JPCERT コーディネーションセンター

Weekly Report 2013-06-05号

JPCERT-WR-2013-2201
JPCERT/CC
2013-06-05

<<< JPCERT/CC WEEKLY REPORT 2013-06-05 >>>

■05/26(日)〜06/01(土) のセキュリティ関連情報

目 次

【1】Splunk に複数の脆弱性

【2】Yahoo!ブラウザーにアドレスバー偽装の脆弱性

【3】Sleipnir Mobile for Android にアドレスバー偽装の脆弱性

【今週のひとくちメモ】Oracle Server JRE

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132201.txt
https://www.jpcert.or.jp/wr/2013/wr132201.xml

【1】Splunk に複数の脆弱性

情報源

JC3 Bulletin
V-168: Splunk Web Input Validation Flaw Permits Cross-Site Scripting Attacks
http://energy.gov/cio/articles/v-168-splunk-web-input-validation-flaw-permits-cross-site-scripting-attacks

概要

Splunk には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ
ス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプトを
実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Splunk 5.0.3 より前のバージョン

この問題は、Splunk が提供する修正済みのバージョンに Splunk を更新するこ
とで解決します。詳細については、Splunk が提供する情報を参照して下さい。

関連文書 (英語)

Splunk Security Advisory
Splunk 5.0.3 addresses multiple vulnerabilities
http://www.splunk.com/view/SP-CAAAHXG

【2】Yahoo!ブラウザーにアドレスバー偽装の脆弱性

情報源

Japan Vulnerability Notes JVN#31817913
Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性
https://jvn.jp/jp/JVN31817913/index.html

概要

Yahoo!ブラウザーには、アドレスバー偽装の脆弱性があります。結果として、
アドレスバーに表示される URL を偽装され、フィッシング詐欺等に悪用される
可能性があります。

対象となるバージョンは以下の通りです。

- Yahoo!ブラウザー v1.4.4 およびそれ以前のバージョン

この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザーを更
新することで解決します。詳細については、ヤフーが提供する情報を参照して
下さい。

関連文書 (日本語)

Google Play
Yahoo! ブラウザー
https://play.google.com/store/apps/details?id=jp.co.yahoo.android.ybrowser

【3】Sleipnir Mobile for Android にアドレスバー偽装の脆弱性

情報源

Japan Vulnerability Notes JVN#22756333
Sleipnir Mobile for Android におけるアドレスバー偽装の脆弱性
https://jvn.jp/jp/JVN22756333/index.html

概要

Sleipnir Mobile for Android には、アドレスバー偽装の脆弱性があります。
結果として、アドレスバーに表示される URL を偽装され、フィッシング詐欺等
に悪用される可能性があります。

対象となるバージョンは以下の通りです。

- Sleipnir Mobile for Android 2.9.1 およびそれ以前のバージョン
- Sleipnir Mobile for Android Black Edition 2.9.1 およびそれ以前のバージョン

この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile
を更新することで解決します。詳細については、フェンリルが提供する情報を
参照して下さい。

関連文書 (日本語)

Google Play
Sleipnir Mobile - ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir

Google Play
Sleipnir Mobile Black Edition
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black

■今週のひとくちメモ

○Oracle Server JRE

Oracle は、2013年4月にリリースされた Java SE 7u21 から、サーバ向け
JRE (Server JRE) の提供を開始しました。

最近報告される JRE の脆弱性では、クライアント環境が対象になることが多く、
サーバ環境では問題ない場合でも、JRE がアップデートされるたびにサーバ環
境においても対応が必要とされていました。

サーバ向け JRE は、クライアント環境でのみ使われるプラグインを削除した形
で提供されています。また今後、サーバ環境では不要な機能やライブラリを削
除していくことが計画されています。

参考文献 (英語)

The Oracle Software Security Assurance Blog
Maintaining the security-worthiness of Java is Oracle's priority
https://blogs.oracle.com/security/entry/maintaining_the_security_worthiness_of

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter