JPCERT-WR-2007-4802
2007-12-12
2007-12-02
2007-12-08
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が
あります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス
クリプトを実行したり、ユーザの権限で任意のコードを実行したり、ア
クセス制限を回避したりする可能性があります。
対象となる製品は以下の通りです。
- Firefox
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可能
性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 2.0.0.10
- SeaMonkey 1.1.7
なお、2007年12月11日現在、その他のバグを修正した Firefox
2.0.0.11 が公開されています。
また、今回の修正には、JPCERT/CC REPORT 2007-11-14号【3】で紹介し
た「Mozilla Firefox の jar URI の処理にクロスサイトスクリプティン
グの脆弱性」に対する修正が含まれています。
Mozilla Japan
Foundation セキュリティアドバイザリ: 2007 年 11 月 26 日
http://www.mozilla-japan.org/security/announce/
Mozilla Japan
Firefox 2.0.0.10 リリースノート
http://www.mozilla-japan.org/products/firefox/2.0.0.10/releasenotes/
JPCERT/CC REPORT 2007-11-14
【3】Mozilla Firefox の jar URI の処理にクロスサイトスクリプティングの脆弱性
http://www.jpcert.or.jp/wr/2007/wr074401.html#3
Red Hat Security Advisory RHSA-2007:1082-5
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2007-1082.html
Red Hat Security Advisory RHSA-2007:1084-8
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2007-1084.html
Microsoft Windows の Web プロキシ自動発見機能に脆弱性
Microsoft Windows の Web プロキシ自動発見 (WPAD) 機能には管理者
が予期しない外部のホストからプロキシ設定をインポートしてしまう脆
弱性があります。この問題が起きるのは、 Internet Explorer で「設
定を自動的に検出する」設定をしている他に、DNS サフィックスで設定
されているドメイン名やネットワーク環境など幾つかの条件を満たす場
合のみです。
対象となる製品は以下の通りです。
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows 2003 Server
- Microsoft Windows Vista
2007年12月11日現在、この問題に対する修正プログラムは公開されてい
ません。
この問題の回避策としては、組織内に WPAD というホストを用意し、設
定ファイル WPAD.DAT を作成する、あるいは各クライアント PC でプロ
キシ自動発見機能を無効にするなどの方法があります。
詳細についてはマイクロソフトのアドバイザリを参照下さい。
Cisco Security Agent for Microsoft Windows にバッファオーバーフローの脆弱性
Cisco Security Agent for Microsoft Windows には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者がサービス運用
妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があ
ります。
対象となる製品およびバージョンについては Cisco が提供する情報を
参照してください。
この問題は、Cisco が提供する修正済みのバージョンに Cisco Security
Agent for Microsoft Windows を更新することで解決します。
Cisco Security Advisories 99837
Cisco Security Agent for Windows System Driver Remote Buffer Overflow Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a008090a434.shtml
Cisco Applied Intelligence Response 99865
Identifying and Mitigating Exploitation of the CSA for Windows System Driver Remote Buffer Overflow Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a008090a445.html
Skype の URI 処理に脆弱性
P2P 電話ソフトである Skype には、skype4com URI の解析部分にバッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した skype4com URI にアクセスさせることで、任意のコードを実
行する可能性があります。
対象となるバージョンは以下の通りです。
- Skype for Windows 3.5.0.239 およびそれ以前
この問題は、Skype が提供するバージョン 3.6.0.216 に製品を更新す
ることで解決します。
Secunia Advisories
Skype skype4com URI Handler Buffer Overflow
http://secunia.com/advisories/27934/
Tk Toolkit にバッファオーバーフローの脆弱性
Tcl 向けの GUI ツールキットの Tk Toolkit には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が細工した GIF
画像を処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、
任意のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Tk Toolkit 8.4.12 以前のバージョン
- Tk Toolkit 8.3.5 以前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Tk Toolkit を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1415-1
