PR

Hitach Incident Response Team

 2010年1月17日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Reader、Acrobat 9.3/8.2リリース(2010/01/12)

 米アドビ システムズからAdobe Reader 9.3、8.2とAcrobat 9.3、8.2がリリースされました。セキュリティ・アップデートでは、12月中旬の侵害活動に利用されたぜい弱性(CVE-2009-4324)など計8件のぜい弱性を解決します。セキュリティ・アップデートがリリースされるまでの経緯を振り返っておきましょう。

  • 2009年12月14日:Shadowserverが、少なくとも12月11日からPDFのぜい弱性を悪用した侵害活動が始まっていることをブログで報告
  • 2009年12月15日:米アドビ システムズが、「セキュリティ・アドバイザリAPSA09-07: Adobe ReaderおよびAcrobatに関するセキュリティ情報」で、新たに報告されたぜい弱性(CVE-2009-4324)を調査中であること、セキュリティ・アップデートは2010年1月12日リリースを予定していることを報告
  • 2010年1月4日:米サンズ・インスティチュートが、PDFのぜい弱性(CVE-2009-4324)を利用する悪質なPDFファイルが出回っていることを報告
  • 2010年1月12日:米アドビ システムズが、「セキュリティ速報APSB10-02:Adobe ReaderおよびAcrobat用セキュリティ・アップデート公開」で、Adobe ReaderとAcrobatの9.3、8.2のリリースを報告

 報告されたぜい弱性は既に侵害活動に利用されています。すみやかにAdobe Reader 9.3、8.2とAcrobat 9.3、8.2へのアップデートを実施してください。またUNIX版のAdobe Reader 8.x、Windows版、Macintosh版、UNIX版のAdobe ReaderおよびAdobe Acrobat 7.xのサポートは終了していますので、バージョンの移行を検討してください。

[参考情報]

オラクル2010年1月の四半期セキュリティ・アップデート(2010/01/12)

 Oracle Critical Patch Update - October 2009には、Oracle Database系10件、Oracle Application Server系3件、BEA製品系5件など、計24件のセキュリティ・アップデートが含まれています。

 このうちOracle Database系では、Oracle環境のバックアップを管理するSecure Backupにおいて、攻撃者の用意した任意のコード実行につながるぜい弱性(CVE-2010-0072)が報告されています。この問題は、TCPポート番号10000で稼働するSecure Backupサービス(observiced.exe)に、スタック・オーバーフローが存在するというもので、米ティッピングポイントの「Zero Day Initiative」によって確認されました。

 そのほかに報告されたぜい弱性は、該当するシステム上でのリモート攻撃者による任意のコード実行、情報漏えい、サービス運用妨害などにつながる可能性があります。オラクル製品の多くが、オラクル製品自身ならびにコンポーネントを取り込んだり共有したりしていて、一つのぜい弱性がいろいろな製品やコンポーネントに影響を与えるので注意が必要です。

[参考情報]

マイクロソフト2010年1月の月例セキュリティ・アップデート(2010/01/13)

 1月の月例セキュリティ・アップデートでは、Embedded OpenType(EOT)フォントのレンダリング処理において発生する1件のセキュリティ問題を解決します。

【 任意のコード実行 】
MS10-001:Embedded OpenTypeフォント・エンジンのぜい弱性

 またマイクロソフトでは1月13日に「セキュリティアドバイザリ(979267):Windows XPで提供されるAdobe Flash Player 6のぜい弱性」を公開しました。このアドバイザリでは、Windows XPとともに提供されていたAdobe Flash Player 6に複数のぜい弱性が存在することから、利用可能な最新バージョンのFlash Playerに更新するか、Flash Player ActiveXコントロールの削除を推奨しています。ぜい弱性はSecuniaによっては発見され、2007年10月に製品ベンダーにそのぜい弱性が通知されました。

 古いバージョンかどうかを確認する際には、http://jvnrss.ise.chuo-u.ac.jp/jtg/ex/oval_vcheck_flash_player.swfを利用できそうです。Adobe Flash Player 6の場合には、「Flash Player7以降でご覧ください」が表示されますので(表1)、最新バージョンへの更新か、ActiveXコントロールの削除をお勧めします。

表1●oval_vcheck_flash_player.swfの動作

[参考情報]

JDK/JRE 6 Update 18リリース(2010/01/15)

 JDK/JRE 6 Update 18がリリースされました。ただし、このリリースには、ぜい弱性に関する新しい修正は含まれていません。Update 18では、Windows 7をサポートし、アプリケーション起動やランタイム処理の性能改善を行っています。

[参考情報]

Cyber Security Bulletin SB10-011(2010/01/11)

 1月4日の週に報告されたぜい弱性の中からセキュアUSBのぜい弱性を取り上げます(Vulnerability Summary for the Week of January 4, 2010)。

■セキュアUSBにパスワード関連のぜい弱性(2010/01/07)

 暗号モジュールに関するセキュリティ要件を規定したFIPS 140-2(Federal Information Processing Standards Publication 140)に対応したセキュリティUSBに、パスワード関連のぜい弱性が報告されました。該当するUSBは、Kingston製DataTraveler BlackBox (DTBB)、DataTraveler Secure Privacy Edition (DTSP)、DataTraveler Elite Privacy Edition (DTEP)、SanDisk製Cruzer Enterprise USB、Enterprise FIPS Edition USB、Verbatim製Corporate Secure USB、Corporate Secure FIPS Edition USBです。

 いずれのUSBも、パスワード検証をPC上のプログラムで実施していること(CVE-2010-0221、CVE-2010-0224、CVE-2010-0227)、暗号化に使用するAES256ビットのキーが固定であること(CVE-2010-0222、CVE-2010-0225、CVE-2010-0228)、パスワードのリプレイ攻撃を防げないこと(CVE-2010-0223、CVE-2010-0226、CVE-2010-0229)を指摘されています。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。