JPCERT-WR-2009-4201
2009-11-05
2009-10-25
2009-10-31
Mozilla Firefox および SeaMonkey に複数の脆弱性
Mozilla Firefox および SeaMonkey には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、サービス運用
妨害 (DoS) 攻撃を行ったりする可能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.15
- Firefox 3.5.4
- SeaMonkey 2.0
詳細については、OS のベンダや配布元が提供する情報を参照してくだ
さい。
Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.4 - 2009/10/27 リリース
http://mozilla.jp/firefox/3.5.4/releasenotes/
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.15 - 2009/10/27 リリース
http://mozilla.jp/firefox/3.0.15/releasenotes/
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.4
Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.15 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.15
The SeaMonkey Project
SeaMonkey 2.0
http://www.seamonkey-project.org/releases/seamonkey2.0/
Red Hat Security Advisory RHSA-2009:1530-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1530.html
Red Hat Security Advisory RHSA-2009:1531-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1531.html
IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
IPv6 を実装した複数の製品には、Neighbor Discovery Protocol
(RFC4861) に関連したパケットの処理に起因する脆弱性があります。結
果として、ネットワーク内の同一リンク上の第三者が細工した大量のパ
ケットを処理させることで、サービス運用妨害 (DoS) 攻撃を行う可能
性があります。
この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。
ヤマハ
IPv6プロトコルにおけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/75368899.html
インターネットイニシアティブ
IPv6 ICMP redirect 受信による経路挿入の脆弱性
http://www.seil.jp/seilseries/security/2009/a00680.php
古河電気工業
IPv6のNDP実装におけるサービス運用妨害(DoS)の脆弱性
http://www.furukawa.co.jp/fitelnet/topic/vulnera_20091026.html
VMware 製品群に脆弱性
VMware 製品群には、複数の脆弱性があります。結果としてゲスト OS
のローカルユーザがゲスト OS 内で権限を昇格したり、ホストシステム
が接続しているネットワークにアクセス可能な遠隔の第三者がホストシ
ステムの機密情報を取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- VMware Workstation 6.5.2 およびそれ以前
- VMware Player 2.5.2 およびそれ以前
- VMware ACE 2.5.2 およびそれ以前
- VMware Server 2.0.1 およびそれ以前
- VMware Server 1.0.9 およびそれ以前
- VMware Fusion 2.0.5 およびそれ以前
- VMware ESXi 4.0 (ESXi400-200909401-BG 未適用のもの)
- VMware ESXi 3.5 (ESXe350-200910401-I-SG、ESXe350-200901401-I-SG
未適用のもの)
- VMware ESX 4.0 (ESX400-200909401-BG 未適用のもの)
- VMware ESX 3.5 (ESX350-200910401-SG、ESX350-200901401-SG 未適
用のもの)
- VMware ESX 3.0.3 (ESX303-200910401-BG、ESX303-200812406-BG 未
適用のもの)
- VMware ESX 2.5.5 (Upgrade Patch 15 未適用のもの)
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。
SEIL/X シリーズおよび SEIL/B1 に複数の脆弱性
インターネットイニシアティブのルータ製品 SEIL/X シリーズおよび
SEIL/B1 には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- SEIL/X1 firmware 2.30 から 2.51 まで
- SEIL/X2 firmware 2.30 から 2.51 まで
- SEIL/B1 firmware 2.30 から 2.51 まで
この問題は、インターネットイニシアティブが提供する修正済みのバー
ジョンに、該当する製品のファームウェアを更新することで解決します。
インターネットイニシアティブ
URLフィルタ機能の脆弱性
http://www.seil.jp/seilseries/security/2009/a00669.php
インターネットイニシアティブ
GREパケットに対するNAT処理に関する脆弱性
http://www.seil.jp/seilseries/security/2009/a00674.php
Web サイト経由でのマルウエア感染拡大に関する注意喚起
JPCERT/CC では、Web サイトが改ざんされ、意図しない JavaScript を
埋め込まれる事象が発生しているとの報告を多数受けています。改ざん
された Web サイトを閲覧した場合、別の Web サイトに誘導され、結果
としてマルウエアに感染する可能性があります。
JPCERT/CC では、この攻撃で Adobe Flash Player、Adobe Acrobat、
Adobe Reader の脆弱性が使用されていることを確認しています。今後、
新たな攻撃手法に備え、使用するコンピュータの OS やインストールさ
れているソフトウエアに最新のパッチを適用してください。
Windows 7 ・ Vista のサポート期間
マイクロソフト製品のビジネス、開発用ソフトウエアのサポートは「メ
インストリームサポート」、「延長サポート」のふたつのフェーズで提
供されています。
Windows 製品についても同様にふたつのフェーズが提供されており、エ
ディションによっては「延長サポート」が対象外となっています。お使
いの製品のサポート期間について確認し、今後の移行計画など必要な対
応について検討しておくことをおすすめします。
マイクロソフト プロダクト サポート ライフサイクル
http://support.microsoft.com/lifecycle/?c1=509
Microsoft サポート オンライン
マイクロソフト サポート ライフサイクル
http://support.microsoft.com/gp/lifecycle