<<< JPCERT/CC WEEKLY REPORT 2012-02-08 >>>
■01/29(日)〜02/04(土) のセキュリティ関連情報
目 次
【1】Mac OS X に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】HTC 製 Android 端末に脆弱性
【4】Pocket WiFi (GP02) にクロスサイトリクエストフォージェリの脆弱性
【5】学生向け Java セキュアコーディングセミナーひきつづき参加者募集中
【今週のひとくちメモ】Firefox/Thunderbird 法人向け延長サポート版 (ESR) リリース
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120501.txt
https://www.jpcert.or.jp/wr/2012/wr120501.xml
【1】Mac OS X に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Multiple Security Updates
http://www.us-cert.gov/current/archive/2012/02/02/archive.html#apple_releases_multiple_security_updates1
概要
Mac OS X、OS X Lion、Mac OS X Server、OS X Lion Server には、複数の脆弱 性があります。結果として、遠隔の第三者が任意のコードを実行したり、機密 情報を取得したり、セキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mac OS X v10.6.8 - Mac OS X Server v10.6.8 - OS X Lion v10.7 から v10.7.2 まで - OS X Lion Server v10.7 から v10.7.2 まで この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については Apple が提供する情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#403593
Apple Mac OS X ATS にメモリ破損の脆弱性
https://jvn.jp/cert/JVNVU403593/index.htmlJapan Vulnerability Notes JVNVU#410281
Apple Mac OS X CoreText に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/cert/JVNVU410281/index.htmlJapan Vulnerability Notes JVNVU#382755
Apple Mac OS X における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU382755/index.html
関連文書 (英語)
Apple Support HT4723
About the security content of OS X Lion v10.7.3 and Security Update 2012-001
http://support.apple.com/kb/HT5130US-CERT Vulnerability Note VU#403593
Apple Mac OS X ATS data-font memory corruption vulnerability
http://www.kb.cert.org/vuls/id/403593US-CERT Vulnerability Note VU#410281
Apple Mac OS X CoreText embedded font vulnerability
http://www.kb.cert.org/vuls/id/410281
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 10 and 3.6.26
http://www.us-cert.gov/current/archive/2012/02/02/archive.html#mozilla_releases_firefox_10_and
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、機密情報を取得したり、ユーザのブラウザ上で任 意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 9 およびそれ以前 - Firefox 3.6.25 およびそれ以前 - Thunderbird 9 およびそれ以前 - Thunderbird 3.1.17 およびそれ以前 - SeaMonkey 2.6 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ ります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 10.0 - 2012/01/31 リリース
http://mozilla.jp/firefox/10.0/releasenotes/Firefox セキュリティアドバイザリ
Firefox 10 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10Mozilla Japan
Firefox リリースノート - バージョン 3.6.26 - 2012/01/31 リリース
http://mozilla.jp/firefox/3.6.26/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.26 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.26Mozilla Japan
Thunderbird リリースノート - バージョン 10.0 - 2012/01/31 リリース
http://mozilla.jp/thunderbird/10.0/releasenotes/Thunderbird セキュリティアドバイザリ
Thunderbird 10 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.18 - 2012/01/31 リリース
http://mozilla.jp/thunderbird/3.1.18/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.18 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.18SeaMonkey セキュリティアドバイザリ
SeaMonkey 2.7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7Mozilla Japan ブログ
Web 検索機能を追加した Thunderbird の最新版を公開
