セキュリティホール memo - 2012.02

Last modified: Mon Jul 16 15:49:11 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.02.29

When Do I Need to Apply This Update - Adding Priority Ratings to Adobe Security Bulletins
(Adobe, 2012.02.28)

 プライオリティ 1, 2, 3 の 3 種類だそうで。 Adobe Reader や Flash Player は 1 か 2 しかないと理解していいのかな。

2012.03.23 追記:

 抄訳版出ました: セキュリティ情報に追加された「優先度」について (Adobe)

制御機器の脆弱性に関する注意喚起 〜制御システムへの攻撃ルートの分析とセキュリティ対策の検討を!〜
(IPA, 2012.02.29)

 ICS-ALERT-12-020-01 - S4 Disclosure of Multiple PLC Vulnerabilities in Major ICS Vendors (ISC-CERT) の件。

Security Update 2012-02-27 released
(PostgreSQL, 2012.02.27)

 PostgreSQL 9.1.3 / 9.0.7 / 8.4.11 / 8.3.18 登場。3 件のセキュリティ欠陥が修正されている。


2012.02.28


2012.02.27

DNS Changerマルウェア感染に関する注意喚起
(IIJ-SECT, 2012.02.27)

 対応しませう。

DCWG (DNS Changer Working Group) によると、1月末時点で約45万の感染端末が観測されており、まだ感染したままのユーザは3月8日以降 DNSの名前解決ができなくなります。

 設定されている DNS サーバがまともなのかどうなのか、このページでチェックできるそうで。

2012.03.06 追記:

 DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 (JPCERT/CC, 2012.03.06)

2012.03.07 追記:

 DNS Changerマルウェア感染に関する注意喚起 (続報) (IIJ-SECT, 2012.03.07)。4 か月延長されたそうで。

2012.05.22 追記:

 DNS Changer マルウエア感染確認サイト公開のお知らせ (JPCERT/CC, 2012.05.22)。http://www.dns-ok.jpcert.or.jp/。 https じゃないのか……。 https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS にはまだ掲載されてませんね。

2012.05.24 追記:

 Notifying users affected by the DNSChanger malware (Google, 2012.05.22)

2012.05.31 追記:

 関連:

2012.06.12 追記:

 関連:

2012.07.04 追記:

 FBIはDNSChangerサーバの継続で再認可されるべきか? (エフセキュアブログ, 2012.07.02)

2012.07.09 追記:

 そして皆さん、いよいよ「その時」がやってまいります。ました。

2012.07.10 追記:

 DNS Changer - FBIによるDNSサーバの運用停止後の状況とまとめ (IIJ SECT, 2012.07.10)

2012.07.16 追記:

 乗り越えた「インターネット最後の日」 (トレンドマイクロ セキュリティ blog, 2012.07.13)

追記

SYM12-002: Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering

 関連:


2012.02.24

[重要] Movable Type 5.13 および、5.07、4.38 セキュリティーアップデートの提供を開始
(movabletype.jp, 2012.02.22)

 Movable Type 4.38 / 5.07 / 5.13 登場。XSS、セッションハイジャック、CSRF、OS コマンドインジェクションと、てんこもりな欠陥を修正。

 テンプレートの変更を含むため、アップグレード後にテンプレートの初期化を行う必要がある。 詳細は、5.13、5.07、4.38 へのアップグレード後に必要な作業 を参照。


2012.02.22


2012.02.21


2012.02.20

libpng 画像ライブラリの脆弱性を修正した Firefox と Thunderbird のセキュリティアップデートを公開しました
(mozilla.jp, 2012.02.18)

 Firefox / Firefox ESR 10.0.2、Firefox 3.6.27、Thunderbird / Thunderbird ESR 10.0.2、Thunderbird 3.1.19、SeaMonkey 2.7.2 登場。 Firefox / Thunderbird / SeaMonkey が使用している libpng の欠陥を修正。


