<<< JPCERT/CC WEEKLY REPORT 2010-09-08 >>>
■08/29(日)〜09/04(土) のセキュリティ関連情報
目 次
【1】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
【2】Apple iTunes に複数の脆弱性
【3】Google Chrome に複数の脆弱性
【4】RealNetworks RealPlayer に複数の脆弱性
【5】Blackboard Transact データベースに情報漏えいの脆弱性
【6】moobbs および moobbs2 にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPA、デジタル複合機の脆弱性に関する調査報告書を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103401.txt
https://www.jpcert.or.jp/wr/2010/wr103401.xml
【1】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Insecure Loading of Dynamic Link Libraries in Windows Applications
http://www.us-cert.gov/current/archive/2010/09/03/archive.html#insecure_loading_of_dynamic_link
概要
JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 マイクロソフトは、回避策のひとつとして「Fix it」を 2010年8月31日 に公開しました。詳細については、マイクロソフトが提供する情報を参 照してください。
関連文書 (日本語)
Microsoft Support
DLL 検索パス アルゴリズムを制御する新しい CWDIllegalInDllSearch レジストリ エントリについて
http://support.microsoft.com/kb/2264107/ja-jpJPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
【2】Apple iTunes に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases iTunes 10
http://www.us-cert.gov/current/archive/2010/09/03/archive.html#apple_releases_itunes_10
概要
Apple iTunes には、WebKit に起因する複数の脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - iTunes for Windows この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。
関連文書 (日本語)
Apple Support HT4328
iTunes 10 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4328?viewlocale=ja_JP
関連文書 (英語)
Apple Mailing Lists
APPLE-SA-2010-09-01-1 iTunes 10
http://lists.apple.com/archives/security-announce/2010/Sep/msg00000.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 6.0.472.53
http://www.us-cert.gov/current/archive/2010/09/03/archive.html#google_releases_chrome_6_0
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 6.0.472.53 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable and Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html
【4】RealNetworks RealPlayer に複数の脆弱性
情報源
US-CERT Current Activity Archive
RealNetworks Releases Update to Address Vulnerabilities in RealPlayer
http://www.us-cert.gov/current/archive/2010/09/03/archive.html#realnetworks_releases_update_to_address
概要
RealNetworks RealPlayer には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意 のコードを実行したり、機密情報を取得したりする可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。詳細については、RealNetworks が提供する情報を参照してください。
関連文書 (日本語)
RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/08262010_player/ja/
関連文書 (英語)
RealNetworks
RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://service.real.com/realplayer/security/08262010_player/en/
【5】Blackboard Transact データベースに情報漏えいの脆弱性
情報源
US-CERT Vulnerability Note VU#204055
Blackboard Transact database credentials disclosure
http://www.kb.cert.org/vuls/id/204055
概要
Blackboard Transact には、脆弱性があります。結果として、権限のな いユーザがデータベースの認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Blackboard Transact Suite 3.6 Patch 2 (バージョン 3.6.0.2) よ り前のバージョン 詳細については、Blackboard が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#204055
Blackboard Transact データベースに情報漏えいの脆弱性
https://jvn.jp/cert/JVNVU204055/index.html
関連文書 (英語)
Blackboard
Blackboard Transact Platform
http://www.blackboard.com/Commerce-Security/Transact-Platform.aspxBlackboard
Blackboard Transact Support
http://www.blackboard.com/Support/Transact-Support.aspx
【6】moobbs および moobbs2 にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#24423311
moobbs におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN24423311/index.htmlJapan Vulnerability Notes JVN#75101998
moobbs2 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN75101998/index.html
概要
無料素材屋 Moo の電子掲示板ソフトウエア moobbs および moobbs2 に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - moobbs 1.02 およびそれ以前 - moobbs2 1.02 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、配布元が提供する情報 を参照してください。
関連文書 (日本語)
無料素材屋 Moo
moobbs、およびmoobbs2CGIスクリプトの脆弱性に関する報告
http://common1.biz/cgi_bug.html無料素材屋 Moo
ノーマル掲示板CGI moobbs
http://common1.biz/material/cgi/32/無料素材屋 Moo
スレッド式掲示板CGI moobbs2
http://common1.biz/material/cgi/33/
■今週のひとくちメモ
○IPA、デジタル複合機の脆弱性に関する調査報告書を公開
8月30日に IPA から「MFP (デジタル複合機) の脆弱性に関する調査報 告書」が公開されました。これは、デジタル複合機に関連する脆弱性と その影響、対策などをまとめたものです。 みなさんの職場においても、デジタル複合機を社内ネットワークに接続 して利用しているところは多いと思います。どのような脅威が想定され るか、また、問題が発生したときの影響を最小限にする運用体制を検討 する材料として参考にしてみてはいかがでしょうか。
参考文献 (日本語)
情報処理推進機構:情報セキュリティ
デジタル複合機の脆弱性に関する調査報告書の公開
http://www.ipa.go.jp/security/fy21/reports/mfp/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/