http://mozilla.jp/blog/entry/7750/Mozilla Japan ブログ
アドオンの互換性を改善した Firefox の最新版公開 - インスペクタなど便利な Web 開発者向けツールも搭載
http://mozilla.jp/blog/entry/7749/
関連文書 (英語)
SeaMonkey Project
SeaMonkey 2.7 Release Notes
http://www.seamonkey-project.org/releases/seamonkey2.7/
【3】HTC 製 Android 端末に脆弱性
情報源
US-CERT Vulnerability Note VU#763355
802.1X password exploit on many HTC Android devices
http://www.kb.cert.org/vuls/id/763355
概要
HTC 製 Android 端末には、脆弱性があります。結果として、遠隔の第三者が端 末に設定されている Wi-Fi 認証情報を取得する可能性があります。 対象となる製品は以下の通りです。 - Desire HD (Ace および Spade) - Versions FRG83D、GRI40 - Glacier - Version FRG83 - Droid Incredible - Version FRF91 - Thunderbolt 4G - Version FRG83D - Sensation Z710e - Version GRI40 - Sensation 4G - Version GRI40 - Desire S - Version GRI40 - EVO 3D - Version GRI40 - EVO 4G - Version GRI40 この問題は、HTC が提供する修正済みのバージョンに端末を更新することで解 決します。HTC によれば、製品によっては、自動でアップデートが適用される とのことです。詳細については、HTC が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#763355
HTC 製 Android 端末に Wi-Fi 認証情報漏えいの脆弱性
https://jvn.jp/cert/JVNVU763355/index.html
関連文書 (英語)
HTC Help Center
WiFi security fix
http://www.htc.com/www/help/#w1307647922146
【4】Pocket WiFi (GP02) にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#33021167
Pocket WiFi (GP02) におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN33021167/index.html
概要
Pocket WiFi (GP02) の Web 管理画面には、クロスサイトリクエストフォージェ リの脆弱性があります。結果として遠隔の第三者が、管理画面にログインして いるユーザに細工したページを読み込ませることで、設定を初期化したり、再 起動したりする可能性があります。 対象となるバージョンは以下の通りです。 - Pocket WiFi (GP02) ファームウェアバージョン 11.203.11.05.168 およびそれ以前 この問題は、ベンダが提供する修正済みのバージョンにファームウェアを更新 することで解決します。詳細については、ベンダが提供する情報を参照してく ださい。
関連文書 (日本語)
イー・アクセス
Pocket WiFi (GP02)をご利用のお客さまへ 〜 マルチSSID※への対応に伴う本体ファームウェアのバージョンアップについて 〜
http://emobile.jp/topics/info20120201_01.htmlイー・アクセス
アップデートツール Pocket WiFi (GP02)
http://emobile.jp/products/hw/gp02/updatetool.html
【5】学生向け Java セキュアコーディングセミナーひきつづき参加者募集中
情報源
JPCERT/CC
Java セキュアコーディングセミナーのご案内
https://www.jpcert.or.jp/event/securecoding-java-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 関西および関東で同内容のセミナーを各一回開催します。なお、参加者多数の 場合はお申し込み先着順となります。 Java セキュアコーディングセミナー @ キャンパスプラザ京都 [日時] 2012年2月15日(水) 13:30 - 16:30 [会場] キャンパスプラザ京都 6階 京都大学サテライト 京都市下京区西洞院通塩小路下る (MAP) http://www.consortium.or.jp/contents_detail.php?co=cat&frmId=585&frmCd=14-3-0-0-0 [定員] 30名 Java セキュアコーディングセミナー @ 慶應義塾大学日吉キャンパス [日時] 2012年2月18日(土) 13:30 - 16:30 [会場] 慶應義塾大学日吉キャンパス協生館 3F C3S01教室 神奈川県横浜市港北区日吉4-1-1 (MAP) http://www.kcc.keio.ac.jp/access/index.html [定員] 50名
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナーお申し込み
https://www.jpcert.or.jp/event/securecoding-java-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○Firefox/Thunderbird 法人向け延長サポート版 (ESR) リリース
Mozilla は、かねてよりアナウンスしていた法人向け延長サポート版 (ESR) で ある Firefox ESR 10.0、Thunderbird ESR 10.0 をリリースしました。 これにともない Firefox 3.6、Thunderbird 3.1 のサポートは 2012/04/24 ま でとされています。これらのバージョンをお使いの方は、ESR 10.0 へ速やかに 移行することをおすすめします。
参考文献 (日本語)
Mozilla Japan
Firefox と Thunderbird の法人向け延長サポート版
http://mozilla.jp/business/downloads/JPCERT/CC WEEKLY REPORT 2012-01-18
【今週のひとくちメモ】Firefox/Thunderbird の法人向け延長サポート版について
https://www.jpcert.or.jp/wr/2012/wr120201.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/