-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3601 JPCERT/CC 2010-09-24 <<< JPCERT/CC WEEKLY REPORT 2010-09-24 >>> ―――――――――――――――――――――――――――――――――――――― ■09/12(日)〜09/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年9月 Microsoft セキュリティ情報について 【2】Adobe Flash Player に脆弱性 【3】Microsoft ASP.NET に脆弱性 【4】Microsoft Exchange Server に脆弱性 【5】Apple QuickTime に複数の脆弱性 【6】Google Chrome に複数の脆弱性 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 参加者募集中 【今週のひとくちメモ】X-FRAME-OPTIONS によるクリックジャッキング対策 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103601.html https://www.jpcert.or.jp/wr/2010/wr103601.xml ============================================================================ 【1】2010年9月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-257A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-257A.html US-CERT Cyber Security Alert SA10-257A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-257A.html 概要 Microsoft Windows、Office などの製品および関連コンポーネントには 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2010 年 9 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx Japan Vulnerability Notes JVNTA10-257A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-257A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-061,062,063,064,065,066,067,068,069) https://www.npa.go.jp/cyberpolice/topics/?seq=4779 JPCERT/CC Alert 2010-09-15 JPCERT-AT-2010-0023 2010年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100023.txt 【2】Adobe Flash Player に脆弱性 情報源 US-CERT Vulnerability Note VU#275289 Adobe Flash unspecified code execution vulnerability http://www.kb.cert.org/vuls/id/275289 DOE-CIRC Technical Bulletin T-439 Adobe Flash Player Zero-Day Vulnerability http://www.doecirc.energy.gov/bulletins/t-439.shtml 概要 Adobe Flash Player には、脆弱性があります。結果として、遠隔の第 三者が細工した Flash コンテンツを埋め込んだドキュメントを閲覧さ せることで任意のコードを実行する可能性があります。なお、Adobe Flash Player が同梱されている他の Adobe 製品も影響を受けます。ま た、Adobe によると、本脆弱性を使用した攻撃が確認されているとのこ とです。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.1.82.76 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.1.92.10 Android 版 - Adobe Reader 9.3.4 およびそれ以前 - Adobe Acrobat 9.3.4 およびそれ以前 この問題は、修正済みのバージョンに該当する製品を更新することで解 決します。なお、Adobe Reader および Acrobat の修正済みのバージョ ンは 2010年10月4日の週に公開される予定です。対象製品の回避策など の詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSA10-03: Flash Player に関するセキュリティ情報 http://kb2.adobe.com/jp/cps/866/cpsid_86695.html Japan Vulnerability Notes JVNVU#275289 Adobe Flash に脆弱性 https://jvn.jp/cert/JVNVU275289/index.html Japan Vulnerability Notes JVNTA10-263A Adobe Flash に脆弱性 http://jvn.jp/cert/JVNTA10-263A/index.html 関連文書 (英語) Adobe Security Bulletin APSA10-03 Security Advisory for Flash Player http://www.adobe.com/support/security/advisories/apsa10-03.html Adobe Security Bulletin APSB10-22 Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb10-22.html US-CERT Technical Cyber Security TA10-263A Adobe Flash Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-263A.html 【3】Microsoft ASP.NET に脆弱性 情報源 US-CERT Current Activity Archive Microsoft Releases Security Advisory 2416728 http://www.us-cert.gov/current/archive/2010/09/20/archive.html#microsoft_releases_security_advisory_2416728 概要 マイクロソフトの ASP.NET には脆弱性があります。結果として、遠隔 の第三者がサーバ上の情報を閲覧したり、改ざんする可能性があります。 対象となる製品は以下の通りです。 - ASP.NET を使った Web アプリケーション全般 マイクロソフトによると、本脆弱性を使用した攻撃活動が確認されてい ます。 2010年9月24日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。マイクロソフトからは、ASP.NET アプリケーショ ンにおける回避策や、ASP.NET アプリケーションが本脆弱性の影響を受 けるかどうかを確認するための情報が提供されています。詳細について は下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (2416728) ASP.NET の脆弱性により、情報漏えいが起こる https://www.microsoft.com/japan/technet/security/advisory/2416728.mspx 関連文書 (英語) Microsoft Security Advisory (2416728) Vulnerability in ASP.NET Could Allow Information Disclosure https://www.microsoft.com/technet/security/advisory/2416728.mspx Security Research & Defense Understanding the ASP.NET Vulnerability http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx Security Research & Defense Additional Information about the ASP.NET Vulnerability http://blogs.technet.com/b/srd/archive/2010/09/20/additional-information-about-the-asp-net-vulnerability.aspx 【4】Microsoft Exchange Server に脆弱性 情報源 DOE-CIRC Technical Bulletin T-438 Microsoft Outlook Web Access Authentication Flaw http://www.doecirc.energy.gov/bulletins/t-438.shtml 概要 Microsoft Exchange Server の Outlook Web Access (OWA) には、脆弱 性があります。