2012.02.17

追記

Ghost Domain Names: Revoked Yet Still Resolvable

 「ghost domain names(幽霊ドメイン名)」脆弱性について (JPRS, 2012.02.17)。痒いところに手が届く解説。


2012.02.16

いろいろ (2012.02.16)
(various)

追記

Ghost Domain Names: Revoked Yet Still Resolvable

 BIND だけでなく、複数の DNS 実装に欠陥があるそうで。プロトコル上での挙動が明記されていない部分なため、実装によって問題が出たり出なかったりしている模様。

 Ghost Domain Names: Revoked Yet Still Resolvable (ISC) は 2012.02.08 付で 2.0 に改訂されている。早急な patch は不要と判断された模様。

On further review, ISC has determined that this is not an issue which needs an immediate patch. The issue is being reviewed at the protocol level and will be addressed there. Implementing DNSSEC is the safest mitigation measure.

いろいろ (2012.02.14)

 CVE-2012-0831 の件、 実際はこんな話だった模様: 勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」 (co3k.org, 2012.02.15)。スッポソ @supp0n さん情報ありがとうございます。

要するに、 PHP 5.3.11 の開発中のソースコードにのみ存在する問題であり、現在リリースされているすべてのバージョンの PHP にはこの脆弱性は存在しません。
原因は PHP 5.3.11-dev に加わった http://svn.php.net/viewvc?view=revision&revision=323016 のコミットです。このコミットは PHP 5.3.10 以前、つまりリリースされている PHP には含まれていません。

Microsoft 2012 年 2 月のセキュリティ情報

 書いた。

Google Chrome Stable Channel Update
(Google, 2012.02.15)

 Google Chrome 17.0.963.56 登場。13 件のセキュリティ欠陥が修正されている。 APSB12-03: Security update available for Adobe Flash Player にあわせて Flash Player も更新されている。

APSB12-03: Security update available for Adobe Flash Player
(Adobe, 2012.02.15)

 Flash Player 11.1.102.62 for Windows / Mac / Linux / Solaris, Flash Player 11.1.115.6 for Android 4.x, Flash Player 11.1.111.6 for Android 3.x 登場。 7 件のセキュリティ欠陥 CVE-2012-0751 CVE-2012-0752 CVE-2012-0753 CVE-2012-0754 CVE-2012-0755 CVE-2012-0756 CVE-2012-0767 が修正されている。 CVE-2012-0767 はユニバーサル XSS、他は任意のコードの実行を招くもの。 CVE-2012-0767 は既に悪用が確認されている。

 Google Chrome 内蔵の Flash Player については、17.0.963.56 で修正されている。

 関連:

2012.03.13 追記:

 Adobe Flash Playerのメモリ破損の脆弱性 (CVE-2012-0754)に関する検証レポート (NTTデータ先端技術, 2012.03.12)


2012.02.15

Microsoft 2012 年 2 月のセキュリティ情報
(Microsoft, 2012.02.15)

 9 件出てます (あとで書く)

 関連:

2012.02.16 追記:

 書いた。

MS12-008 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2660465)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 2 つ欠陥。

  • GDI のアクセス違反の脆弱性 - CVE-2011-5046

    任意のコードが実行される。Server Core インストールを除く OS 形態が「緊急」、Server Core は「重要」。Exploitability Index: 2

  • キーボード レイアウトの解放後使用の脆弱性 - CVE-2012-0154

    権限上昇を招く。Exploitability Index: 1

MS12-009 - 重要: Ancillary Function ドライバーの脆弱性により、特権が昇格される (2645640)

 Windows XP 64bit / Server 2003 / Vista 64bit / Server 2008 64bit / 7 64bit / Server 2008 R2 に 2 つ欠陥。

  • AfdPoll の特権の昇格の脆弱性 - CVE-2012-0148。Exploitability Index: 1

  • Ancillary Function ドライバーの特権の昇格の脆弱性 - CVE-2012-0149。Exploitability Index: 1

MS12-010 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2647516)

