JPCERT-WR-2009-0401
2009-01-28
2009-01-18
2009-01-24
Apple QuickTime 製品に複数の脆弱性
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した URL にアクセスさせたり、ムービーファイルを閲覧
させたりすることで、任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Apple Mac OS X 版 QuickTime 7.5 およびそれ以前
- Microsoft Windows 版 QuickTime 7.5 およびそれ以前
なお、iTunes など QuickTime を使用するソフトウェアをインストール
している場合も影響を受けます。詳細については、Apple が提供する情
報を参照してください。
この問題は、Apple が提供する修正済みのバージョン 7.6 に QuickTime
を更新することで解決します。
Japan Vulnerability Notes JVNTA09-022A
Apple QuickTime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-022A/index.html
アップル
QuickTime - ダウンロード
http://www.apple.com/jp/quicktime/download/
Apple Support HT3403
About the security content of QuickTime 7.6
http://support.apple.com/kb/HT3403
Apple security-announce Mailing List
APPLE-SA-2009-01-21 QuickTime 7.6
http://lists.apple.com/archives/security-announce/2009/Jan/msg00000.html
Cisco Security Manager に認証回避の脆弱性
Cisco Security Manager には、認証回避の脆弱性があります。結果と
して、遠隔の第三者が root 権限で IEV データベースおよび IEV サー
バにアクセスする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Security Manager 3.1 系の各バージョン
- Cisco Security Manager 3.2.2 より前の 3.2 系の各バージョン
なお、対象のシステムで IEV が使用されていない場合、Cisco Security
Manager は本脆弱性の影響を受けません。
この問題は、Cisco が提供するパッチを該当する製品に適用することで
解決します。詳細については Cisco が提供する情報を参照してくださ
い。
Cisco Security Advisory 109370
Cisco Security Manager Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml
Sun SPARC Enterprise Server に認証回避の脆弱性
Sun SPARC Enterprise Server には、出荷時の設定に起因する認証回避
の脆弱性があります。結果として、遠隔の第三者が root 権限で
eXtended System Control Facility Unit (XSCFU) にログインする可能
性があります。
対象となる製品は以下の通りです。
- 2008年に製造されたシリアル番号の週表示部分が 38 から 49 までの
SPARC Enterprise M4000/M5000 Server
この問題は、Sun が提供する設定情報を適用することで解決します。詳
細については、Sun が提供する情報を参照してください。
Sun Alert Notification 249126
Incorrect Software Setting Prior to Shipping on Certain Sun SPARC M4000/M5000 Servers May Allow Unauthorized Access
http://sunsolve.sun.com/search/document.do?assetkey=1-66-249126-1
futomi's CGI Cafe の全文検索CGI に管理者権限奪取の脆弱性
futomi's CGI Cafe の全文検索CGI には、管理者権限が奪取可能である
脆弱性があります。結果として、遠隔の第三者が全文検索CGI の管理者
になりすます可能性があります。
対象となるバージョンは以下の通りです。
- 全文検索CGI Ver. 1.1.2 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに全文検索CGI を
更新することで解決します。
futomi's CGI Cafe
全文検索CGI 新バージョンの提供について
http://www.futomi.com/library/info/2009/20090123.html
ソフトウエア難読化 (Software Obfuscation)
ソフトウエアの本来の機能を保持したまま、そのソフトウエアを解析さ
れることを防ぐためにソフトウエア難読化が行われることがあります。
不要なコードを紛れ込ませたり、コードの順番を入れかえたり、ソース
コード自身に特殊なエンコードを行ったりしてソフトウエアの挙動を隠
ぺいします。
ソフトウエアのアイデアやノウハウなどを保護する目的で研究されてい
ましたが、現在では攻撃者が難読化された JavaScript やマルウエアを
使用する例が増えています。これにはパターンマッチによる検知を防い
だり、マルウエア作者の意図を秘匿する狙いがあると考えられています。
msdn Visual Studio 2008 Developer Center
Dotfuscator Community Edition 4.0
http://msdn.microsoft.com/ja-jp/library/ms227240.aspx