Redhat Customer Portal
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2012-0721.html

【6】Dolphin Browser における WebView クラスに関する脆弱性

情報源

Japan Vulnerability Notes JVN#90751882
Dolphin Browser における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN90751882/index.html

概要

Android 端末用のウェブブラウザである Dolphin Browser HD および Dolphin
for Pad には、WebView クラスに関する脆弱性が存在します。結果として、当
該製品のデータ領域にある情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- Dolphin Browser HD v7.6 より前のバージョン
- Dolphin for Pad v1.0.1 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。

関連文書 (日本語)

Google Play
Dolphin Browser HD
https://play.google.com/store/apps/details?id=mobi.mgeek.TunnyBrowser

Google Play
Dolphin for Pad V1.0 Beta
https://play.google.com/store/apps/details?id=com.dolphin.browser.pad

■今週のひとくちメモ

○Android アプリ開発者向け情報

Android アプリのアクセス制限不備に関連する脆弱性の届け出が増えています。
IPA では、Android の仕組みと届け出の多かった脆弱性の例を紹介する、
「『Androidアプリの脆弱性』に関するレポート」を公開しました。

また、日本スマートフォンセキュリティ協会 (JSSEC) では、セキュアコーディ
ングのノウハウ集である「Android アプリのセキュア設計・セキュアコーディ
ングガイド」を公開しました。

Android アプリの開発を行っている皆さんはぜひご一読ください。

参考文献 (日本語)

独立行政法人 情報処理推進機構
IPA テクニカルウォッチ『Androidアプリの脆弱性』に関するレポート
https://www.ipa.go.jp/about/technicalwatch/20120613.html

日本スマートフォンセキュリティ協会
2012-06-11: 『Androidアプリのセキュア設計・セキュアコーディングガイド』【6月1日版】公開及びパブリックコメントを募集
http://www.jssec.org/news/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter