<<< JPCERT/CC WEEKLY REPORT 2014-03-26 >>>
■03/16(日)〜03/22(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】spモードメールに脆弱性
【3】Silex にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Technical Guidance for Handling the New CVE-ID Syntax
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr141201.txt
https://www.jpcert.or.jp/wr/2014/wr141201.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Updates for Firefox, Thunderbird, and Seamonkey
http://www.us-cert.gov/ncas/current-activity/2014/03/18/Mozilla-Releases-Updates-Firefox-Thunderbird-and-Seamonkey
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 28 より前のバージョン - Firefox ESR 24.4 より前のバージョン - Thunderbird 24.4 より前のバージョン - Seamonkey 2.25 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014年3月18日)
http://www.mozilla-japan.org/security/announce/
【2】spモードメールに脆弱性
情報源
Japan Vulnerability Notes JVN#89260331
spモードメールにおいて Java メソッドが実行される脆弱性
https://jvn.jp/jp/JVN89260331/index.html
概要
NTTドコモの spモードメールには脆弱性があります。結果として、遠隔の第三 者が、細工したメールを送信しユーザに開かせることで、任意の Java メソッ ドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 まで - Android 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで この問題は NTTドコモが提供する修正済みのバージョンに spモードメールを更 新することで解決します。詳細については NTTドコモが提供する情報を参照し て下さい。
関連文書 (日本語)
Google Play
spモードメール
https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail
【3】Silex にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#14282890
Silex におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14282890/index.html
概要
Silex には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Silex 2.0.0 より前のバージョン この問題は、Silex Labs が提供する修正済みのバージョンに Silex を更新す ることで解決します。詳細については、Silex Labs が提供する情報を参照して 下さい。
関連文書 (英語)
GitHub
silexlabs/Silex
https://github.com/silexlabs/Silex
■今週のひとくちメモ
○Technical Guidance for Handling the New CVE-ID Syntax
MITRE から、CVE 番号の取扱いに関するガイダンスが公開されました。CVE 番 号は、従来の 4桁固定から、2014年以降は 4桁以上の可変長とする変更が行な われています。このガイダンスでは、2014年以降の変更に対応して、適切に CVE 番号の処理を行うための注意点やアドバイスを提供しています。 自社で脆弱性情報の収集分析を行っている方は参考にしてください。
参考文献 (日本語)
JPCERT/CC ひとくちメモ
新しい CVE 番号体系が決定
https://www.jpcert.or.jp/tips/2013/wr132601.html
参考文献 (英語)
MITRE
Technical Guidance for Handling the New CVE-ID Syntax
http://cve.mitre.org/cve/identifiers/tech-guidance.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/