9月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
マイクロソフト2012年9月の定例外セキュリティアップデート(2012/09/22)
9月22日、9月の定例外セキュリティアップデートと、Internet Explorer 10用のAdobe Flash Playerの脆弱性を修正する更新プログラムがリリースされました。
9月の定例外セキュリティアップデートでは、任意のコード実行を許してしまうInternet Explorerの脆弱性5件を解決しています。脆弱性(CVE-2012-4969)は、9月中旬に発見されたもので、既に脆弱性を悪用した侵害活動が確認されています(図1)。Internet Explorer 10用のAdobe Flash Playerの脆弱性を修正する更新プログラムでは、Adobeセキュリティ情報APSB12-18およびAPSB12-19で報告された脆弱性を解決しています(図2)。
- マイクロソフト:MS12-063: Internet Explorer用の累積的なセキュリティ更新プログラム(2744842)
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(2755801): Internet Explorer 10 における Adobe Flash Player の脆弱性に関する更新プログラム
米アップル製品に複数の脆弱性
■Safari 6.0.1リリース(2012/09/19)
Safari 6.0.1では、Safari、WebKitコンポーネントに存在する計60件のセキュリティ問題を解決しています。Safariコンポーネントには情報漏洩、なりすましを許してしまう計3件のセキュリティ問題が存在します。WebKitには、不正なサイトにアクセスした際に、任意のコードやサービス拒否攻撃を許してしまう問題など計58件のセキュリティ問題が存在します。
■セキュリティアップデート2012-004(2012/09/19)
Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7~v10.7.4、OS X Lion Server v10.7~v10.7.4、OS X Mountain Lion v10.8~v10.8.1のセキュリティアップデートがリリースされました。影響を受けるコンポーネントは、Apache、BIND、CoreText、Data Security、DirectoryService、ImageIO、Installer、International Components for Unicode、Kernel、LoginWindow、Mail、Mobile Accounts、PHP、Profile Manager、QuickLook、QuickTime、Ruby、USBで、計34件の脆弱性問題を解決しています。
■iOS 6リリース(2012/09/19)
iOS 6では、CFNetwork、CoreGraphics、CoreMedia、DHCP、IPSec、ImageIO、International Components for Unicode、Kernel、Mail、Messages、Office Viewer、OpenGL、Passcode Lock、Restrictions、
Safari、System Logs、Telephony、UIKit、WebKit、libxmlコンポーネントに存在する約200件の脆弱性を解決しています。
Adobe Flash Player 11.4.402.278リリース(2012/09/18)
Windows版Adobe Flash Player 11.4.402.278、10.3.183.25がリリースされました。なお、9月23日時点で、アップデートに関する詳細な情報は公開されていません。
Samba 3.6.8リリース(2012/09/17)
Samba 3.6.8は、バグ修正を目的としたリリースで、smbdならびにWinbindの異常終了など、約20件のバグを修正しています。セキュリティアップデートは含まれていません。
制御システム系製品の脆弱性
■FultekのWinTr(2012/09/18)
Fultek(fultek.com.tr)が開発しているSCADA製品WinTrには、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2012-3011)が存在します。
■シーメンスのSIMATIC Controller(2012/09/19)
シーメンス(siemens.com)のSIMATIC S7-1200には、HTTPS通信用のCA証明書の秘密鍵がインストールされているという脆弱性(CVE-2012-3037)が存在します。この脆弱性は、CA証明書の秘密鍵を利用した偽の証明書の作成などの侵害活動に悪用される可能性があります。
■ORing Industrial NetworkingのIDS(2012/09/19)
ORing Industrial Networking(oring-networking.com)のデバイスサーバーであるORing Industrial DIN-Rail Device Server 5042/5042+には、管理者権限でアクセスできるSSH通信用の資格情報がハードコーディングされているという脆弱性(CVE-2012-4577)が存在します。
Cyber Security Bulletin SB12-261(2012/09/17)
9月10日の週に報告された脆弱性の中から、F5ネットワークスのBIG-IP Application Security Managerと、米ヒューレット・パッカードのHP Business Availability Centerの脆弱性を取り上げます(Vulnerability Summary for the Week of September 10, 2012)。
■BIG-IP Application Security Manager(2012/09/06)
F5ネットワークスのWebアプリケーションファイアウォール製品BIG-IP ASM(Application Security Manager)のトラフィックページには、クロスサイトスクリプティングの脆弱性(CVE-2012-2975)が存在します。
■HP Business Availability Center(2012/09/06)
サービスを利用する視点から、ビジネスサービスとアプリケーションの提供状況を監視するHP Business Availability Center(BAC)のバージョン8.07には、クロスサイトスクリプティング(CVE-2012-3255)、クロスサイトリクエストフォージェリーの脆弱性(CVE-2012-3256)、セッションハイジャックを許してしまう脆弱性(CVE-2012-3257)が存在します。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
