<<< JPCERT/CC WEEKLY REPORT 2014-09-10 >>>
■08/31(日)〜09/06(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性
【3】EmFTP に脆弱性
【4】WisePoint に複数の脆弱性
【今週のひとくちメモ】Pre-loaded Public Key Pinning
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr143501.txt
https://www.jpcert.or.jp/wr/2014/wr143501.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Thunderbird
https://www.us-cert.gov/ncas/current-activity/2014/09/03/Mozilla-Releases-Security-Updates-Firefox-and-Thunderbird
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 32 より前のバージョン - Firefox ESR 24.8 より前のバージョン - Firefox ESR 31.1 より前のバージョン - Thunderbird 31.1 より前のバージョン - Thunderbird 24.8 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014 年 9 月 2 日)
http://www.mozilla-japan.org/security/announce/
【2】複数の Android アプリに SSL 証明書を適切に検証しない脆弱性
情報源
Japan Vulnerability Notes JVNVU#90369988
複数の Android アプリに SSL 証明書を適切に検証しない脆弱性
https://jvn.jp/vu/JVNVU90369988/index.html
概要
CERT/CC では独自に作成したツール CERT Tapioka を使用して、SSL 証明書の 検証を適切に行っていない Android アプリを調査しました。その結果、SSL 証明書を適切に検証しない Android アプリが複数発見されています。 調査を行ったアプリ名や手動による脆弱性確認結果などの情報については、別 途公開されているファイル "Android apps that fail to validate SSL" を参 照してください。また、調査手法の詳細については CERT/CC blog を参照して ください。
関連文書 (英語)
Google Docs
Android apps that fail to validate SSL
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharingCERT/CC Blog
Finding Android SSL Vulnerabilities with CERT Tapioca
https://www.cert.org/blogs/certcc/post.cfm?EntryID=204CERT/CC Vulnerability Analysis
CERT Tapioca
https://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm
【3】EmFTP に脆弱性
情報源
Japan Vulnerability Notes JVN#50367052
EmFTP における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN50367052/index.html
概要
株式会社エムソフトが提供する EmFTP には、実行ファイルの読み込みに関する 脆弱性があります。結果として、遠隔の第三者が、拡張子の付いていないロー カルファイルを開かせることで、該当製品を実行しているユーザの権限で任意 のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - EmFTP Standard - EmFTP Professional 2014年9月10日現在、EmFTP の開発および更新は終了しています。拡張子の付い ていないファイルを開く場合には、EmFTP から直接開くのではなく、別の方法 で開くようにしてください。
関連文書 (日本語)
EmEditor
EmFTP
https://jp.emeditor.com/about/other-products/emftp/
【4】WisePoint に複数の脆弱性
情報源
ファルコンシステムコンサルティング株式会社
WisePoint Ver4.1.19.9 Release Note
https://service.falconsc.com/service/product/patch/wp/4.1.x/4.1.19.9/release_note.txtJapan Vulnerability Notes JVN#49672671
WisePoint におけるセッション固定の脆弱性
https://jvn.jp/jp/JVN49672671/index.html
概要
WisePoint には複数の脆弱性があります。結果として、遠隔の第三者が登録ユー ザになりすましたり、ユーザのブラウザ上で任意のスクリプトを実行したりす るなどの可能性があります。 対象となるバージョンは以下の通りです。 - WisePoint バージョン 4.1.19.9 より前のバージョン この問題は、ファルコンシステムコンサルティング株式会社が提供する修正済 みのバージョンに WisePoint を更新することで解決します。詳細については、 ファルコンシステムコンサルティング株式会社が提供する情報を参照して下さ い。
関連文書 (日本語)
ファルコンシステムコンサルティング株式会社
WisePointパッチプログラムのダウンロード
https://service.falconsc.com/service/product/patch/index.html
■今週のひとくちメモ
○Pre-loaded Public Key Pinning
Firefox 32 では Pre-loaded Public Key Pinning と呼ばれる仕組みが実装さ れています。これは、証明書チェーンを構成する証明書に含まれる公開鍵情報 のハッシュ値を Web ブラウザ側であらかじめ持っておくもので、不正なサー バ証明書が使われたり、認証局が不正なサーバ証明書を発行していた場合に、 Web ブラウザ側で検出可能とすることを目的としています。この仕組みは Chromium でもバージョン 13 から実装されています。
参考文献 (英語)
Mozilla Security Blog
Public key pinning released in Firefox
https://blog.mozilla.org/security/2014/09/02/public-key-pinning/Mozilla Wiki
SecurityEngineering/Public Key Pinning
https://wiki.mozilla.org/SecurityEngineering/Public_Key_PinningThe Chromium Blog
New Chromium security features, June 2011
http://blog.chromium.org/2011/06/new-chromium-security-features-june.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/