-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3101 JPCERT/CC 2009-08-12 <<< JPCERT/CC WEEKLY REPORT 2009-08-12 >>> ―――――――――――――――――――――――――――――――――――――― ■08/02(日)〜08/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple 製品に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】Java Runtime Environment (JRE) に複数の脆弱性 【4】複数の XML ライブラリの実装に脆弱性 【5】FreeNAS に複数の脆弱性 【6】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ 【今週のひとくちメモ】Adobe Flash プラグインの更新に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093101.html https://www.jpcert.or.jp/wr/2009/wr093101.xml ============================================================================ 【1】Apple 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA09-218A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-218A.html US-CERT Cyber Security Alert SA09-218A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-218A.html DOE-CIRC Technical Bulletin T-204 Apple Mac OS X 2009-003 Multiple Security Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-204.shtml 概要 Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 - Apple Mac OS X 10.5.7 およびそれ以前 - Apple Mac OS X Server 10.4.11 およびそれ以前 - Apple Mac OS X Server 10.5.7 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT3757 セキュリティアップデート 2009-003/Mac OS X v10.5.8 のセキュリティコンテンツについて http://support.apple.com/kb/HT3757?viewlocale=ja_JP Japan Vulnerability Notes JVNTA09-218A Apple 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA09-218A/index.html 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 3.0.13 and Firefox 3.5.2 http://www.us-cert.gov/current/archive/2009/08/06/archive.html#mozilla_releases_security_advisories DOE-CIRC Technical Bulletin T-202 Mozilla Firefox Error Page Address Bar URL Spoofing Vulnerability http://www.doecirc.energy.gov/bulletins/t-202.shtml 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、ユーザのブラウザ上で任意の スクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに該当する製品を更新することで解決します。Mozilla から は、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.13 - Firefox 3.5.2 2009年8月11日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.2 - 2009/08/03 リリース http://mozilla.jp/firefox/3.5.2/releasenotes/ Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.13 - 2009/08/03 リリース http://mozilla.jp/firefox/3.0.13/releasenotes/ Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.2 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.2 Firefox 3.0 セキュリティアドバイザリ Firefox 3.0.13 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.13 【3】Java Runtime Environment (JRE) に複数の脆弱性 情報源 US-CERT Current Activity Archive Sun Releases Update 15 for Java SE 6 http://www.us-cert.gov/current/archive/2009/08/07/archive.html#sun_releases_java_se_6 DOE-CIRC Technical Bulletin T-203 Sun Java Runtime Environment Audio System Privilege Escalation Vulnerability http://www.doecirc.energy.gov/bulletins/t-203.shtml 概要 Java Runtime Environment (JRE) には、複数の脆弱性があります。結果とし て、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。今後、修正プログラムは提供されません。後継の バージョンへの対応をおすすめします。 関連文書 (英語) Sun Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u15.html Sun Microsystems JDK 5.0u20 Release Notes http://java.sun.com/j2se/1.5.0/ReleaseNotes.html#150_20 Sun Alert 263408 A Security Vulnerability in the Java Runtime Environment Audio System may Allow System Properties to be Accessed http://sunsolve.sun.com/search/document.do?assetkey=1-66-263408-1 【4】複数の XML ライブラリの実装に脆弱性 情報源 Japan Vulnerability Notes JVNVU#817433 複数の XML ライブラリの実装に脆弱性 https://jvn.jp/cert/JVNVU817433/index.html 概要 複数の XML ライブラリの実装には、XML データの解析に起因する複数 の脆弱性があります。結果として、遠隔の第三者が細工したファイルを 処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意の コードを実行したりする可能性があります。 対象となることが確認されている実装は以下の通りです。 - Python libexpat - Apache Xerces のすべてのバージョン - libxml2 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 - OpenJDK 1.6 その他の実装も影響を受ける可能性があります。 この問題は、各ベンダや配布元が提供する修正済みのバージョンに、該 当する実装を更新することで解決します。詳細については、各ベンダや 配布元が提供する情報を参照してください。 関連文書 (英語) CERT-FI Advisory on XML libraries http://www.cert.fi/en/reports/2009/vulnerability2009085.html Sun Alert 263489 A Security Vulnerability in the Java Runtime Environment (JRE) With Parsing XML Data May Allow a Remote Client to Create a Denial of Service (DoS) Condition http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1 【5】FreeNAS に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#15267895 FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN15267895/index.html Japan Vulnerability Notes JVN#89791790 FreeNAS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN89791790/index.html 概要 FreeNAS には、複数の脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行したり、細工した HTML 文書をユーザに閲覧させることで設定を変更したり、データを削除した りする可能性があります。 対象となるバージョンは以下の通りです。 - FreeNAS 0.69.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに FreeNAS を更 新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター 「FreeNAS」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html 関連文書 (英語) FreeNAS: The Free NAS Server FreeNAS 0.7RC1 (Sardaukar) http://www.freenas.org/index.php?option=com_frontpage&Itemid=22 【6】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加者募集のお知らせ 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 8月7日に開催した part2 はおかげさまで定員を超えるご応募を頂きま した。多くの方のご参加をお待ちしております。 日時: part3 <動的メモリ管理・書式指定文字列> 2009年09月10日(金) 13:00 〜 17:30 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名 関連文書 (日本語) JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Adobe Flash プラグインの更新に注意 Adobe Flash は、インタラクティブなアニメーションや音声を表現する フォーマットとして様々な場面で利用されています。例えば、 PowerPoint や Excel などのアプリケーションのドキュメントにも Flash を埋め込むことが可能です。このような Windows のアプリケー ションでは Internet Explorer (IE) のプラグインを利用して Flash を表示しています。 Web ブラウザとして IE を利用していない場合でも、IE 用の古い Flash プラグインがインストールされている場合、その脆弱性の影響を 受ける可能性があります。JPCERT/CC では、細工された Flash コンテ ンツを Excel ファイルに埋め込んだ攻撃を確認しています。 普段利用していない Web ブラウザに関しても、プラグインの更新作業 を適切に行うように注意してください。 参考文献 (日本語) JPCERT/CC REPORT 2008-01-17 【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意 http://www.jpcert.or.jp/wr/2008/wr080201.html#Memo 参考文献 (英語) SophosLabs blog Flash in the Formula! http://www.sophos.com/blogs/sophoslabs/v/post/5798 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSoIOzTF9l6Rp7OBIAQj7agf8DezTt+TN7ye7yScoMC99Ax7sKaWS83oh zpB9XMb2HqpIlSKmZ7mFJ2ZXSvP6dXhqEorL5f083cbMCTWiXvZ1wlI6hZ1v2Qry 5R3J9FMMbIReMVRsHmTPiATJ80peBP2PCwh/rtTJaWnDgHZ6Z6r9ZReEKYzhWsmg eYlOAnZ83OpoWjCFCu8Y9nBrdp4YDC98NgwynFguIIMepghYUknNsV0JTY0Q7Ybd 7N/7rg5iEV8kzaHt+NnJbpqLtxTs1iNa5rv3xGmm/6lGt96ovnkHwlmR01koMEmO NMeK9HakmUsLCtMEsDtc6y7WOzgpd4sixuHpqh93TekvI0ZkcpDGAg== =B9ia -----END PGP SIGNATURE-----