<<< JPCERT/CC WEEKLY REPORT 2014-05-28 >>>
■05/18(日)〜05/24(土) のセキュリティ関連情報
目 次
【1】Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性
【2】Apple の Safari に複数の脆弱性
【3】複数の Cisco 製品に脆弱性
【4】Hanvon Face ID に認証欠如の問題
【今週のひとくちメモ】不正送金の被害にあわないために
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142001.txt
https://www.jpcert.or.jp/wr/2014/wr142001.xml
【1】Microsoft Internet Explorer 8 に解放済みメモリ使用の脆弱性
情報源
CERT/CC Vulnerability Note VU#239151
Microsoft Internet Explorer 8 CMarkup use-after-free vulnerability
https://www.kb.cert.org/vuls/id/239151
概要
Microsoft Internet Explorer 8 には、解放済みメモリ使用の脆弱性がありま す。結果として、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 8 2014年5月27日現在、Microsoft から修正プログラムは公開されていません。 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - Microsoft Internet Explorer 11 にアップグレードする - Enhanced Mitigation Experience Toolkit (EMET) を利用する - Active X コントロールおよびアクティブスクリプティングを無効化する
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97953185
Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性
https://jvn.jp/vu/JVNVU97953185/index.html
関連文書 (英語)
Zero Day Initiative (ZDI)
(0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability
http://zerodayinitiative.com/advisories/ZDI-14-140/
【2】Apple の Safari に複数の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for Safari
https://www.us-cert.gov/ncas/current-activity/2014/05/22/Apple-Releases-Security-Updates-Safari
概要
Apple の Safari には、複数の脆弱性があります。結果として、遠隔の第三者 が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりす る可能性があります。また、細工した URL により postMessage の origin を 誤って判別させる可能性があります。 対象となるバージョンは以下の通りです。 - Safari 6.1.4 より前のバージョン - Safari 7.0.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98457223
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98457223/index.html
関連文書 (英語)
Apple
About the security content of Safari 6.1.4 and Safari 7.0.4
http://support.apple.com/kb/HT6254
【3】複数の Cisco 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Security Advisories
https://www.us-cert.gov/ncas/current-activity/2014/05/21/Cisco-Releases-Security-Advisories
概要
複数の Cisco 製品には脆弱性があります。結果として、遠隔の第三者が、サ ービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Wide Area Application Services (WAAS) ソフトウエアバージョン 5.1.1 から 5.1.1d - Cisco Nexus - Cisco Unified Computing System (UCS) - Cisco MDS 9000 Series Multilayer Switches - Cisco 1000 Series Connected Grid Routers (CGR) この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。
関連文書 (英語)
Cisco Security Advisory
Cisco Wide Area Application Services Remote Code Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-waasCisco Security Advisory
Multiple Vulnerabilities in Cisco NX-OS-Based Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-nxos
【4】Hanvon Face ID に認証欠如の問題
情報源
CERT/CC Vulnerability Note VU#767044
Hanvon facial recognition (Face ID) devices do not authenticate commands
https://www.kb.cert.org/vuls/id/767044
概要
Hanvon の顔認識デバイス Face ID のファームウェアには、重要な機能に対す る認証の欠如の問題が存在します。結果として、遠隔の第三者が、ユーザ情報 およびアクセス制御に関する情報を改ざんする可能性があります。 対象となるバージョンは以下の通りです。 - Face ID ファームウェア 1.007.110 より前のバージョン この問題は、Hanvon が提供する修正済みのバージョンに Face ID のファーム ウェアを更新することで解決します。詳細については、Hanvon が提供する情報 を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95165083
Hanvon Face ID に認証欠如の問題
https://jvn.jp/vu/JVNVU95165083/index.html
■今週のひとくちメモ
○不正送金の被害にあわないために
前回の Weekly Report ではフィッシング対策協議会から公開されている「イ ンターネットバンキングの不正送金にあわないためのガイドライン」をご紹介 しました。 不正送金を行う手法の 1つとして、MITB(Man-In-The-Browser) と呼ばれるも のがあります。この手法は、ユーザの PC をマルウエアに感染させて、金融機 関のウェブサイトにアクセスした時に偽画面を表示し、ユーザに認証情報など を入力させるものです。 一般にこの攻撃を検知することは困難です。そのため、マルウエアに感染しな いように事前の予防策をとることが重要です。ガイドラインで「第二の鉄則」 として紹介されているように、使用しているソフトウエアやウイルス対策ソフ ト、ウイルス検知用データを最新の状態に保ち、怪しいウェブサイトへのアク セスは避けるようにしましょう。
参考文献 (日本語)
フィッシング対策協議会
資料公開: インターネットバンキングの不正送金にあわないためのガイドライン公開のお知らせ
https://www.antiphishing.jp/news/info/internetbanking_guidelineview.html
参考文献 (英語)
Wikipedia
Man-in-the-browser
http://en.wikipedia.org/wiki/Man-in-the-browser
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/