-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-4701 JPCERT/CC 2009-12-09 <<< JPCERT/CC WEEKLY REPORT 2009-12-09 >>> ―――――――――――――――――――――――――――――――――――――― ■11/29(日)〜12/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Java for Mac OS X に複数の脆弱性 【2】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性 【3】複数の SSL VPN 製品にブラウザのセキュリティが迂回される問題 【今週のひとくちメモ】Firefox 3.0.x のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr094701.html https://www.jpcert.or.jp/wr/2009/wr094701.xml ============================================================================ 【1】Java for Mac OS X に複数の脆弱性 情報源 Apple Apple security updates http://support.apple.com/kb/HT1222 概要 Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が権限を昇格したり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下のとおりです。 - Java for Mac OS X 10.5 Update 6 より前のバージョン - Java for Mac OS X 10.6 Update 1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、Java for Mac OS X を更新することで解決します。詳細については、Apple が提供す る情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2009-11-11 【1】Java Runtime Environment (JRE) に複数の脆弱性 http://www.jpcert.or.jp/wr/2009/wr094301.html#1 Apple Support HT3970 Java for Mac OS X 10.5 Update 6 のセキュリティコンテンツについて http://support.apple.com/kb/HT3970?viewlocale=ja_JP Apple Support HT3969 Java for Mac OS X 10.6 Update 1 のセキュリティコンテンツについて http://support.apple.com/kb/HT3969?viewlocale=ja_JP 関連文書 (英語) APPLE-SA-2009-12-03-1 Java for Mac OS X 10.6 Update 1 http://lists.apple.com/archives/security-announce//2009/Dec/msg00000.html APPLE-SA-2009-12-03-2 Java for Mac OS X 10.5 Update 6 http://lists.apple.com/archives/security-announce//2009/Dec/msg00001.html 【2】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive Research In Motion Releases Advisory for BlackBerry PDF Distiller Vulnerabilities http://www.us-cert.gov/current/archive/2009/12/03/archive.html#research_in_motion_releases_advisory1 概要 BlackBerry Enterprise Server および BlackBerry Professional Software の PDF 表示機能には、バッファオーバーフローの脆弱性があ ります。結果として、遠隔の第三者が細工した PDF ファイルをユーザ に閲覧させることで、BlackBerry Attachment Service を実行するサー バ上で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Windows 2003 または 2008 で動作する BlackBerry Enterprise Server 5.0.0 - Microsoft Windows 2000 で動作する BlackBerry Enterprise Server 5.0.0 - BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) 〜 4.1 Service Pack 7 (4.1.7) - BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4) この問題は、Research In Motion が提供する修正済みのバージョンに、 該当する製品を更新することで解決します。詳細については、Research In Motion が提供する情報を参照してください。 関連文書 (英語) Research In Motion - Security Advisory KB19860 Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19860 【3】複数の SSL VPN 製品にブラウザのセキュリティが迂回される問題 情報源 US-CERT Vulnerability Note VU#261869 Clientless SSL VPN products break web browser domain-based security models http://www.kb.cert.org/vuls/id/261869 概要 複数の SSL VPN 製品には、ブラウザのセキュリティメカニズム (Same Origin Policy) を迂回可能な問題があります。結果として、遠隔の第 三者が細工した Web ページをユーザに閲覧させることで、VPN のセッ ションをハイジャックしたり、ユーザが SSL VPN を通じてアクセスし たコンテンツを閲覧したり、改ざんしたりする可能性があります。 対象となる製品は以下の通りです。 - SSL VPN を実装している製品 2009年12月8日現在、この問題に対する解決策は提供されていません。 回避策としては、URL の書き換えを信頼できるドメインに限定する、VPN サーバの接続先を信頼できるドメインに限定する、URL 隠ぺい (URL hiding) 機能を無効にするなどの方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#261869 複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題 https://jvn.jp/cert/JVNVU261869/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Firefox 3.0.x のサポート終了 Mozilla Firefox の 3.0.x に対するセキュリティおよび安定性に関す る更新の提供は 2010年1月まで、という予定が表明されています。 Firefox 3.5 へ移行していないユーザは、使用するアドオンの対応状況 や他アプリケーションとの連携などの確認を行い、Firefox 3.5 へ移行 することをお勧めします。 参考文献 (日本語) Mozilla Japan Firefox 旧バージョンのダウンロード http://mozilla.jp/firefox/locales/older/ 参考文献 (英語) Mozilla Upgrading to Firefox 3・5 http://support.mozilla.com/en-US/kb/Upgrading+to+Firefox+3%C2%B75 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLHu/DAAoJEDF9l6Rp7OBIppoH/A8YhGR/d/X9GwYNb45EGkY7 fsm+F8G/Rw/39UzEyWhdLlYqAti7mnSiY4NQlZDz1/RDFJaqw2kxMUUvI85vBseD ddETc+KemDTNayX3nqFwRbyNGMlp13u77Q/ZYsU+HrQw/Emeg4o6qqBx9LyuuyjI C1PJCA8ps/4GBEGyg/vDEqpNpcy+BaUf2mKgO/YMy04W3Iuu15KNnmzEj8vCvitv dthVHXDJR5GC/PFIIthOA4jXKKmypCjl5Ds9al0Z45/Y3B12V/4uPORtgQME0BTy +UvkuMejvQdA0GAU3ubIibBVL41WrGDAxm/qAl6OZbsBPj6JMRDgMC1neMeitwc= =V+pC -----END PGP SIGNATURE-----