tk8.4 -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1415.ja.html
Debian セキュリティ勧告 DSA-1416-1
tk8.3 -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1416.ja.html
Tk Toolkit
[ 1458234 ] Segmentation fault when using animated GIFs
https://sourceforge.net/tracker/?func=detail&atid=112997&aid=1458234&group_id=12997
Solaris に含まれる Mozilla の JavaScript エンジンに複数の脆弱性
Sun が提供する Mozilla の JavaScript エンジンには、複数の脆弱性が
あります。結果として、遠隔の第三者が細工した Web ページまたは電子
メールをユーザに閲覧させることで、サービス運用妨害 (DoS) 攻撃を行
ったり、そのユーザの権限で任意のコードを実行したりする可能性があ
ります。なお、この問題は、Mozilla Foundation のセキュリティアドバ
イザリ 2006-65「メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)」の
脆弱性の一部が該当します。詳細については、下記関連文書を参照してく
ださい。
対象となるプラットフォームおよびバージョンは以下の通りです。
- SPARC および x86 で動作する以下のバージョン
- Solaris 8、9、10 向けの Mozilla 1.7 以前
2007年12月11日現在、この問題に対する修正プログラムは提供されてい
ません。
回避策としては、JavaScript 機能を無効にするなどの方法があります。
この問題は JPCERT/CC REPORT 2006-11-15【1】で紹介した「Mozilla
製品における複数の脆弱性の修正」に含まれている問題と同じです。
Mozilla Foundation セキュリティアドバイザリ 2006-65
メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-65.html
JPCERT/CC REPORT 2006-11-15
【1】Mozilla 製品における複数の脆弱性の修正
http://www.jpcert.or.jp/wr/2006/wr064401.html#1
Sun Alert Notification 103139
Multiple Security Vulnerabilities in the JavaScript Engine in Mozilla 1.7 for Solaris 8, 9 and 10
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-103139-1
Cairo に複数の整数オーバーフローの脆弱性
ベクタグラフィックライブラリの Cairo には、複数の整数オーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が細工した PNG
画像を処理させることで、ユーザの権限で任意のコードを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- Cairo 1.4.12 以前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Cario を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
cairo
cairo 1.4.12 release available
http://cairographics.org/news/cairo-1.4.12/
Red Hat Security Advisory RHSA-2007:1078-3
Important: cairo security update
http://rhn.redhat.com/errata/RHSA-2007-1078.html
Mortbay Jetty に複数の脆弱性
Java ベースの Web サーバ、Mortbay Jetty には、複数の脆弱性があり
ます。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリ
プトを実行したり、セッションハイジャックを行ったり、サービス運用
妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- Mortbay Jetty 6.1.6rc0 以前のバージョン
この問題は、配布元が提供するバージョン 6.1.6 に Mortbay Jetty を
更新することで解決します。
Mortbay
jetty6 - Jetty WebServer
http://jetty.mortbay.org/
Mortbay
jetty-6.1.6 - 18 November 2007
http://svn.codehaus.org/jetty/jetty/trunk/VERSION.txt
ZABBIX に権限昇格の脆弱性
ネットワーク監視システムの ZABBIX には、権限昇格の脆弱性がありま
す。結果として、ローカルのユーザが管理者権限で任意のコードを実行
する可能性があります。
対象となるバージョンは以下の通りです。
- ZABBIX 1.4.3 以前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ZABBIX を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
ZABBIX SIA
ZABBIX 1.4.3
http://www.zabbix.com/rn1.4.3.php
Debian セキュリティ勧告 DSA-1420-1
zabbix -- プログラムミス
http://www.debian.org/security/2007/dsa-1420.ja.html
SonicStage CP にバッファオーバーフローの脆弱性
ソニーが提供する音楽管理アプリケーションソフトウェア、
SonicStage CP には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が細工したプレイリストファイルをユーザ
に取り込ませることで、サービス運用妨害 (DoS) 攻撃を行ったり、
任意のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- SonicStage Ver.4.0
- SonicStage Ver.4.1
- SonicStage Ver.4.2
- SonicStage Ver.4.3