 IE 6 / 7 / 8 / 9 に 4 つの欠陥。

  • コピーおよび貼り付けの情報漏えいの脆弱性 - CVE-2012-0010

    Exploitability Index: N/A

  • HTML レイアウトのリモートでコードが実行される脆弱性 - CVE-2012-0011

    IE 7〜9。Exploitability Index: 1

  • Null バイトの情報漏えいの脆弱性 - CVE-CVE-2012-0012

    IE 9 のみ。Exploitability Index: 3

  • VML のリモートでコードが実行される脆弱性 - CVE-2012-0155

    IE 9 のみ。Exploitability Index: 1

MS12-011 - Important: Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841)

 SharePoint Server 2010、SharePoint Foundation 2010 に 3 つの XSS 欠陥。 いずれも Exploitability Index: 1

 関連:

MS12-012 - 重要: カラー コントロール パネルの脆弱性により、リモートでコードが実行される (2643719)

 Windows Server 2008 / Server 2008 R2 に欠陥 (ただし Server Core は除く)。カラー コントロールパネルに DLL 読み込みに関する脆弱性。Exploitability Index: 1

 関連:

MS12-013 - 緊急: C ランタイム ライブラリの脆弱性により、リモートでコードが実行される (2654428)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。msvcrt.dll に buffer overflow する欠陥があり、remote から任意のコードを実行できる。 CVE-2012-0150。Exploitability Index: 1

 関連:

MS12-014 - 重要: Indeo コーデックの脆弱性により、リモートでコードが実行される (2661637)

 Windows XP に欠陥。Indeo コーデックで DLL 読み込みに関する脆弱性。Exploitability Index: 1

 関連: MS12-014: Indeo, a blast from the past (Microsoft Security Research & Defense, 2012.02.14)

MS12-015 - 重要: Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2663510)

 Visio Viewer 2010 に 5 つの欠陥。いずれも、攻略 VSD ファイルによって任意のコードが実行される。

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0019。Exploitability Index: 1

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0020。Exploitability Index: 1

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0136。Exploitability Index: 3

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0137。Exploitability Index: 3

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0138。Exploitability Index: 3

MS12-016 - 緊急: .NET Framework および Microsoft Silverlight の脆弱性により、リモートでコードが実行される (2651026)

 .NET Framework 2.0 SP2 / 3.5.1 / 4、Silverlight 4 に 2 つの欠陥。 Mac 版 Silverlight 4 も影響を受ける。

  • .NET Framework のアンマネージ オブジェクトの脆弱性 - CVE-2012-0014。Exploitability Index: 1

  • .NET Framework のヒープ破損の脆弱性 - CVE-2012-0015。Exploitability Index: 1。 .NET Framework 2.0 SP2 / 3.5.1 のみ。

 .NET Framework 1.1 SP1 / 3.5 SP1、Silverlight 5 には影響はない。

アドビ、深刻な脆弱性を修正した「Shockwave Player 11.6.4.634」公開
(so-net セキュリティ通信, 2012.02.15)

 APSB12-02: Security update available for Adobe Shockwave Player (Adobe, 2012.02.14) の件。9 件のセキュリティ欠陥が Shockwave Player 11.6.4.634 で修正されている。

 修正項目: CVE-2012-0757 CVE-2012-0758 CVE-2012-0759 CVE-2012-0760 CVE-2012-0761 CVE-2012-0762 CVE-2012-0763 CVE-2012-0764 CVE-2012-0766

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開
(so-net セキュリティ通信, 2012.02.15)

 Oracle Java SE Critical Patch Update Advisory - February 2012 (Oracle, 2012.02.14) の件。計 14 件のセキュリティ欠陥が Java SE 6 Update 31 / Java SE 7 Update 3 および JavaFX 2.0.3 で更新されている。