結果として、遠隔の第三者が OWA セッションをハイジャッ クする可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Exchange Server 2003 Service Pack 2 - Microsoft Exchange Server 2007 Service Pack 1 - Microsoft Exchange Server 2007 Service Pack 2 Microsoft Exchange Server 2000、Microsoft Exchange Server 2007 Service Pack 3 および Microsoft Exchange Server 2010 はこの脆弱 性の影響を受けません。 この問題は、この脆弱性の影響を受けないバージョンの Microsoft Exchange Server にアップグレードすることで解決します。詳細につい ては、下記関連文書の情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (2401593) Outlook Web Access の脆弱性により、特権が昇格される http://www.microsoft.com/japan/technet/security/advisory/2401593.mspx 【5】Apple QuickTime に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases QuickTime 7.6.8 http://www.us-cert.gov/current/archive/2010/09/17/archive.html#apple_releases_quicktime_7_62 DOE-CIRC Technical Bulletin T-440 Apple QuickTime DLL Loading and ActiveX Control Bugs http://www.doecirc.energy.gov/bulletins/t-440.shtml 概要 Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工した Web ページを閲覧させたり、細工した DLL ファイル を置いたディレクトリにある画像ファイルを閲覧させたりすることで任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime (Windows) 7.6.8 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、QuickTime を 更新することで解決します。 関連文書 (日本語) Apple QuickTime 7.6.8 for Windows http://support.apple.com/kb/DL837?viewlocale=ja_JP Japan Vulnerability Notes JVNVU#997815 Apple Quicktime における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU997815/index.html JPCERT/CC WEEKLY REPORT 2010-09-01 号 【1】Windows プログラムの DLL 読み込み処理に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103301.html#1 関連文書 (英語) Apple Support HT4339 About the security content of QuickTime 7.6.8 http://support.apple.com/kb/HT4339?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-09-15-1 QuickTime 7.6.8 http://lists.apple.com/archives/security-announce//2010/Sep/msg00003.html 【6】Google Chrome に複数の脆弱性 情報源 Google Chrome Releases Stable, Beta Channel Updates http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_14.html Google Chrome Releases Stable, Beta Channel Updates http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_17.html 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 6.0.472.62 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 現在、東京を会場にしたセミナー part3「CERT C セキュアコーディング スタンダード」の参加申し込みを受け付けております。 皆様奮ってご参加ください。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○X-FRAME-OPTIONS によるクリックジャッキング対策 Web ページの透過表示機能などを悪用することで、ユーザに意図しない クリック動作をさせる「クリックジャッキング」と呼ばれる攻撃手法が 知られています。この対策のひとつとして、Web サイト側があらかじめ HTTP レスポンスヘッダに X-FRAME-OPTIONS ヘッダを含めておき、Web ブラウザがこの値を解釈することにより、クリックジャッキングを防止 する手法があります。 Internet Explorer 8 をはじめとして Mozilla Firefox、Apple Safari、 Google Chrome、Opera など多くの Web ブラウザの最新版が X-FRAME-OPTIONS ヘッダを認識するようになっています。 Web サイト側で X-FRAME-OPTIONS ヘッダを活用することで、クリック ジャッキングへの対応が可能となる環境が整ってきています。ぜひ、 Web サイト側での対応を検討してください。 参考文献 (日本語) JPCERT/CC クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜 (Version 2) https://www.jpcert.or.jp/ed/2009/ed090001.pdf 参考文献 (英語) OWASP Clickjacking http://www.owasp.org/index.php/Clickjacking Opera Web specifications support in Opera Presto 2.6 http://www.opera.com/docs/specs/presto26/ Mozilla Develper Center The X-Frame-Options response header https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMm/cAAAoJEDF9l6Rp7OBIhv0IAIU/Drw7TBG/amM8Aygztl1L uKqyzJZ80n9qHAGU+TLZuMJ+CiXaln1QeGMvVGlwhrRnOQyMHHnNuSZq/7FjXpRG MjU8QYvNjmBOMrncev45ptu1yOWfWlwp/qH88pTXQ685k8kem7/T6G/tmP6bYUqQ 9xZquYaR7bDPjKozFbSORXS0B2WUK3Vxf9Lq98ALXWbptGaBcj1cbLrGyVZ5WTfi WOomR15CgeKimPRx573JYZGSct6C+2zFDr36A+dzgOa/a92OkeIP70SS+5e8vTTT JUAOrZOu3FNpkUZE/ePfIvA2E94AflaKpHbd6MR4depqUkh9Nu3ah0Zupk+xNzc= =0zu0 -----END PGP SIGNATURE-----