この問題は、ソニーが提供する修正済みのバージョンに SonicStage CP
を更新することで解決します。
ソニー株式会社
SonicStage CP(SonicStage Ver.4.0/4.1/4.2/4.3)セキュリティ脆弱性対策アップデートプログラムご提供のお知らせ
http://www.sony.jp/pr/info/info071204.html
ソニー株式会社
SonicStage Ver.4.0以降をご使用のお客様へ重要なお知らせ
http://www.sony.jp/pr/info/info071106.html
独立行政法人 情報処理推進機構 セキュリティセンター
「SonicStage CP」におけるセキュリティ上の弱点(脆弱性)の注意喚起について
http://www.ipa.go.jp/security/vuln/200712_SonicStage.html
HttpLogger にクロスサイトスクリプティングの脆弱性
KLab 株式会社が提供する HttpLogger には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- HttpLogger 0.8.1
この問題は、KLab 株式会社が提供する修正済みのバージョンに
HttpLogger を更新することで解決します。
KLab 株式会社
「HttpLogger」バージョンアップのお知らせ
http://dsas.blog.klab.org/archives/51149337.html
担当者が選ぶ 2007年の重大ニュース
2007年もいよいよ残り少なくなってまいりました。今年も昨年に引き続
きこの場をお借りして、担当者が選んだコンピュータセキュリティにお
ける 2007年の重大ニュースをご紹介いたします。
- 情報セキュリティの脅威が国際政治の問題に
エストニアに対する大規模な DoS 攻撃や、アメリカ・イギリスなど
に対する情報詐取を目的としたサイバー攻撃など、国境を越えた大規
模インシデントが注目されました。エストニアの件ではエストニアの
国防担当大臣が「数日間にわたって、銀行のオンラインサービスなど
が利用不能になり国民の間に不安が広まった。金銭的被害よりも心理
的な負担が大きかった」と、振り返っています。
- CSIRT の必要性増す、CSIRT 同士の連携強化
組織的・戦略的なセキュリティ対策を取ることの必要性が認識され、
楽天などのように組織内 CSIRT を構築する企業や、NRIセキュアのよ
うに国際的な CSIRT フォーラムである FIRST に加盟する組織が増え
つつあります。同時に CSIRT 同士の繋がりを強化するべく日本シー
サート協議会が設立されました。
- 国内の金融機関を狙ったフィッシングの発生
2006年まではあまり目立たなかった日本の銀行、金融サービス事業者
に対するフィッシングサイトが相次いで確認されました。クレジット
カード番号などの金銭被害に直結する情報ではなく、住所や携帯電話
番号などの個人情報の入力を求めるサイトが目立った点が特徴的でし
た。
- 新しいテクノロジー
1月に Windows Vista が発売開始され、また、10月には Mac OS X
10.5 Leopard が発売開始されました。Windows Vista には Windows
Defender、BitLocker、UAC などのセキュリティへの新しい取組みが
導入されています。また IE7 にはフィッシング対策機能が追加され、
週に 90万アクセスをブロックしていると報告されています。
- 様々な Web サービスの普及とセキュリティ
Google Docs など新しい Web サービスの提供が進み、これまでのセ
キュリティの枠組では扱いにくい問題なども発生しています。総務省
は、SaaS において必要とされる情報セキュリティ対策を検討する
「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催してい
ます。
- Web 経由の脅威
Web ページを閲覧させることにより感染を広める攻撃が目立ちました。
中でも DNS Rebinding 攻撃や RSS へのスクリプト挿入攻撃などの新
たな攻撃手法が注目を集めましたが、実際に大規模な被害が確認され
たのは MPack によるものでした。MPack が注目された理由としては、
1) 入手が比較的容易であったこと 2) 様々なプラットフォームで稼
働する複数の攻撃コードが用いられたこと 3) 海外で多くの Web ペー
ジが改竄され、MPack が置かれた危険なサーバへ知らずにアクセスす
る被害が多発した点が挙げられます。また非常に多機能な管理プログ
ラム (Web インターフェース) が付属しており、攻撃者がページへの
アクセス数や被害に遭ったユーザの数等を容易に確認出来るような仕
組みが設けられていました。
最後になりましたが、今年1年の JPCERT/CC REPORT のご愛読、まこと
にありがとうございました。年内の JPCERT/CC REPORT 発行はあと2回
です。
来たる 2008年も JPCERT/CC REPORT をよろしくお願いいたします。
CSIRT - 日本シーサート協議会
http://www.nca.gr.jp/
【楽天市場】会社情報 ニュースリリース
コンピュータ関連事故の対応組織「CSIRT」を新設
http://www.rakuten.co.jp/info/release/2007/1206_1.html
NRIセキュアテクノロジーズ株式会社 ニュースリリース
NRIセキュアのインシデントレスポンスチーム(NCSIRT) FIRSTに加盟
http://www.nri-secure.co.jp/news/2007/1026.html
JPCERT/CC Alert 2007-04-03
国内金融機関を装ったフィッシングサイトに関する注意喚起
http://www.jpcert.or.jp/at/2007/at070009.txt
総務省(報道資料)
「ASP・SaaSの情報セキュリティ対策に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/070618_3.html
JPCERT/CC Alert 2007-06-28
複数の脆弱性を使用する攻撃ツール MPack に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070016.txt
Center for Strategic and International Studies (CSIS)
Statesmen's Forum: Jaak Aaviksoo, Minister of Defense, Republic of Estonia
http://www.csis.org/component/option,com_csis_events/task,view/id,1440/
IEBlog
The First Year of IE7
http://blogs.msdn.com/ie/archive/2007/11/30/the-first-year-of-ie7.aspx