<<< JPCERT/CC WEEKLY REPORT 2010-11-04 >>>
■10/24(日)〜10/30(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群にバッファオーバーフローの脆弱性
【2】Adobe Flash に脆弱性
【3】glibc に権限昇格の脆弱性
【4】Linux カーネルに権限昇格の脆弱性
【5】「Adobe Shockwave Player に脆弱性」に関する追加情報
【6】Active! mail 6 に HTTP ヘッダインジェクションの脆弱性
【7】Internet Week 2010 のお知らせ
【8】フィッシング対策セミナー開催のお知らせ
【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 開催せまる
【今週のひとくちメモ】導入済みソフトウエアのアップデートに注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104201.txt
https://www.jpcert.or.jp/wr/2010/wr104201.xml
【1】Mozilla 製品群にバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity Archive
Firefox 3.5 and 3.6 Vulnerability
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#firefox_3_5_and_3DOE-CIRC Technical Bulletin T-476
Critical vulnerability in Firefox 3.5 and Firefox 3.6
http://www.doecirc.energy.gov/bulletins/t-476.shtml
概要
Mozilla 製品群には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行する可能性があります。 なお、本脆弱性を使用した攻撃が確認されています。 対象となる製品は以下の通りです。 - Firefox 3.6.11 およびそれ以前 - Firefox 3.5.14 およびそれ以前 - Thunderbird 3.1.5 およびそれ以前 - Thunderbird 3.0.9 およびそれ以前 - SeaMonkey 2.0.9 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 3.6.12 - 2010/10/27 リリース
http://mozilla.jp/firefox/3.6.12/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.12Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.15 - 2010/10/27 リリース
http://mozilla.jp/firefox/3.5.15/releasenotes/Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.15 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.15Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.6 - 2010/10/27 リリース
http://mozilla.jp/thunderbird/3.1.6/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.6Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.10 - 2010/10/27 リリース
http://mozilla.jp/thunderbird/3.0.10/releasenotes/Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.10 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.10SeaMonkey Project
SeaMonkey 2.0.10
http://www.seamonkey.jp/ja/releases/seamonkey2.0.10/SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.10 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.10
関連文書 (英語)
Mozilla Security Blog
Critical vulnerability in Firefox 3.5 and Firefox 3.6
http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/SeaMonkey Project
SeaMonkey 2.0.10
http://www.seamonkey-project.org/releases/seamonkey2.0.10/Red Hat Security Advisory RHSA-2010:0808-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0808.htmlRed Hat Security Advisory RHSA-2010:0810-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0810.htmlRed Hat Security Advisory RHSA-2010:0812-1
Moderate: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2010-0812.html
【2】Adobe Flash に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Player, Reader, and Acrobat
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_bulletin_for10US-CERT Vulnerability Note VU#298081
Adobe Flash code execution vulnerability
http://www.kb.cert.org/vuls/id/298081DOE-CIRC Technical Bulletin T-477
Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-477.shtml
概要
Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細 工した Flash コンテンツを埋め込んだ文書を閲覧させることで、任意 のコードを実行する可能性があります。なお、Adobe によると、本脆弱 性を使用した攻撃が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版 - Adobe Reader 9.4 およびそれ以前の Windows 版、Macintosh 版、 UNIX 版 - Adobe Acrobat 9.4 およびそれ以前の Windows 版、Macintosh 版 なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を 受ける可能性があります。 2010年11月2日現在、この問題に対する解決策は提供されていません。 この問題は、修正済みのバージョンに該当する製品を更新することで解 決します。なお、Adobe Flash Player の修正済みのバージョンは 2010 年11月9日 (米国時間) までに、Adobe Reader および Acrobat の修正 済みのバージョンは 2010年11月15日の週に公開される予定です。対象 製品の回避策などの詳細については、Adobe が提供する情報を参照して ください。
関連文書 (日本語)
Adobe TechNote APSA10-05
Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/877/cpsid_87720.htmlJapan Vulnerability Notes JVNVU#298081
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU298081/index.html
関連文書 (英語)
Adobe Security Bulletin APSA10-05
Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-05.html
【3】glibc に権限昇格の脆弱性
情報源
US-CERT Vulnerability Note VU#537223
GNU C library dynamic linker expands $ORIGIN in setuid library search path
http://www.kb.cert.org/vuls/id/537223
概要
glibc には、権限昇格の脆弱性があります。結果として、ローカルユー ザが root 権限を取得する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに glibc を更新することで解決します。詳細については、 各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#537223
