JPCERT-WR-2009-3101 2009-08-12 2009-08-02 2009-08-08

US-CERT Technical Cyber Security Alert TA09-218A http://www.us-cert.gov/cas/techalerts/TA09-218A.html US-CERT Cyber Security Alert SA09-218A http://www.us-cert.gov/cas/alerts/SA09-218A.html DOE-CIRC Technical Bulletin T-204 http://www.doecirc.energy.gov/bulletins/t-204.shtml

Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 - Apple Mac OS X 10.5.7 およびそれ以前 - Apple Mac OS X Server 10.4.11 およびそれ以前 - Apple Mac OS X Server 10.5.7 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。

Apple Support HT3757 http://support.apple.com/kb/HT3757?viewlocale=ja_JP Japan Vulnerability Notes JVNTA09-218A https://jvn.jp/cert/JVNTA09-218A/index.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/08/06/archive.html#mozilla_releases_security_advisories DOE-CIRC Technical Bulletin T-202 http://www.doecirc.energy.gov/bulletins/t-202.shtml

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、ユーザのブラウザ上で任意の スクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに該当する製品を更新することで解決します。Mozilla から は、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.13 - Firefox 3.5.2 2009年8月11日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。

Mozilla Japan http://mozilla.jp/firefox/3.5.2/releasenotes/ Mozilla Japan http://mozilla.jp/firefox/3.0.13/releasenotes/ Firefox 3.5 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.2 Firefox 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.13

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/08/07/archive.html#sun_releases_java_se_6 DOE-CIRC Technical Bulletin T-203 http://www.doecirc.energy.gov/bulletins/t-203.shtml

Java Runtime Environment (JRE) には、複数の脆弱性があります。結果とし て、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。今後、修正プログラムは提供されません。後継の バージョンへの対応をおすすめします。

Sun Java SE 6 http://java.sun.com/javase/6/webnotes/6u15.html Sun Microsystems http://java.sun.com/j2se/1.5.0/ReleaseNotes.html#150_20 Sun Alert 263408 http://sunsolve.sun.com/search/document.do?assetkey=1-66-263408-1

Japan Vulnerability Notes JVNVU#817433 https://jvn.jp/cert/JVNVU817433/index.html

複数の XML ライブラリの実装には、XML データの解析に起因する複数 の脆弱性があります。結果として、遠隔の第三者が細工したファイルを 処理させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意の コードを実行したりする可能性があります。 対象となることが確認されている実装は以下の通りです。 - Python libexpat - Apache Xerces のすべてのバージョン - libxml2 - JDK/JRE 6 Update 14 およびそれ以前 - JDK/JRE 5.0 Update 19 およびそれ以前 - OpenJDK 1.6 その他の実装も影響を受ける可能性があります。 この問題は、各ベンダや配布元が提供する修正済みのバージョンに、該 当する実装を更新することで解決します。詳細については、各ベンダや 配布元が提供する情報を参照してください。

CERT-FI http://www.cert.fi/en/reports/2009/vulnerability2009085.html Sun Alert 263489 http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1

Japan Vulnerability Notes JVN#15267895 https://jvn.jp/jp/JVN15267895/index.html Japan Vulnerability Notes JVN#89791790 https://jvn.jp/jp/JVN89791790/index.html

FreeNAS には、複数の脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行したり、細工した HTML 文書をユーザに閲覧させることで設定を変更したり、データを削除した りする可能性があります。 対象となるバージョンは以下の通りです。 - FreeNAS 0.69.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに FreeNAS を更 新することで解決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html FreeNAS: The Free NAS Server http://www.freenas.org/index.php?option=com_frontpage&Itemid=22

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 8月7日に開催した part2 はおかげさまで定員を超えるご応募を頂きま した。多くの方のご参加をお待ちしております。 日時: part3 ＜動的メモリ管理・書式指定文字列＞ 2009年09月10日(金) 13:00 〜 17:30 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-application.html

Adobe Flash は、インタラクティブなアニメーションや音声を表現する フォーマットとして様々な場面で利用されています。例えば、 PowerPoint や Excel などのアプリケーションのドキュメントにも Flash を埋め込むことが可能です。このような Windows のアプリケー ションでは Internet Explorer (IE) のプラグインを利用して Flash を表示しています。 Web ブラウザとして IE を利用していない場合でも、IE 用の古い Flash プラグインがインストールされている場合、その脆弱性の影響を 受ける可能性があります。JPCERT/CC では、細工された Flash コンテ ンツを Excel ファイルに埋め込んだ攻撃を確認しています。 普段利用していない Web ブラウザに関しても、プラグインの更新作業 を適切に行うように注意してください。 JPCERT/CC REPORT 2008-01-17 http://www.jpcert.or.jp/wr/2008/wr080201.html#Memo SophosLabs blog http://www.sophos.com/blogs/sophoslabs/v/post/5798