-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-4301 JPCERT/CC 2009-11-11 <<< JPCERT/CC WEEKLY REPORT 2009-11-11 >>> ―――――――――――――――――――――――――――――――――――――― ■11/01(日)〜11/07(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Java Runtime Environment (JRE) に複数の脆弱性 【2】Adobe Shockwave Player に複数の脆弱性 【3】BlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性 【4】Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性 【5】Internet Week 2009 のお知らせ 【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第7版 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr094301.html https://www.jpcert.or.jp/wr/2009/wr094301.xml ============================================================================ 【1】Java Runtime Environment (JRE) に複数の脆弱性 情報源 US-CERT Current Activity Archive Sun Releases Update 17 for Java SE 6 http://www.us-cert.gov/current/archive/2009/11/06/archive.html#sun_releases_update_17_for DOE-CIRC Technical Bulletin T-267 Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment http://www.doecirc.energy.gov/bulletins/t-267.shtml 概要 Java Runtime Environment (JRE) には、複数の脆弱性があります。結 果として、遠隔の第三者が細工した Web ページを閲覧させることで認 証を回避したり、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 16 およびそれ以前 - JDK/JRE 5.0 Update 21 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、JDK/JRE 5.0 系列は、2009年10月30日でサポートを終了していま す。今後修正プログラムは提供されません。後継のバージョンへの対応 をおすすめします。 関連文書 (英語) Sun Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u17.html Sun Alert 269868 The Java Update Mechanism on Non-English Versions Does Not Update the JRE When a New Version is Available http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1 Sun Alert 269869 Command Execution Vulnerability in the Java Runtime Environment Deployment Toolkit May be Leveraged to Execute Arbitrary Code http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1 Sun Alert 269870 Security Vulnerability in the Java Web Start Installer May be Leveraged to Allow Untrusted Java Web Start Application to Run As Trusted Application http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1 Sun Alert 270474 Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment With Processing Audio and Image Files May Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1 Sun Alert 270475 A Security Vulnerability in the Java Runtime Environment With Verifying HMAC Digests may Allow Authentication to be Bypassed http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1 Sun Alert 270476 Two Security Vulnerabilities in the Java Runtime Environment With Decoding DER Encoded Data and Parsing HTTP Headers may Result in a Denial of Service (DoS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1 【2】Adobe Shockwave Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Update for Shockwave Player http://www.us-cert.gov/current/archive/2009/11/06/archive.html#adobe_releases_update_for_shockwave1 概要 Adobe Shockwave Player には、複数の脆弱性があります。結果として 遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.2.601 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player を更新することで解決します。詳細については Adobe が提供する情報を参照してください。 関連文書 (英語) Adobe Security Bulletin APSB09-16 Security updates available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb09-16.html 【3】BlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive BlackBerry Desktop Manager Vulnerability http://www.us-cert.gov/current/archive/2009/11/06/archive.html#blackberry_desktop_manager_vulnerability DOE-CIRC Technical Bulletin T-265 BlackBerry Desktop Manager ActiveX Control Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-265.shtml 概要 BlackBerry Desktop Manager ActiveX コントロールには、バッファオー バーフローの脆弱性があります。遠隔の第三者が細工した HTML 文書を 閲覧させることで、該当する ActiveX コントロールを使用しているユー ザの権限で任意のコードを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - BlackBerry Desktop Software 5.0 およびそれ以前 この問題は、Research In Motion が提供する修正済みのバージョンに、 BlackBerry Desktop Software を更新することで解決します。詳細につ いては、Research In Motion が提供する情報を参照してください。 関連文書 (英語) Research In Motion - Security Advisory KB19701 Vulnerability in the BlackBerry Desktop Manager allows remote code execution http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19701 【4】Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#75694913 Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN75694913/index.html Japan Vulnerability Notes JVN#72974205 Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN72974205/index.html 概要 Roundcube Webmail Project が提供する Web メールアプリケーション Roundcube Webmail には、クロスサイトリクエストフォージェリの脆弱 性があります。結果として、遠隔の第三者がユーザの意図しない情報を 登録したり、意図しないメールを送信したりする可能性があります。 対象となるバージョンは以下の通りです。 - Roundcube Webmail 0.2.2 およびそれ以前 この問題は、Roundcube Webmail Project が提供する修正済みのバージョ ンに Roundcube Webmail を更新することで解決します。 関連文書 (英語) Roundcube Webmail Project The Roundcube project news http://roundcube.net/news Roundcube Webmail Project Downloading Roundcube webmail http://roundcube.net/download 【5】Internet Week 2009 のお知らせ 情報源 JPCERT/CC イベント情報 Internet Week 2009 https://www.jpcert.or.jp/event/internetweek2009.html 概要 2009年11月24日(火) より 11月27日(金) まで、秋葉原コンベンション ホールにおいて JPNIC 主催の Internet Week 2009 が開催されます。 Internet Week は、インターネットに関する技術の研究・開発、構築・ 運用・サービスに関わる人々が一堂に会し、主にインターネットの基盤 技術の基礎知識や最新動向を学び、議論し、理解と交流を深めるための イベントです。 参加登録申込みについては、以下の Web ページをご参照ください。 事前申込は 11月13日(金) 18:00 までとなっています。この期間にお申 し込みいただきますと、事前割引料金でご参加いただけます。 関連文書 (日本語) Internet Week 2009 Internet Week 2009 お申し込みに関して https://internetweek.jp/apply/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトセキュリティインテリジェンスレポート 第7版 マイクロソフトは、2009年上半期の脆弱性やマルウエア動向についてま とめた、マイクロソフトセキュリティインテリジェンスレポートを 2009年11月2日に公開しています。セキュリティインテリジェンスレポー トは、半年ごとに公開されており、今回は第7版の公開となります。 今回のレポートでは OS のバージョン毎の違いによるウイルス感染率や、 各地域で蔓延しているマルウエアの種別などが報告されています。また、 悪用された脆弱性の半分以上は 2006年に対応された古いものであるな ど、システム管理者にとっても有益な情報が掲載されています。 レポート全文は英語のみでの公開となっていますが、要約版については 日本語でも提供されています。 参考文献 (日本語) マイクロソフト セキュリティ ホーム マイクロソフト セキュリティ インテリジェンス レポート http://www.microsoft.com/japan/security/contents/sir.mspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJK+gf3AAoJEDF9l6Rp7OBIYZoH/iMfMMEYpFhwsvMOYjrknt7G dpWPhhib/8UJJvxwPCSaX+Fu3wUqa91aTjtT9Fwuo8I4TYGgJlhK6sELlr1lshbf hVlx3wZPWsQafVeXlbQML2fyL31MCcHMZf5quYkf5LdGxpc4Dyjr7A8PvWzt3gLP fLo+eyyhLXz8KXetMiXwRgPZZI35OBXueKHSb6iUAPLIKLVDVkH7I6IvJEoh5tNU 5IU75lvROg1AUcvA47ujC3bjtgHeLBf5aZpeuVCLaZsiTyDxpEZ9hppdm8RDJnW8 P+D+uNoIoxiRguSyIVXoZ112JlcxSzgrvZyWbeESw6P/1NZk4TSnOvJHifsVwYA= =CKhK -----END PGP SIGNATURE-----