 修正項目: CVE-2011-3563 CVE-2011-3571 CVE-2011-5035 CVE-2012-0497 CVE-2012-0498 CVE-2012-0499 CVE-2012-0500 CVE-2012-0501 CVE-2012-0502 CVE-2012-0503 CVE-2012-0504 CVE-2012-0505 CVE-2012-0506 CVE-2012-0508CVE-2012-0508 は JavaFX にのみ影響。

2012.03.05 追記:

 Oracle Java SE JDKおよびJREのDeploymentサブコンポーネントにおける脆弱性 (CVE-2012-0500)に関する検証レポート (NTTデータ先端技術, 2012.02.28)、 修正されたばかりのJREの脆弱性を突くコードが公開〜今すぐアップデートを (so-net セキュリティ通信, 2012.03.02)

2012.04.04 追記:

 Oracle Java SE Critical Patch Update Advisory - February 2012 (Oracle, 2012.02.14) は 2012.02.17 付で改訂されている。CVE-2011-3571CVE-2012-0507 につけ変えたそうで。

 Mac 版 Java SE 6 Update 31、ようやく出ました: About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7 (Apple, 2012.04.03)。 既に悪用されているので、Mac 利用者は大急ぎで適用しませう。

 関連:

2012.04.09 追記:

 Mac 版 Java SE 6 Update 31、謎の更新が行われたようで:

2012.04.10 追記:

 関連:

2012.04.12 追記:

 関連:

2012.04.18 追記:

 関連:

2012.04.23 追記:

 関連:

2012.04.24 追記:

 関連:

2012.05.01 追記:

 OSX.Flashback.K の背後にある金銭的な動機 (シマンテック, 2012.05.01)。広告料を稼ぐ。

広告クリック型のトロイの木馬は目新しいものではなく、昨年の 8 月に行った W32.Xpaj.B の解析でも、25,000 件の感染が観測された地域のボットネットから 1 日当たり最大 450 ドルの収益があったものと考えられています。Flashback Trojan の場合は規模が数 10 万件に達していることから、この数字は 1 日当たり優に 10,000 ドル以上に及ぶでしょう。

実に儲けの大きい犯罪と言えます。だからなおのこと、Mac をお使いの方はパッチをすべて適用し、ウイルス対策定義を最新の状態に保つことが重要です。

2012.05.08 追記:

 関連:

2012.05.16 追記:

 Apple 純正 FlashBack 削除ツール、Mac OS X 10.5 にも提供されたそうで: About the security content of Flashback Removal Security Update (Apple, 2012.05.14)

2012.05.18 追記:

 OSX.Flashback - ボットネットが利益を上げるための手口 (シマンテック, 2012.05.18)


2012.02.14

いろいろ (2012.02.14)
(various)

2012.02.16 追記:

 CVE-2012-0831 の件、 実際はこんな話だった模様: 勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」 (co3k.org, 2012.02.15)。スッポソ @supp0n さん情報ありがとうございます。

要するに、 PHP 5.3.11 の開発中のソースコードにのみ存在する問題であり、現在リリースされているすべてのバージョンの PHP にはこの脆弱性は存在しません。
原因は PHP 5.3.11-dev に加わった http://svn.php.net/viewvc?view=revision&revision=323016 のコミットです。このコミットは PHP 5.3.10 以前、つまりリリースされている PHP には含まれていません。

追記

Firefox 10.0 / 10.0 ESR / 3.6.26、Thunderbird 10.0 / 10.0 ESR / 3.1.18、SeaMonkey 2.7 登場

 Firefox / Thunderbird 10.0.1 / 10.0.1 ESR、SeaMonkey 2.7.1 が公開されている。 MFSA 2012-10: nsXBLDocumentInfo::ReadPrototypeBindings における解放後使用の問題 が修正されている。

Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS

 ubuntu の USN-1358-1: PHP vulnerabilities が 2012.02.09 に出たので修正。


2012.02.09

Clarifying The Trustwave CA Policy Update
(Trustwave, 2012.02.04)

 認証局 Trustwave は、中間介入攻撃 (MITM attack) を実施できる証明書を発行していた。当該証明書を含んだ装置は SSL proxy として動作し、SSL 暗号化通信を全て解除できる。 当該証明書が発行されたのは企業の内部ネットワーク用であり、政府や ISP や法執行機関ではないとされている。

 Mozilla は Firefox / Thunderbird から Trustwave の root 証明書を削除: Bug 724929 - Remove Trustwave Certificate(s) from trusted root certificates (Mozilla)

Google Chrome Stable Channel Update
(Google, 2012.02.08)

 Google Chrome 17.0.963.46 登場。20 件のセキュリティ欠陥が修正されている。 Chrome 17 はセキュリティ面での新機能もあるそうで。


2012.02.08

いろいろ (2012.02.08)
(various)

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2012.02.06)

 Windows 用および Mac 用の RealPlayer に、任意のコードの実行を招く欠陥。 Windows 用 RealPlayer 15.02.71、Mac 用 RealPlayer 12.0.0.1703 で修正されている。

Ghost Domain Names: Revoked Yet Still Resolvable
(ISC, 2012.02.07)

 BIND 9 に欠陥。ドメインがレジストリから削除されても cache され続けてしまう。CVE-2012-1033

 回避方法なし。patch は現在テスト中。

2012.02.16 追記:

 BIND だけでなく、複数の DNS 実装に欠陥があるそうで。プロトコル上での挙動が明記されていない部分なため、実装によって問題が出たり出なかったりしている模様。

 Ghost Domain Names: Revoked Yet Still Resolvable (ISC) は 2012.02.08 付で 2.0 に改訂されている。早急な patch は不要と判断された模様。

On further review, ISC has determined that this is not an issue which needs an immediate patch. The issue is being reviewed at the protocol level and will be addressed there. Implementing DNSSEC is the safest mitigation measure.

2012.02.17 追記:

 「ghost domain names(幽霊ドメイン名)」脆弱性について (JPRS, 2012.02.17)。痒いところに手が届く解説。

2012.03.05 追記:

 BIND 9.9.0 で修正された模様です。前野さん情報ありがとうございます。BIND 9.9.0 Release Notes (ISC)

When replacing an NS RRset, BIND now restricts the TTL of the new NS RRset to no more than that of the NS RRset it replaces. [RT #27792]

 それでも BIND 9 の max-cache-ttl はデフォルトで 1 週間なので、必要に応じて短くしてください。

2012.03.22 追記:

 「DNS浸透問題」は脆弱性だった!「幽霊ドメイン名脆弱性」 (Geek なぺーじ, 2012.03.21)。「DNS浸透問題」と「幽霊ドメイン名脆弱性」の関連性 (というか等価性) の解説。

 ちなみに、コミPo! でつくるとたとえばこんな感じです。

2012.04.06 追記:

 BIND 9.8.2 / 9.7.5 / 9.6-ESV-R6 が公開されました。幽霊ドメイン名問題の修正が含まれています。リリースノート: BIND 9.7.5 / 9.6-ESV-R6。 BIND 9.8.2 のリリースノートは、なぜか中身が 9.6-ESV-R6 のものになってるような。


2012.02.07

追記

Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS

 Debian 用 fix、lenny 用のパッケージも用意された事を追記。Scientific Linux 出たので修正。 FreeBSD ports が 5.3.10 になったので修正。

About the security content of OS X Lion v10.7.3 and Security Update 2012-001

 Mac OS X 10.6.8 用に不具合が発生し、出し直しになっていた。 Rosetta で不具合が発生した模様。 ImageIO 関連のセキュリティ修正を削除したそうだ。CVE-2011-0241 がそれみたい。 Lion 用 (10.7.3) には問題なし。

