-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-3701 JPCERT/CC 2012-09-26 <<< JPCERT/CC WEEKLY REPORT 2012-09-26 >>> ―――――――――――――――――――――――――――――――――――――― ■09/16(日)〜09/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Explorer に脆弱性 【2】Apple 製品に複数の脆弱性 【3】HP SiteScope に脆弱性 【4】Windows Phone 7 に SSL サーバ証明書検証不備の脆弱性 【今週のひとくちメモ】CTF チャレンジジャパン 2012 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr123701.html https://www.jpcert.or.jp/wr/2012/wr123701.xml ============================================================================ 【1】Microsoft Internet Explorer に脆弱性 情報源 US-CERT Vulnerability Note VU#480095 Microsoft Internet Explorer 6/7/8/9 contain a use-after-free vulnerability http://www.kb.cert.org/vuls/id/480095 概要 Microsoft Internet Explorer には、脆弱性があります。結果として、遠隔の 第三者が、細工した HTML ドキュメントを閲覧させることにより、任意のコー ドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 6、7、8 および 9 この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ MS12-063 Internet Explorer 用の累積的なセキュリティ更新プログラム (2744842) http://technet.microsoft.com/ja-jp/security/Bulletin/MS12-063 日本のセキュリティチーム Internet Explorerの脆弱性を解決する MS12-063 を定例外で公開、および新規セキュリティアドバイザリ 2755801 を公開 http://blogs.technet.com/b/jpsecurity/archive/2012/09/22/3521886.aspx 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS12-063) https://www.npa.go.jp/cyberpolice/topics/?seq=10124 独立行政法人情報処理推進機構 (IPA) Internet Explorer の脆弱性の修正について (KB2757760)(CVE-2012-4969) http://www.ipa.go.jp/security/ciadr/vul/20120920-windows.html Japan Vulnerability Notes JVNVU#480095 Internet Explorer に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU480095/index.html Japan Vulnerability Notes JVNTA12-265A Internet Explorer の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA12-265A/index.html JPCERT/CC 2012年9月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120030.html 関連文書 (英語) US-CERT Alert (TA12-262A) Microsoft Security Advisory for Internet Explorer Exploit http://www.us-cert.gov/cas/techalerts/TA12-262A.html US-CERT Alert (TA12-265A) Microsoft Releases Patch for Internet Explorer Exploit http://www.us-cert.gov/cas/techalerts/TA12-265A.html 【2】Apple 製品に複数の脆弱性 情報源 Apple Support About the security content of OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 and Security Update 2012-004 http://support.apple.com/kb/HT5501 Apple Support About the security content of Safari 6.0.1 http://support.apple.com/kb/HT5502 Apple Support About the security content of iOS 6 http://support.apple.com/kb/HT5503 概要 Apple 製品には複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、ローカルユーザが権限を昇格したりする可能性がありま す。 対象となるシステムは以下の通りです。 - OS X - Safari - iOS この問題は、Apple が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Apple が提供する情報を参照して下さ い。 【3】HP SiteScope に脆弱性 情報源 JC3 Bulletin U-265: HP SiteScope Bugs in SiteScope SOAP Feature Let Remote Users Obtain Information and Execute Arbitrary Code http://energy.gov/cio/articles/u-265-hp-sitescope-bugs-sitescope-soap-feature-let-remote-users-obtain-information-and 概要 HP SiteScope には、脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - HP SiteScope v11.10、v11.11、v11.12 (Windows版、Linux版、Solaris版) この問題は、HP が提供する修正済みのバージョンに、HP SiteScope を更新す ることで解決します。詳細については、HP が提供する情報を参照して下さい。 関連文書 (英語) HP Support Center HPSBMU02815 SSRT100715 rev.3 - HP SiteScope SOAP Security Issues, Remote Disclosure of Information, Remote Code Execution http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03489683&ac.admitted=1348236196359.876444892.199480143 【4】Windows Phone 7 に SSL サーバ証明書検証不備の脆弱性 情報源 US-CERT Vulnerability Note VU#389795 Windows Phone 7 does not check certificate Common Names when sending or receiving emails over SSL. http://www.kb.cert.org/vuls/id/389795 概要 Windows Phone 7 には、SSL サーバ証明書の CN (コモンネーム) を検証しない 脆弱性があります。結果として、遠隔の第三者が中間者攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - Windows Phone 7 2012年9月25日現在、対策方法はありません。Microsoft によると、本脆弱性の 対策アップデートを公開予定とのことです。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#389795 Windows Phone 7 に SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/cert/JVNVU389795/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CTF チャレンジジャパン 2012 実践的情報セキュリティ人材の育成を目的としたセキュリティコンテスト 「CTF チャレンジジャパン 2012」が開催されます。 「CTF チャレンジジャパン 2012」は、実践的な経験を積める場として社会人向 けに実施されるものです。11月の福岡を皮切りに、大阪、東京、仙台で地方大 会が開催され、来年の 2月に東京で全国大会が開催されます。 興味ある方は、Web サイトの募集要項を参考に応募してみてはいかがでしょう か。 参考文献 (日本語) CTF チャレンジジャパン http://ctf-challenge.jp/ 参考文献 (英語) Wikipedia Capture the flag http://en.wikipedia.org/wiki/Capture_The_Flag#Computer_security ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQYkneAAoJEDF9l6Rp7OBIvwsH/iqNBd2u9xtr/OoN4lYte4Gw Lz/fmRY9TKoIk9IAdhF5QiVs26j4+zBUcpqcgrlj+KPIx/X1ljXWOWdmjLqc4hxH Eyp9PviikZHCf/NAWKQnp++RWoRXY4Nxs/3bOpzfkYHCurr5tFMjo/NVXmYn1VLf M6XuudPbGJzWJXh4cVQosL+k2oPWY+rWKHkEwnlgZ3vMyRdjXxMzCDEqcOMK40Sm fGW0ILy8s9rwj4ccaWuVGBeG9sQZpShmVxVk2AhY3rLKfI0kYzaLpoMqPnM703Db q+iULXjTtipMLlmv2e6GmMOgj6Z4CQXGlk3qLDgWWWLryOlwyuXpKxexfvvQuPY= =sLH4 -----END PGP SIGNATURE-----