glibc に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU537223/index.htmlDebian セキュリティ勧告 DSA-2122-1
glibc -- 入力のサニタイズ漏れ
http://www.debian.org/security/2010/dsa-2122.ja.html
関連文書 (英語)
Red Hat Security Advisory RHSA-2010:0793-1
Important: glibc security update
https://rhn.redhat.com/errata/RHSA-2010-0793.html
【4】Linux カーネルに権限昇格の脆弱性
情報源
US-CERT Vulnerability Note VU#362983
Linux kernel RDS protocol vulnerability
http://www.kb.cert.org/vuls/id/362983
概要
Linux カーネルの RDS プロトコルの実装には、権限昇格の脆弱性があ ります。結果として、ローカルユーザが root 権限を取得する可能性が あります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#362983
Linux カーネルにおける RDS プロトコルの実装に脆弱性
https://jvn.jp/cert/JVNVU362983/index.html
関連文書 (英語)
Red Hat Security Advisory RHSA-2010:0792-1
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2010-0792.html
【5】「Adobe Shockwave Player に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Security Update for Shockwave Player
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_update_for3
概要
JPCERT/CC WEEKLY REPORT 2010-10-27 号【5】で紹介した「Adobe Shockwave Player に脆弱性」に関する追加情報です。 Adobe は解決策としてセキュリティアップデートを公開しました。詳細 については Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB10-25
Shockwave Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/877/cpsid_87721.htmlJPCERT/CC WEEKLY REPORT 2010-10-27 号
【5】Adobe Shockwave Player に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104101.html#5
関連文書 (英語)
Adobe Security Bulletin APSB10-25
Security update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb10-25.htmlAdobe Product Security Incident Response Team (PSIRT) Blog
Security update available for Adobe Shockwave Player
http://blogs.adobe.com/psirt/2010/10/security-update-available-for-adobe-shockwave-player.html
【6】Active! mail 6 に HTTP ヘッダインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#72541530
Active! mail 6 における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN72541530/index.html
概要
トランスウエアの Web メール Active! mail 6 には、HTTP ヘッダイン ジェクションの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で偽の情報を表示したり、任意のスクリプトを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - Active! mail 6 Build 6.40.010047750 およびそれ以前 この問題は、トランスウエアが提供する修正済みのバージョンに、 Active! mail 6 を更新することで解決します。
関連文書 (日本語)
トランスウエア
Active! mail 6 におけるHTTP ヘッダ・インジェクションの危険性について
http://www.transware.co.jp/security/am0610001.html
【7】Internet Week 2010 のお知らせ
情報源
Internet Week 2010
https://internetweek.jp/
概要
2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 3日目には IP Meeting 2010 が開催されます。例年のとおり、インター ネットをめぐるこの一年の動向を、様々な観点から振り返ります。 JPCERT/CC からは、「2010年セキュリティ事件簿」と題し、インターネッ トセキュリティの問題について今年を象徴するトピックをご紹介します。
関連文書 (日本語)
Internet Week 2010 - 参加申込
https://internetweek.jp/apply/Internet Week 2010
D3: IP Meeting 2010
https://internetweek.jp/program/d3/JPCERT コーディネーションセンター イベント情報
Internet Week 2010
https://www.jpcert.or.jp/event/internetweek2010.html
【8】フィッシング対策セミナー開催のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー
http://www.antiphishing.jp/news/event/post_34.html
概要
日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所: 東京会場 2010年11月17日(水)13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日(木)13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡(博多)会場 2010年11月19日(金)13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 :無料(ただし、事前に参加申込みが必要) 受付締切 :2010年11月15日(月)(満席になり次第受付終了) 参加申込先 :E-mail:ap-seminar@mri.co.jp 参加申込方法:参加を希望される会場(東京/大阪/福岡)、会社名、所属、役 職、氏名をメールにてご連絡ください。
関連文書 (日本語)
フィッシング対策協議会
http://www.antiphishing.jp/
【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 開催せまる
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part4「動的メモリ管理」の開催まで残り一 週間となりました。ひきつづき参加申し込みを受け付けております。皆 様奮ってご参加ください。 [日時] part4 <動的メモリ管理> 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○導入済みソフトウエアのアップデートに注意
JPCERT/CC には、Web 経由での攻撃の情報が多数寄せられています。こ れまでのように攻撃者によって誘導される怪しい Web サイト経由の攻 撃だけではなく、ニュースサイトや一般企業の正規サイトを経由してマ ルウエアを配布する攻撃も発生しています。 これらの攻撃では、ブラウザのアドオンが更新されていないことや、古 いバージョンの Java がインストールされたまま放置されているなど、 管理が行き届かない PC の既知の脆弱性を使用してマルウエアの感染活 動が行われています。 セキュリティ製品を導入するだけでなく、利用する PC のソフトウエア を最新のものにしておくことが重要です。Java、Flash Player、Adobe Reader などのアップデートは頻繁に行われています。あらためて確認 することをおすすめします。
参考文献 (日本語)
java.com
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jspAdobe
Adobe Flash Player
http://get.adobe.com/jp/flashplayer/Adobe
Adobe Readerの最新バージョンおよび旧バージョンのダウンロード
http://get.adobe.com/jp/reader/otherversions/
参考文献 (英語)
Microsoft Malware Protection Center
Have you checked the Java?
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/