PHP 5.3.9 Released!

 libxslt の件 Bug #54446 - Arbitrary file creation via libxslt 'output' extension (PHP.net) (CVE-2012-0057) も PHP 5.3.9 で修正されている。

Microsoft 2012 年 1 月のセキュリティ情報

 MS12-006 SSL/TLS の脆弱性のちょっと詳しい解説 (日本のセキュリティチーム, 2012.01.29)


2012.02.06

追記

Microsoft 2012 年 1 月のセキュリティ情報

いろいろ (2012.02.06)
(various)


2012.02.05


2012.02.03

追記

Microsoft 2012 年 1 月のセキュリティ情報

Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS

 この欠陥は PHP 5.3.10 で修正されたそうです。関連:

About the security content of OS X Lion v10.7.3 and Security Update 2012-001

Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]

 Oracle 方面 (WebLogic, iPlanet, Containers for J2EE):

Bugzilla 4.2rc1, 4.0.3, 3.6.7, and 3.4.13 Security Advisory
(Bugzilla, 2012.01.31)

 Bugzilla 4.2rc1 / 4.0.3 / 3.6.7 / 3.4.1 登場。非 ASCII 文字を含む電子メールアドレスを正しく排除できていなかった欠陥 CVE-2012-0448 と Cross-Site Request Forgery な欠陥 CVE-2012-0440 の修正が含まれる。


2012.02.02

Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS
(thexploit.com, 2012.02.01)

 Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2] の対応のために PHP 5.3.9 に追加されたコードに、remote からのコードの実行を招く別の欠陥があるという指摘。 CVE-2012-0830

2012.02.03 追記:

 この欠陥は PHP 5.3.10 で修正されたそうです。関連:

2012.02.07 追記:

 Debian 用 fix、lenny 用のパッケージも用意された事を追記。 Scientific Linux 出たので修正。 FreeBSD ports が 5.3.10 になったので修正。

2012.02.14 追記:

 ubuntu の USN-1358-1: PHP vulnerabilities が 2012.02.09 に出たので修正。

About the security content of OS X Lion v10.7.3 and Security Update 2012-001
(Apple, 2012.02.01)

 Mac OS X 10.7.3 および、10.6.8 用セキュリティ更新 2012-001 出てます。 修正されたセキュリティ欠陥は 49 種類ですか。SquirrelMail、2010 年のネタなんだけど……。

 CVE-2010-1637 CVE-2010-2813 CVE-2010-4554 CVE-2010-4555 CVE-2011-0200 CVE-2011-0241 CVE-2011-1148 CVE-2011-1167 CVE-2011-1657 CVE-2011-1752 CVE-2011-1783 CVE-2011-1921 CVE-2011-1938 CVE-2011-2023 CVE-2011-2192 CVE-2011-2202 CVE-2011-2204 CVE-2011-2483 CVE-2011-2895 CVE-2011-2937 CVE-2011-3182 CVE-2011-3189 CVE-2011-3246 CVE-2011-3248 CVE-2011-3249 CVE-2011-3250 CVE-2011-3252 CVE-2011-3256 CVE-2011-3267 CVE-2011-3268 CVE-2011-3328 CVE-2011-3348 CVE-2011-3389 CVE-2011-3422 CVE-2011-3441 CVE-2011-3444 CVE-2011-3446 CVE-2011-3447 CVE-2011-3448 CVE-2011-3449 CVE-2011-3450 CVE-2011-3452 CVE-2011-3453 CVE-2011-3457 CVE-2011-3458 CVE-2011-3459 CVE-2011-3460 CVE-2011-3462 CVE-2011-3463

2012.02.03 追記:

 関連:

2012.02.07 追記:

 Mac OS X 10.6.8 用に不具合が発生し、出し直しになっていた。 Rosetta で不具合が発生した模様。 ImageIO 関連のセキュリティ修正を削除したそうだ。 CVE-2011-0241 がそれみたい。 Lion 用 (10.7.3) には問題なし。

