 |
JPCERT セキュリティ情報 2010.06.30
|
JPCERT-WR-2010-2401
JPCERT/CC
2010-06-30
<<< JPCERT/CC WEEKLY REPORT 2010-06-30 >>>
——————————————————————————————————————
■06/20(日)~06/26(土) のセキュリティ関連情報
——————————————————————————————————————
== 目 次 ==================================================================
【1】Mozilla 製品群に複数の脆弱性
【2】Apple iOS に複数の脆弱性
【3】Google Chrome に複数の脆弱性
【4】Explzh にバッファオーバーフローの脆弱性
【5】S2 NetBox に脆弱性
【今週のひとくちメモ】Firefox 3.5 のサポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102401.html
https://www.jpcert.or.jp/wr/2010/wr102401.xml
============================================================================
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.4
http://www.us-cert.gov/current/archive/2010/06/25/archive.html
#mozilla_releases_firefox_3_62
DOE-CIRC Technical Bulletin T-387
Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2010-26/27/28/29/30/32
Remote Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-387.shtml
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 3.6 系、Firefox 3.5 系
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
なお、Mozilla プロジェクトからは、Firefox のクラッシュ防止機能の
修正を行なった 3.6.6 が公開されています。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 3.6.6 - 2010/06/26 リリース
http://mozilla.jp/firefox/3.6.6/releasenotes/
Mozilla Japan
Firefox リリースノート - バージョン 3.6.4 - 2010/06/22 リリース
http://mozilla.jp/firefox/3.6.4/releasenotes/
Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/
firefox36.html#firefox3.6.4
Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.10 - 2010/06/22 リリース
http://mozilla.jp/firefox/3.5.10/releasenotes/
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.10 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/
firefox35.html#firefox3.5.10
SeaMonkey Project
SeaMonkey 2.0.5 リリースノート
http://www.seamonkey.jp/ja/releases/seamonkey2.0.5/
SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.5 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/
seamonkey20.html#seamonkey2.0.5
Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.5 - 2010/06/17 リリース
http://mozilla.jp/thunderbird/3.0.5/releasenotes/
Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.5 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/
thunderbird30.html#thunderbird3.0.5
関連文書 (英語)
Red Hat Security Advisory RHSA-2010:0501-2
Critical: firefox security, bug fix, and enhancement update
https://rhn.redhat.com/errata/RHSA-2010-0501.html
Red Hat Security Advisory RHSA-2010:0500-1
Critical: firefox security, bug fix, and enhancement update
https://rhn.redhat.com/errata/RHSA-2010-0500.html
Red Hat Security Advisory RHSA-2010:0499-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0499.html
【2】Apple iOS に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases iOS 4
http://www.us-cert.gov/current/archive/2010/06/25/archive.html
#apple_releases_ios_4
概要
Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者
がアクセス制限を回避したり、任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- iOS for iPhone 3G 2.0 から 3.1.3
- iOS for iPod touch 2.1 から 3.1.3
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
関連文書 (日本語)
Apple Support HT4225
About the security content of iOS 4
http://support.apple.com/kb/HT4225?viewlocale=ja_JP
関連文書 (英語)
Apple Mailing List APPLE-SA-2010-06-21-1
iOS 4
http://lists.apple.com/archives/security-announce/2010/Jun/
msg00003.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 5.0.375.86
http://www.us-cert.gov/current/archive/2010/06/28/archive.html
#google_releases_chrome_5_02
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 5.0.375.86 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google Chrome
を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/06/
stable-channel-update_24.html
【4】Explzh にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#34729123
Explzh におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN34729123/index.html
概要
Explzh には、バッファオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が細工した LHA 書庫ファイルを処理させることで、
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Explzh Ver.5.62 およびそれ以前
Explzh に含まれている Arcext.dll のバージョンが 2.16.1 およびそ
れ以前である場合、本脆弱性の影響を受けます。
この問題は、配布元が提供する修正済みのバージョンに Explzh を更新
することで解決します。
関連文書 (日本語)
pon software - 既知の不具合とその回避方法、制限事項、脆弱性情報など
Explzh におけるバッファオーバーフローの脆弱性 (2010/6/22)
http://www.ponsoftware.com/archiver/bug.htm#lzh_bufover
【5】S2 NetBox に脆弱性
情報源
US-CERT Vulnerability Note VU#251133
S2 NetBox allows unauthenticated HTTP access to node logs, backups,
and employee photographs
http://www.kb.cert.org/vuls/id/251133
概要
S2 Netbox には、認証が適切に行われない脆弱性が存在します。結果と
して、遠隔の第三者によって、ログやバックアップなどを不正にアクセ
スされる可能性があります。
対象となるバージョンは以下の通りです。
- S2 Netbox 2.5、3.3、4.0
なお、S2 Netbox をもとに開発されている Linear (旧 IEI) eMerge お
よび Sonitrol eAccess も本脆弱性の影響を受ける可能性があります。
この問題は、ベンダが提供する修正済みのバージョンに S2 Netbox を
更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#251133
S2 Netbox に脆弱性
https://jvn.jp/cert/JVNVU251133/
ビデオテクニカ
S2 Netbox
http://www.videotechnica.co.jp/products/comp_sec_s2.html
関連文書 (英語)
S2 Security
S2 NetBox
http://www.s2sys.com/page/netbox/26
——————————————————————————————————————
■今週のひとくちメモ
——————————————————————————————————————
○Firefox 3.5 のサポート終了
Mozilla Firefox の 3.5 に対するセキュリティアップデートの提供は
2010年8月まで、という予定が表明されています。
Firefox 3.6.x へ移行していないユーザは、使用するアドオンの対応状
況や他アプリケーションとの連携などの確認を行い、Firefox 3.6.x へ
移行することをお勧めします。
参考文献 (日本語)
Mozilla Japan
次世代ブラウザ Firefox - 旧バージョンのダウンロード Firefox 3.5
http://mozilla.jp/firefox/download/older/#sec-firefox35
JPCERT/CC WEEKLY REPORT 2010-03-25
【今週のひとくちメモ】Firefox 3.0.x のサポート終了
https://www.jpcert.or.jp/wr/2010/wr101101.html#Memo
——————————————————————————————————————
■JPCERT/CC からのお願い
——————————————————————————————————————
◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
を参照してください。
https://www.jpcert.or.jp/form/
以上。
__________
2010 (C) JPCERT/CC
|