-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2701 JPCERT/CC 2009-07-15 <<< JPCERT/CC WEEKLY REPORT 2009-07-15 >>> ―――――――――――――――――――――――――――――――――――――― ■07/05(日)〜07/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Video ActiveX コントロールにバッファオーバーフローの脆弱性 【2】Apple Safari に複数の脆弱性 【3】WordPress に複数の脆弱性 【4】FCKeditor にディレクトリトラバーサルの脆弱性 【5】韓国、米国で発生している DDoS 攻撃に関する注意喚起 【6】JPCERT/CC インシデント報告の Web フォームによる受け付けを開始 【今週のひとくちメモ】JP ドメイン名サービスへの DNSSEC の導入予定について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092701.html https://www.jpcert.or.jp/wr/2009/wr092701.xml ============================================================================ 【1】Microsoft Video ActiveX コントロールにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#180513 Microsoft Video ActiveX control stack buffer overflow http://www.kb.cert.org/vuls/id/180513 US-CERT Technical Cyber Security Alert TA09-187A Microsoft Video ActiveX Control Vulnerability http://www.us-cert.gov/cas/techalerts/TA09-187A.html US-CERT Cyber Security Alert SA09-187A Microsoft Video ActiveX Control Vulnerability http://www.us-cert.gov/cas/alerts/SA09-187A.html 概要 Microsoft Video ActiveX コントロールには、バッファオーバーフロー の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書 を閲覧させることで、ユーザの権限で任意のコードを実行する可能性が あります。なお、マイクロソフトによると本脆弱性を使用した攻撃活動 が確認されています。 対象となるプラットフォームは以下の通りです。 - Microsoft Windows XP - Microsoft Windows Server 2003 2009年7月14日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。また、マイクロソフトは Microsoft Video ActiveX コントロー ルを無効にする回避策として「Fix it」を公開しています。詳細につい ては、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (972890) Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/972890.mspx マイクロソフト サポート技術情報 (972890) マイクロソフト セキュリティ アドバイザリ: Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される http://support.microsoft.com/kb/972890/ja Japan Vulnerability Notes JVNTA09-187A Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNTA09-187A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft Video ActiveX コントロール の脆弱性(MS 972890)について http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html 【2】Apple Safari に複数の脆弱性 情報源 Apple Support HT3666 Safari 4.0.2 のセキュリティコンテンツについて http://support.apple.com/kb/HT3666?viewlocale=ja_JP 概要 Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となるバージョンは以下の通りです。 - Safari 4.0.2 より前のバージョン (Mac OS X 版、Windows 版) この問題は、Apple が提供する修正済みのバージョン Safari 4.0.2 に 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。 関連文書 (日本語) Apple Support Download Safari 4 http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity Archive WordPress Releases Version 2.8.1 http://www.us-cert.gov/current/archive/2009/07/10/archive.html#wordpress_releases_version_2_8 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者 が機密情報を閲覧したり、アカウント情報を推測したりする可能性があ ります。 対象となるバージョンは以下の通りです。 - WordPress 2.8.1 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。 関連文書 (英語) WordPress Blog WordPress 2.8.1 http://wordpress.org/development/2009/07/wordpress-2-8-1/ 【4】FCKeditor にディレクトリトラバーサルの脆弱性 情報源 US-CERT Current Activity Archive FCKeditor Releases Version 2.6.4.1 http://www.us-cert.gov/current/archive/2009/07/10/archive.html#fckeditor_releases_version_2_6 DOE-CIRC Technical Bulletin T-177 FCKeditor input sanitization errors http://www.doecirc.energy.gov/bulletins/t-177.shtml 概要 FCKeditor には、入力の検証処理に起因するディレクトリトラバーサル の脆弱性があります。結果として、遠隔の第三者がサーバの任意のディ レクトリ内を閲覧したり、任意の場所へ実行可能なファイルをアップロー ドしたりする可能性があります。なお、本脆弱性を使用した攻撃活動が 確認されているとの報告があります。 対象となるバージョンは以下の通りです。 - FCKeditor 2.6.4.1 より前のバージョン また、Adobe ColdFusion には FCKeditor が同梱されており、本脆弱性 の影響を受ける可能性があります。詳細については、下記関連文書を参 照してください。 この問題は、配布元が提供する修正済みのバージョンに FCKeditor を 更新することで解決します。 関連文書 (英語) FCKeditor Download http://www.fckeditor.net/download FCKeditor What's New? Version 2.6.4.1 (Download Zip or GZip from Sourceforge.net) http://www.fckeditor.net/whatsnew#2.6.4.1 Adobe Security bulletin APSB09-09 Hotfix available for potential ColdFusion 8 input sanitization issue http://www.adobe.com/support/security/bulletins/apsb09-09.html 【5】韓国、米国で発生している DDoS 攻撃に関する注意喚起 情報源 JPCERT/CC Alert 2009-07-10 韓国、米国で発生している DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2009/at090012.txt 概要 韓国と米国において、特定のウイルスに感染したコンピュータによるも のと見られる DDoS 攻撃が、政府機関や金融機関などの Web サイトに 対して発生しているとの情報を得ています。JPCERT/CC では、日本国内 にこの DDoS 攻撃に用いられたコンピュータが複数あるとの報告を受け ています。今後国内での感染がさらに広まる危険を考慮し、注意喚起を 発行しました。 【6】JPCERT/CC インシデント報告の Web フォームによる受け付けを開始 情報源 JPCERT/CC インシデント報告の届出 https://www.jpcert.or.jp/form/index.html 概要 JPCERT/CC は 2009年7月9日、インシデント報告の Web フォームによる 受け付けを開始しました。 JPCERT/CC では、皆様から多くのコンピュータセキュリティインシデン ト情報を報告頂くことで、セキュリティインシデントに関する全体の現 状をより正確に把握し、ひいては、インターネットコミュニティの発展 に貢献することができると考えています。そこで、広く皆様に情報提供 のご協力をお願いします。 なお、公開後システムメンテナンスにより Web フォームによる受け付 けを一時停止していましたが、2009年7月13日 17:00 より再開していま す。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JP ドメイン名サービスへの DNSSEC の導入予定について 2009年7月9日、JPRS は JP ドメイン名サービスへの DNSSEC 導入予定 を発表しています。 JPRS は、2010年中を目処に JPドメイン名サービスへ DNSSEC を導入す る予定であり、今後、さまざまな立場の DNS 関係者に向けた情報提供 や普及促進活動を併せて行っていく予定とのことです。 参考文献 (日本語) JPRS JPドメイン名サービスへのDNSSECの導入予定について http://jprs.jp/info/notice/20090709-dnssec.html JPCERT/CC WEEKLY REPORT 2009-06-10 【今週のひとくちメモ】.ORG ドメインで DNSSEC 運用開始 https://www.jpcert.or.jp/wr/2009/wr092201.html#Memo JPCERT/CC REPORT 2008-09-18 【今週のひとくちメモ】DNSSEC の導入に向けた動き https://www.jpcert.or.jp/wr/2008/wr083601.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSl0q4zF9l6Rp7OBIAQi5CggArT48QOq7d5wZjdOmhQI2beA3sUCAMc4g njZu+Qc+vN9NexTOidt9CpPRKzSlnu8YFUhqotc6BVv9HInAy0hWjpZDPhsXV/GK Kbk0qrCmVaLJ3YdxAf2bBdZ3voOKgaT2ohhtppAtwiJ6HWIA3LPMP419kmJmXn0e Dn7f1iLD3uoVCAHRqGsk567q5fscscHp+Cmmn8VqckKJFTt+8TV5yN0BWHbdwEcD ftd/6ZyOx+bCMR1B5zOxNIoCxEe7/UeIENfX82Jsbw4rDbDjcOiqIzfZE4qbwowp LH+k3AhBb/UosIf8i64jIBBZwpQXHRa8qwRNEGsSwtqxRqMi+OCw/Q== =gb5D -----END PGP SIGNATURE-----