JPCERT-WR-2009-1001
2009-03-11
2009-03-01
2009-03-07
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったり、機密情報を取得したりするなどの可能性があり
ます。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.7
なお、2009年3月10日現在、SeaMonkey および Thunderbird の修正プロ
グラムは提供されていません。詳細については、OS のベンダや配布元
が提供する情報を参照してください。
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.7 - 2009/03/04 リリース
http://mozilla.jp/firefox/3.0.7/releasenotes/
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Red Hat Security Advisory RHSA-2009:0315-4
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0315.html
Red Hat Security Advisory RHSA-2009:0325-4
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0325.html
Opera ブラウザに複数の脆弱性
Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Opera 9.64 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Opera ブラウザを更新することで解決します。
Opera Software
Opera ブラウザ
http://jp.opera.com/
Opera Software
Opera 9.64 for Windows 更新履歴
http://jp.opera.com/docs/changelogs/windows/964/
Opera Software - Knowledge Base
Advisory: Specially crafted JPEG images can be used to execute arbitrary code
http://www.opera.com/support/kb/view/926/
libpng に脆弱性
libpng には、エレメントポインタが適切に初期化されないことに起因
する脆弱性があります。結果として、遠隔の第三者が細工した PNG ファ
イルを処理させることで任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- libpng-1.0.43 より前のバージョン
- libpng-1.2.35 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに libpng を更新することで解決します。なお、本脆弱性の
影響は、libpng を利用しているアプリケーションにもおよぶので注意
してください。
Japan Vulnerability Notes JVNVU#649212
libpng が適切にエレメントポインタを初期化しない脆弱性
http://jvn.jp/cert/JVNVU649212/index.html
libpng Home Page
Vulnerability Warning
http://www.libpng.org/pub/png/libpng.html
Red Hat Security Advisory RHSA-2009:0333-7
Moderate: libpng security update
https://rhn.redhat.com/errata/RHSA-2009-0333.html
Novell eDirectory の管理コンソールにバッファオーバーフローの脆弱性
Novell eDirectory の管理コンソールには、バッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が細工した HTTP リクエ
ストを処理させることで、SYSTEM または root の権限で任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。
対象となるバージョンは以下の通りです。
- Novell eDirectory 8.8 SP3 FTF2
- Novell eDirectory 8.7.3
この問題は、Novell が提供するパッチを eDirectory に適用すること
で解決します。詳細については、Novell が提供する情報を参照してく
ださい。
Novell
Novell Downloads
http://download.novell.com/index.jsp?product_id=&search=Search&tab=patches&families=2597&version=&date_range=&keywords=&sort_by=&x=42&y=14
Novell
eDirectory 8.8 SP3 FTF3 for Windows
http://download.novell.com/Download?buildid=Cf15mVyA3GI~
Novell
eDirectory 8.8 SP3 FTF3 for NetWare
http://download.novell.com/Download?buildid=lXrwD8NOc90~
Novell
eDirectory 8.8 SP3 FTF3 for Linux & Unix
http://download.novell.com/Download?buildid=ZEya4WZ613k~
「技術メモ−クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜」公開のお知らせ
2009年3月3日、JPCERT/CC は「技術メモ − クリックジャッキング対策
〜X-FRAME-OPTIONSについて〜」を公開しました。
本文書は、Webサイト制作者及び運営者を対象に、クリックジャッキン
グ攻撃の概要とその対策の一つとして X-FRAME-OPTIONS の概要、記述
方法、設定値による挙動の違いについて解説します。
「重要インフラ情報セキュリティフォーラム2009」資料公開のお知らせ
JPCERT コーディネーションセンターは、2009年2月20日に東京ベルサー
ル八重洲において開催した重要インフラ情報セキュリティフォーラム
2009 の講演資料を公開しました。本フォーラムは、重要インフラ事業
者 (情報通信、金融、電力、航空、鉄道、ガス、政府・行政サービス、
医療、水道、物流等の事業に係わる方)及び重要インフラ事業者にシス
テムを提供するベンダー等を主な対象として、情報セキュリティ上の課
題や対策等に関する講演を中心に実施したものです。
JDK/JRE のサポート状況
現在サポートされている JDK/JRE の最新バージョンは以下の通りです。
- JDK/JRE 6 Update 12 (1.6.0 update 12)
- JDK/JRE 5.0 Update 17 (1.5.0 update 17)
2009年10月30日まで EOL transition 期間中です。
その後 EOSL (End Of Service Life) となる予定です。
Java AutoUpdate では、セキュリティ対策が含まれていない場合などに
は、最新のバージョンが配布されるわけではありません。実際に
update 12 をインストールする場合にはマニュアルでダウンロードとイ
ンストールを行う必要があります。
Sun によると 2009年第一四半期に予定されているアップデートではセ
キュリティ対策を取り込んだリリースとなる予定です。
JDK 6 Project
jdk6: Java SE 6
https://jdk6.dev.java.net/
Sun Developer Network (SDN)
Java SE 6 Update 12 Release Notes
http://java.sun.com/javase/6/webnotes/6u12.html
Sun Developer Network (SDN)
Java SE & Java SE for Business Support Road Map
http://java.sun.com/products/archive/eol.policy.html