JPCERT コーディネーションセンター

Weekly Report 2012-09-26号

JPCERT-WR-2012-3701
JPCERT/CC
2012-09-26

<<< JPCERT/CC WEEKLY REPORT 2012-09-26 >>>

■09/16(日)〜09/22(土) のセキュリティ関連情報

目 次

【1】Microsoft Internet Explorer に脆弱性

【2】Apple 製品に複数の脆弱性

【3】HP SiteScope に脆弱性

【4】Windows Phone 7 に SSL サーバ証明書検証不備の脆弱性

【今週のひとくちメモ】CTF チャレンジジャパン 2012

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123701.txt
https://www.jpcert.or.jp/wr/2012/wr123701.xml

【1】Microsoft Internet Explorer に脆弱性

情報源

US-CERT Vulnerability Note VU#480095
Microsoft Internet Explorer 6/7/8/9 contain a use-after-free vulnerability
http://www.kb.cert.org/vuls/id/480095

概要

Microsoft Internet Explorer には、脆弱性があります。結果として、遠隔の
第三者が、細工した HTML ドキュメントを閲覧させることにより、任意のコー
ドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Microsoft Internet Explorer 6、7、8 および 9

この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ MS12-063
Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842)
http://technet.microsoft.com/ja-jp/security/Bulletin/MS12-063

日本のセキュリティチーム
Internet Explorerの脆弱性を解決する MS12-063 を定例外で公開、および新規セキュリティアドバイザリ 2755801 を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/09/22/3521886.aspx

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-063)
https://www.npa.go.jp/cyberpolice/topics/?seq=10124

独立行政法人情報処理推進機構 (IPA)
Internet Explorer の脆弱性の修正について (KB2757760)(CVE-2012-4969)
http://www.ipa.go.jp/security/ciadr/vul/20120920-windows.html

Japan Vulnerability Notes JVNVU#480095
Internet Explorer に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU480095/index.html

Japan Vulnerability Notes JVNTA12-265A
Internet Explorer の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-265A/index.html

JPCERT/CC
2012年9月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120030.html

関連文書 (英語)

US-CERT Alert (TA12-262A)
Microsoft Security Advisory for Internet Explorer Exploit
http://www.us-cert.gov/cas/techalerts/TA12-262A.html

US-CERT Alert (TA12-265A)
Microsoft Releases Patch for Internet Explorer Exploit
http://www.us-cert.gov/cas/techalerts/TA12-265A.html

【2】Apple 製品に複数の脆弱性

情報源

Apple Support
About the security content of OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 and Security Update 2012-004
http://support.apple.com/kb/HT5501

Apple Support
About the security content of Safari 6.0.1
http://support.apple.com/kb/HT5502

Apple Support
About the security content of iOS 6
http://support.apple.com/kb/HT5503

概要

Apple 製品には複数の脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行したり、ローカルユーザが権限を昇格したりする可能性がありま
す。

対象となるシステムは以下の通りです。

- OS X
- Safari
- iOS

この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Apple が提供する情報を参照して下さ
い。

【3】HP SiteScope に脆弱性

情報源

JC3 Bulletin
U-265: HP SiteScope Bugs in SiteScope SOAP Feature Let Remote Users Obtain Information and Execute Arbitrary Code
http://energy.gov/cio/articles/u-265-hp-sitescope-bugs-sitescope-soap-feature-let-remote-users-obtain-information-and

概要

HP SiteScope には、脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行したり、機密情報を取得したりする可能性があります。

対象となるバージョンは以下の通りです。

- HP SiteScope v11.10、v11.11、v11.12 (Windows版、Linux版、Solaris版)

この問題は、HP が提供する修正済みのバージョンに、HP SiteScope を更新す
ることで解決します。詳細については、HP が提供する情報を参照して下さい。

関連文書 (英語)

HP Support Center
HPSBMU02815 SSRT100715 rev.3 - HP SiteScope SOAP Security Issues, Remote Disclosure of Information, Remote Code Execution
http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03489683&ac.admitted=1348236196359.876444892.199480143

【4】Windows Phone 7 に SSL サーバ証明書検証不備の脆弱性

情報源

US-CERT Vulnerability Note VU#389795
Windows Phone 7 does not check certificate Common Names when sending or receiving emails over SSL.
http://www.kb.cert.org/vuls/id/389795

概要

Windows Phone 7 には、SSL サーバ証明書の CN (コモンネーム) を検証しない
脆弱性があります。結果として、遠隔の第三者が中間者攻撃を行う可能性があ
ります。

対象となるバージョンは以下の通りです。

- Windows Phone 7

2012年9月25日現在、対策方法はありません。Microsoft によると、本脆弱性の
対策アップデートを公開予定とのことです。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#389795
Windows Phone 7 に SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/cert/JVNVU389795/index.html

■今週のひとくちメモ

○CTF チャレンジジャパン 2012

実践的情報セキュリティ人材の育成を目的としたセキュリティコンテスト
「CTF チャレンジジャパン 2012」が開催されます。

「CTF チャレンジジャパン 2012」は、実践的な経験を積める場として社会人向
けに実施されるものです。11月の福岡を皮切りに、大阪、東京、仙台で地方大
会が開催され、来年の 2月に東京で全国大会が開催されます。

興味ある方は、Web サイトの募集要項を参考に応募してみてはいかがでしょう
か。

参考文献 (日本語)

CTF チャレンジジャパン
http://ctf-challenge.jp/

参考文献 (英語)

Wikipedia
Capture the flag
http://en.wikipedia.org/wiki/Capture_The_Flag#Computer_security

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter