-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-3501 JPCERT/CC 2014-09-10 <<< JPCERT/CC WEEKLY REPORT 2014-09-10 >>> ―――――――――――――――――――――――――――――――――――――― ■08/31(日)〜09/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性 【3】EmFTP に脆弱性 【4】WisePoint に複数の脆弱性 【今週のひとくちメモ】Pre-loaded Public Key Pinning ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr143501.html https://www.jpcert.or.jp/wr/2014/wr143501.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Security Updates for Firefox and Thunderbird https://www.us-cert.gov/ncas/current-activity/2014/09/03/Mozilla-Releases-Security-Updates-Firefox-and-Thunderbird 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 32 より前のバージョン - Firefox ESR 24.8 より前のバージョン - Firefox ESR 31.1 より前のバージョン - Thunderbird 31.1 より前のバージョン - Thunderbird 24.8 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ (2014 年 9 月 2 日) http://www.mozilla-japan.org/security/announce/ 【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性 情報源 Japan Vulnerability Notes JVNVU#90369988 複数の Android アプリに SSL 証明書を適切に検証しない脆弱性 https://jvn.jp/vu/JVNVU90369988/index.html 概要 CERT/CC では独自に作成したツール CERT Tapioka を使用して、SSL 証明書の 検証を適切に行っていない Android アプリを調査しました。その結果、SSL 証明書を適切に検証しない Android アプリが複数発見されています。 調査を行ったアプリ名や手動による脆弱性確認結果などの情報については、別 途公開されているファイル "Android apps that fail to validate SSL" を参 照してください。また、調査手法の詳細については CERT/CC blog を参照して ください。 関連文書 (英語) Google Docs Android apps that fail to validate SSL https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing CERT/CC Blog Finding Android SSL Vulnerabilities with CERT Tapioca https://www.cert.org/blogs/certcc/post.cfm?EntryID=204 CERT/CC Vulnerability Analysis CERT Tapioca https://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm 【3】EmFTP に脆弱性 情報源 Japan Vulnerability Notes JVN#50367052 EmFTP における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN50367052/index.html 概要 株式会社エムソフトが提供する EmFTP には、実行ファイルの読み込みに関する 脆弱性があります。結果として、遠隔の第三者が、拡張子の付いていないロー カルファイルを開かせることで、該当製品を実行しているユーザの権限で任意 のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - EmFTP Standard - EmFTP Professional 2014年9月10日現在、EmFTP の開発および更新は終了しています。拡張子の付い ていないファイルを開く場合には、EmFTP から直接開くのではなく、別の方法 で開くようにしてください。 関連文書 (日本語) EmEditor EmFTP https://jp.emeditor.com/about/other-products/emftp/ 【4】WisePoint に複数の脆弱性 情報源 ファルコンシステムコンサルティング株式会社 WisePoint Ver4.1.19.9 Release Note https://service.falconsc.com/service/product/patch/wp/4.1.x/4.1.19.9/release_note.txt Japan Vulnerability Notes JVN#49672671 WisePoint におけるセッション固定の脆弱性 https://jvn.jp/jp/JVN49672671/index.html 概要 WisePoint には複数の脆弱性があります。結果として、遠隔の第三者が登録ユー ザになりすましたり、ユーザのブラウザ上で任意のスクリプトを実行したりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - WisePoint バージョン 4.1.19.9 より前のバージョン この問題は、ファルコンシステムコンサルティング株式会社が提供する修正済 みのバージョンに WisePoint を更新することで解決します。詳細については、 ファルコンシステムコンサルティング株式会社が提供する情報を参照して下さ い。 関連文書 (日本語) ファルコンシステムコンサルティング株式会社 WisePointパッチプログラムのダウンロード https://service.falconsc.com/service/product/patch/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Pre-loaded Public Key Pinning Firefox 32 では Pre-loaded Public Key Pinning と呼ばれる仕組みが実装さ れています。これは、証明書チェーンを構成する証明書に含まれる公開鍵情報 のハッシュ値を Web ブラウザ側であらかじめ持っておくもので、不正なサー バ証明書が使われたり、認証局が不正なサーバ証明書を発行していた場合に、 Web ブラウザ側で検出可能とすることを目的としています。この仕組みは Chromium でもバージョン 13 から実装されています。 参考文献 (英語) Mozilla Security Blog Public key pinning released in Firefox https://blog.mozilla.org/security/2014/09/02/public-key-pinning/ Mozilla Wiki SecurityEngineering/Public Key Pinning https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning The Chromium Blog New Chromium security features, June 2011 http://blog.chromium.org/2011/06/new-chromium-security-features-june.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJUD6ZAAAoJEDF9l6Rp7OBIT4wH/1ycHGe57ZeJbAVwYwDJP7zH drvXEyLFUwxsma4a5O3lTutgtivwEEgJQOcx9I+f5KefxuEIYt3cvOu8lq1rNCY2 zkWIjtMSYkxDsYFj4O4nwo1HF1UXiU6jEyBfKUdDU/lFbkcYOV0KrmlIitNV+dCP iLDElWgzlhHLk7129k5BksYzjslWMowODTniEwdKe2zBCl4m7XSd0dkb+24BuBUE RJleAh3d96KYeFptAT8g+PZD2939+EWLfeyo2Rz6QTGYgl0/avv+BFzfj1GvF1Gr mS+998zjmiZCpW4E2fOejf0Uek5ptccQ02jJ3j04krHg1+/daEE/SlGNzFXtfIk= =8/Da -----END PGP SIGNATURE-----