2013年3月に入って、ICS-CERTサイトのURLが、http://www.us-cert.gov/control_systems/からhttp://ics-cert.us-cert.gov/ics-cert/に変更になりました。また、注意喚起やアドバイザリーなどにTLP(Traffic Light Protocol)による情報共有レベル区分が明記されるようになりました(図1)。
- US-CERT:Traffic Light Protocol(TLP)Matrix and Frequently Asked Questions
- NISC:(参考)Traffic Light Protocolの概要
ここからは、3月10日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Java SE 7 Update 17、Java SE 6 Update 43リリース(2013/03/04)
Java SE 7 Update 17、Java SE 6 Update 43では、JREの2Dコンポーネントに存在する2件の脆弱性(CVE-2013-0809、CVE-2013-1493)を解決しています。脆弱性(CVE-2013-1493)は、領域外のメモリー参照(out-of-bounds read)、メモリー破損に起因する問題で、2Dコンポーネントのカラーマネージメントにおいて、不正な画像ファイルを適切に処理できずに、任意のコード実行を許してしまう可能性があります。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください(図2)。
- オラクル:Oracle Security Alert for CVE-2013-1493
- オラクル:Java SE 7 Update 17リリースノート
- オラクル:Java SE 6 Update 43リリースノート
米アップルJava for OS X、Java for Mac OS Xセキュリティアップデート(2013/03/04)
Java SE 6 Update 43リリースに合わせて、セキュリティアップデートJava for Mac OS X 10.6 Update 14、Java for OS X 2013-002がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_43に更新し、2件の脆弱性を解決しています。
Firefox 19.0.2、ESR 17.0.4リリース(2013/03/07)
Firefox 19.0.2、ESR 17.0.4では、HTMLエディター内部に存在するメモリーの解放後使用(use-after-free)に起因し、任意のコード実行を許してしまう脆弱性を解決しています。
Thunderbird 17.0.4、ESR 17.0.4リリース(2013/03/07)
Thunderbird 17.0.4、ESR 17.0.4では、HTMLエディター内部に存在するメモリーの解放後使用(use-after-free)に起因し、任意のコード実行を許してしまう脆弱性を解決しています。
制御システム系製品の脆弱性
■360 SystemsのImage Server(2013/03/06)
360 Systems(360systems.com)のビデオサーバーImage Server 2000シリーズ、Maxxシリーズには、管理者権限のパスワードがハードコーディングされているという脆弱性(CVE-2012-4702)が存在します。脆弱性を悪用された場合、SSHログインを利用して侵入を許してしまう可能性があります。影響を受ける製品は、放送や緊急サービスなどで利用されています。
■エマソンのDeltaV(2013/03/06)
エマソン(emerson.com)の分散型制御システム(DCS)Delta-Vのコントローラー製品であるDeltaV SE3006 SD Plus、DeltaV VE3005 Controller MD、DeltaV VE3006 Controller MD PLUSには、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-4703)が存在します。この問題は、Delta-Vのコントローラー製品でのリソース制御が適切でないことに起因しています。ポート番号23/TCP、513/TCP、161/UDPで不正なパケットを受信した場合にコントローラーが再起動してしまう可能性があります。
■AdvantechのStudio(2013/03/08)
2013年1月に報告されたAdvantech(advantech.com)のHMI SCADAソフトウエアであるAdvantech Studioの続報です。情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2013-1627)にCVE番号が割り当てられました。この問題は、InduSoft(indusoft.com)が提供しているHMI SCADAソフトウエアInduSoft Web Studioで確認されている問題と同一です。なお、AdvantechとInduSoftは、2000年からHMI SCADAソフトウエアなどで提携しています。
- ICS-CERT:ICSA-13-067-01: Indusoft Advantech Studio Directory Traversal
- ICS-CERT:ICS-ALERT-13-004-01: Advantech Studio Directory Traversal
Cyber Security Bulletin SB13-063(2013/03/04)
2月25日の週に報告された脆弱性の中から、Google Chromeの脆弱性を取り上げます(Vulnerability Summary for the Week of February 25, 2013)。
■Google Chrome 25.0.1364.172リリース(2013/03/12)
2月21日リリースされたChrome 25(25.0.1364.97 for Windows and Linux, and 25.0.1364.99 for Mac)では、2件のメモリーの解放後使用(use-after-free)、1件の領域外メモリー参照(out-of-bounds read)、3件の整数オーバーフローなど、計22件の脆弱性(CVE-2013-0879~CVE-2013-0900)を解決しています。
3月4日リリースされたChrome 25.0.1364.152では、3件のメモリーの解放後使用(use-after-free)、1件のメモリー破損)、パストラバーサルを許してしまう脆弱性など、計10件の脆弱性(CVE-2013-0902~CVE-2013-0911)を解決しています。
3月7日リリースされたChrome 25.0.1364.160では、WebKitに存在する脆弱性(CVE-2013-0912)を解決しています。また、3月12日には、安定性の改善とFlash Playerを更新したChrome 25.0.1364.172がリリースされています(図3)。
- Google:Stable Channel Update(25.0.1364.172)
- Google:Stable Channel Update(25.0.1364.160)
- Google:Stable Channel Update(25.0.1364.155 for Mac)
- Google:Stable Channel Update(25.0.1364.152)
- Google:Stable Channel Update(25.0.1364.152 for Mac)
- Google:Stable Channel Update(25.0.1364.97 for Windows and Linux, and 25.0.1364.99 for Mac)
- Google:Stable Channel Update(24.0.1312.71 for Windows)
- Google:Stable Channel Update(24.0.1312.70 for Linux)
- Google:Stable Channel Update(24.0.1312.60 for Windows)
- Google:Stable Channel Update(24.0.1312.68 for Linux)
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
