<<< JPCERT/CC WEEKLY REPORT 2015-08-12 >>>

■08/02(日)〜08/08(土) のセキュリティ関連情報

目　次

【1】Firefox に同一生成元ポリシー回避の脆弱性

【2】PHP に複数の脆弱性

【3】WordPress に複数の脆弱性

【4】Android 版「ヨドバシ」に複数の脆弱性

【今週のひとくちメモ】MS14-025 への対策確認の呼びかけ

【1】Firefox に同一生成元ポリシー回避の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2015/08/06/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR

概要

Firefox には、同一生成元ポリシー回避の脆弱性があります。結果として、遠
隔の第三者が、細工したページをユーザにアクセスさせることで、ユーザの端
末に保存されている情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 39.0.3 より前のバージョン
- Firefox ESR 38.1.1 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに Firefox を更新す
ることで解決します。詳細は、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2015 年 8 月 6 日)
http://www.mozilla-japan.org/security/announce/

【2】PHP に複数の脆弱性

情報源

PHP Group
PHP 5.6.12 is available
https://php.net/archive/2015.php#id2015-08-06-4

PHP Group
PHP 5.5.28 is released
https://php.net/archive/2015.php#id2015-08-06-3

PHP Group
PHP 5.4.44 Released
https://php.net/archive/2015.php#id2015-08-06-2

概要

PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

対象となるバージョンは以下の通りです。

- PHP 5.6.12 より前のバージョン
- PHP 5.5.28 より前のバージョン
- PHP 5.4.44 より前のバージョン

この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新
することで解決します。詳細は、開発者や配布元が提供する情報を参照してく
ださい。

関連文書 (英語)

PHP Group
PHP 5 ChangeLog Version 5.6.12
https://php.net/ChangeLog-5.php#5.6.12

PHP Group
PHP 5 ChangeLog Version 5.5.28
https://php.net/ChangeLog-5.php#5.5.28

PHP Group
PHP 5 ChangeLog Version 5.4.44
https://php.net/ChangeLog-5.php#5.4.44

【3】WordPress に複数の脆弱性

情報源

US-CERT Current Activity
WordPress Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2015/08/04/WordPress-Releases-Security-Update

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、ユ
ーザのブラウザ上で任意のスクリプトを実行したり、データベースに対して任
意のクエリを実行したりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 4.2.3 およびそれ以前

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更
新することで解決します。詳細は、WordPress が提供する情報を参照してくだ
さい。

関連文書 (日本語)

WordPress
WordPress 4.2.4 セキュリティとメンテナンスのリリース
https://ja.wordpress.org/2015/08/06/wordpress-4-2-4-security-and-maintenance-release/

【4】Android 版「ヨドバシ」に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#70465405
Android 版「ヨドバシ」において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN70465405/

Japan Vulnerability Notes JVN#29053368
Android 版「ヨドバシ」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN29053368/

概要

Android 版「ヨドバシ」には、複数の脆弱性があります。結果として、遠隔の
第三者が、任意のコードを実行したり、中間者攻撃によって暗号通信を盗聴す
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- Android 版「ヨドバシ」 バージョン 1.2.1.0 およびそれ以前

この問題は、株式会社ヨドバシカメラが提供する修正済みのバージョンに Android
版「ヨドバシ」を更新することで解決します。詳細は、株式会社ヨドバシカメ
ラが提供する情報を参照してください。

■今週のひとくちメモ

○MS14-025 への対策確認の呼びかけ

2015年8月7日、US-CERT は「Required Group Policy Preference Actions for
Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新
プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ
れましたが、適用前にすでに保存されていたパスワードは削除されません。そ
のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して
います。すでに保存されていたパスワードを放置していると、システムへの不
正なアクセスを招くことになります。

US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が
今も続いているとして注意を呼びかけています。該当する製品をお使いの管理
者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす
めします。

参考文献 (日本語)

マイクロソフト セキュリティ情報 MS14-025 - 重要
グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspx

マイクロソフト サポート
[MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日)
https://support.microsoft.com/ja-jp/kb/2962486

参考文献 (英語)

US-CERT Current Activity
Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025
https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security

Microsoft TechNet Blogs - Ash de Zylva’s Weblog
(Don’t) Set or Save Passwords Using Group Policy Preferences
http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx

■JPCERT/CC からのお願い