-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3401 JPCERT/CC 2010-09-08 <<< JPCERT/CC WEEKLY REPORT 2010-09-08 >>> ―――――――――――――――――――――――――――――――――――――― ■08/29(日)〜09/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 【2】Apple iTunes に複数の脆弱性 【3】Google Chrome に複数の脆弱性 【4】RealNetworks RealPlayer に複数の脆弱性 【5】Blackboard Transact データベースに情報漏えいの脆弱性 【6】moobbs および moobbs2 にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】IPA、デジタル複合機の脆弱性に関する調査報告書を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103401.html https://www.jpcert.or.jp/wr/2010/wr103401.xml ============================================================================ 【1】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Insecure Loading of Dynamic Link Libraries in Windows Applications http://www.us-cert.gov/current/archive/2010/09/03/archive.html#insecure_loading_of_dynamic_link 概要 JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 マイクロソフトは、回避策のひとつとして「Fix it」を 2010年8月31日 に公開しました。詳細については、マイクロソフトが提供する情報を参 照してください。 関連文書 (日本語) Microsoft Support DLL 検索パス アルゴリズムを制御する新しい CWDIllegalInDllSearch レジストリ エントリについて http://support.microsoft.com/kb/2264107/ja-jp JPCERT/CC WEEKLY REPORT 2010-09-01 号 【1】Windows プログラムの DLL 読み込み処理に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103301.html#1 【2】Apple iTunes に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iTunes 10 http://www.us-cert.gov/current/archive/2010/09/03/archive.html#apple_releases_itunes_10 概要 Apple iTunes には、WebKit に起因する複数の脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - iTunes for Windows この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT4328 iTunes 10 のセキュリティコンテンツについて http://support.apple.com/kb/HT4328?viewlocale=ja_JP 関連文書 (英語) Apple Mailing Lists APPLE-SA-2010-09-01-1 iTunes 10 http://lists.apple.com/archives/security-announce/2010/Sep/msg00000.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 6.0.472.53 http://www.us-cert.gov/current/archive/2010/09/03/archive.html#google_releases_chrome_6_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 6.0.472.53 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable and Beta Channel Updates http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html 【4】RealNetworks RealPlayer に複数の脆弱性 情報源 US-CERT Current Activity Archive RealNetworks Releases Update to Address Vulnerabilities in RealPlayer http://www.us-cert.gov/current/archive/2010/09/03/archive.html#realnetworks_releases_update_to_address 概要 RealNetworks RealPlayer には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意 のコードを実行したり、機密情報を取得したりする可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。詳細については、RealNetworks が提供する情報を参照してください。 関連文書 (日本語) RealNetworks RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/08262010_player/ja/ 関連文書 (英語) RealNetworks RealNetworks, Inc. Releases Update to Address Security Vulnerabilities http://service.real.com/realplayer/security/08262010_player/en/ 【5】Blackboard Transact データベースに情報漏えいの脆弱性 情報源 US-CERT Vulnerability Note VU#204055 Blackboard Transact database credentials disclosure http://www.kb.cert.org/vuls/id/204055 概要 Blackboard Transact には、脆弱性があります。結果として、権限のな いユーザがデータベースの認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Blackboard Transact Suite 3.6 Patch 2 (バージョン 3.6.0.2) よ り前のバージョン 詳細については、Blackboard が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#204055 Blackboard Transact データベースに情報漏えいの脆弱性 https://jvn.jp/cert/JVNVU204055/index.html 関連文書 (英語) Blackboard Blackboard Transact Platform http://www.blackboard.com/Commerce-Security/Transact-Platform.aspx Blackboard Blackboard Transact Support http://www.blackboard.com/Support/Transact-Support.aspx 【6】moobbs および moobbs2 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#24423311 moobbs におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN24423311/index.html Japan Vulnerability Notes JVN#75101998 moobbs2 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN75101998/index.html 概要 無料素材屋 Moo の電子掲示板ソフトウエア moobbs および moobbs2 に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - moobbs 1.02 およびそれ以前 - moobbs2 1.02 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、配布元が提供する情報 を参照してください。 関連文書 (日本語) 無料素材屋 Moo moobbs、およびmoobbs2CGIスクリプトの脆弱性に関する報告 http://common1.biz/cgi_bug.html 無料素材屋 Moo ノーマル掲示板CGI moobbs http://common1.biz/material/cgi/32/ 無料素材屋 Moo スレッド式掲示板CGI moobbs2 http://common1.biz/material/cgi/33/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA、デジタル複合機の脆弱性に関する調査報告書を公開 8月30日に IPA から「MFP (デジタル複合機) の脆弱性に関する調査報 告書」が公開されました。これは、デジタル複合機に関連する脆弱性と その影響、対策などをまとめたものです。 みなさんの職場においても、デジタル複合機を社内ネットワークに接続 して利用しているところは多いと思います。どのような脅威が想定され るか、また、問題が発生したときの影響を最小限にする運用体制を検討 する材料として参考にしてみてはいかがでしょうか。 参考文献 (日本語) 情報処理推進機構:情報セキュリティ デジタル複合機の脆弱性に関する調査報告書の公開 http://www.ipa.go.jp/security/fy21/reports/mfp/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMhusFAAoJEDF9l6Rp7OBIwjMH/RYOMZlp/Wq7iIsT8HH6pRC4 cCkkn+ss0zgPoyuE3zirNXdRSmUw3y6MPajWJ00Q1BO+e/F036LT9IHz8fWjA4GJ VFkeqUE0BUE2RAnjhVvJZnTWUCuKDEtF9vZJqh2Z4P/wGi7Dw4dizLqypSl/BPpF 5oMJoER2E4zfqDBCD53bVw6Z6Q8W2NfBB79hyJZKN3sGqWL+BUPFpzSG/lrzXwZh bmPSBaDlIWXDZnMuasOe/z0lBHUL3lMXkj/qc74I+3qgyFS6siafl4Uyy78Mjul9 B0G4TDPRs/CpvFDe45bARAkySuR8zwYyLfJU9+J+56p7CdgHb6QAqXOhIKAfJ9A= =iMSp -----END PGP SIGNATURE-----