JPCERT-WR-2014-1201
2014-03-26
2014-03-16
2014-03-22
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。
対象となるバージョンは以下の通りです。
- Firefox 28 より前のバージョン
- Firefox ESR 24.4 より前のバージョン
- Thunderbird 24.4 より前のバージョン
- Seamonkey 2.25 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014年3月18日)
http://www.mozilla-japan.org/security/announce/
spモードメールに脆弱性
NTTドコモの spモードメールには脆弱性があります。結果として、遠隔の第三
者が、細工したメールを送信しユーザに開かせることで、任意の Java メソッ
ドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 まで
- Android 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで
この問題は NTTドコモが提供する修正済みのバージョンに spモードメールを更
新することで解決します。詳細については NTTドコモが提供する情報を参照し
て下さい。
Google Play
spモードメール
https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail
Silex にクロスサイトスクリプティングの脆弱性
Silex には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- Silex 2.0.0 より前のバージョン
この問題は、Silex Labs が提供する修正済みのバージョンに Silex を更新す
ることで解決します。詳細については、Silex Labs が提供する情報を参照して
下さい。
GitHub
silexlabs/Silex
https://github.com/silexlabs/Silex
Technical Guidance for Handling the New CVE-ID Syntax
MITRE から、CVE 番号の取扱いに関するガイダンスが公開されました。CVE 番
号は、従来の 4桁固定から、2014年以降は 4桁以上の可変長とする変更が行な
われています。このガイダンスでは、2014年以降の変更に対応して、適切に
CVE 番号の処理を行うための注意点やアドバイスを提供しています。
自社で脆弱性情報の収集分析を行っている方は参考にしてください。
JPCERT/CC ひとくちメモ
新しい CVE 番号体系が決定
https://www.jpcert.or.jp/tips/2013/wr132601.html
MITRE
Technical Guidance for Handling the New CVE-ID Syntax
http://cve.mitre.org/cve/identifiers/tech-guidance.html