追記

いろいろ (2012.01.29)

  Apache HTTP Server 2.2.22 Released (Apache, 2012.01.31)。正式版出ましたので、みなさん更新しませう。


2012.02.01

いろいろ (2012.02.01)
(various)

追記

Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]

 AdaCore Security Advisory SA-2012-L119-003 Hash collisions in AWS (bugtraq, 2012.01.27)。2012.01.21 に修正済。

SYM12-002: Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering

Firefox 10.0 / 10.0 ESR / 3.6.26、Thunderbird 10.0 / 10.0 ESR / 3.1.18、SeaMonkey 2.7 登場
(mozilla.jp, 2012.02.01)

 Firefox 10.0 / 10.0 ESR / 3.6.26、Thunderbird 10.0 / 10.0 ESR / 3.1.18、SeaMonkey 2.7 出てます。ESR 版登場に伴い、Firefox 3.6 / Thunderbird 3.1 は 2012.04.24 でサポート終了だそうです。

>
  • アドオンの互換性を改善した Firefox の最新版公開 - インスペクタなど便利な Web 開発者向けツールも搭載 (Mozilla Japan ブログ, 2012.02.01)。「Firefox 3.6 のサポートは 2012 年 4 月 24 日で終了」

  • Web 検索機能を追加した Thunderbird の最新版を公開 (Mozilla Japan ブログ, 2012.02.01)。「Thunderbird 3.1 のサポートは 2012 年 4 月 24 日で終了」

  • Firefox と Thunderbird の法人向け延長サポート版を公開しました (Mozilla Japan ブログ, 2012.02.01)。 10.0 ESR のダウンロードは http://mozilla.jp/business/downloads/ から。 通常版とは異なるのでご注意。

  • Firefox 10.0 リリースノート (mozilla.jp)

  • Android 版 Firefox 10.0 リリースノート (mozilla.jp)

  • Firefox 3.6.26 リリースノート (mozilla.jp)

  • Thunderbird 10.0 リリースノート (mozilla.jp)

  • Thunderbird 3.1.18 リリースノート (mozilla.jp)

     セキュリティ修正一覧。

    SA 番号 重要度 概要 F 10.0 F 3.6.26 T 10.0 T 3.1.18 S 2.7 特記事項
    MFSA 2012-01 最高 様々なメモリ安全性の問題 (rv:10.0/ 1.9.2.26) X X X X X CVE-2012-0442 CVE-2012-0443
    MFSA 2012-02 過度に許容されていた IPv6 リテラル構文による問題 X X F 7.0 / T 7.0 / S 2.4 で修正済。CVE-2011-3670
    MFSA 2012-03 iframe 要素が name 属性を通じて他ドメインから置き換えられる X X X CVE-2012-0445
    MFSA 2012-04 最高 nsDOMAttribute の子ノードを削除後も参照できてしまう X X X X X CVE-2011-3659
    MFSA 2012-05 最高 信頼できないオブジェクトを呼び出したフレームスクリプトがセキュリティチェックを迂回する X X X CVE-2012-0446
    MFSA 2012-06 アイコン画像のエンコード時に追加される未初期化メモリによる情報の誤表示 X X X CVE-2012-0447
    MFSA 2012-07 最高 Ogg Vorbis ファイルデコード時の潜在的なメモリ破壊 X X X X X CVE-2012-0444
    MFSA 2012-08 最高 不正に埋め込まれた XSLT スタイルシートによるクラッシュ X X X X X CVE-2012-0449

    2012.02.14 追記:

     Firefox / Thunderbird 10.0.1 / 10.0.1 ESR、SeaMonkey 2.7.1 が公開されている。 MFSA 2012-10: nsXBLDocumentInfo::ReadPrototypeBindings における解放後使用の問題 が修正されている。


  • [セキュリティホール memo]
    [私について]