JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-09-02 >>> ■08/23(日)〜08/29(土) のセキュリティ関連情報 目 次 【1】Firefox に任意のコードが実行可能な脆弱性 【2】Adobe ColdFusion に脆弱性 【3】WordPress 用プラグイン Google Analyticator に脆弱性 【4】ファイル暗号化ソフト ED に問題 【今週のひとくちメモ】組織外にある DNS サーバへのアクセスを制御する ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153401.txt https://www.jpcer
JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-08-26 >>> ■08/16(日)〜08/22(土) のセキュリティ関連情報 目 次 【1】Internet Explorer に任意のコードが実行可能な脆弱性 【2】Drupal に複数の脆弱性 【3】Trend Micro Deep Discovery Inspector に複数の脆弱性 【4】Cisco Prime Infrastructure に脆弱性 【5】Adobe LiveCycle Data Services に情報漏えいの脆弱性 【6】Windows 版 QuickTime に任意のコードが実行可能な脆弱性 【7】複数のアイ・オー・データ製ルータに脆弱性 【今週のひとくちメモ】「サイバーセキュリティ2015(案)」コメント募集 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 ht
SER05-J. 内部クラスのインスタンスをシリアライズしない
「内部クラス(inner class)とは、明示的にも暗黙的にも static 宣言されていない入れ子クラスのことである」[JLS 2005]。内部クラス(ローカルあるいは匿名クラスを含む)をシリアライズすると間違いを犯しやすい。シリアライズに関する仕様には次のように記載されている[Sun 2006]。 staticではないコンテキストで宣言された内部クラスは外部クラスへの transient 宣言されていない暗黙の参照を持っているため、そのような内部クラスをシリアライズすると、対応する外部クラスのインスタンスもシリアライズしてしまう。 内部クラスを実装するために Java コンパイラによって生成される合成フィールド(synthetic field)は実装に依存するため、コンパイラによって相違が生じることがある。この相違によって互換性が損われる可能性があり、また、デフォルトの serial
JPCERT コーディネーションセンター CSIRTマテリアル
このマテリアルは、組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成したものです。「組織内CSIRTの理解」で組織内CSIRTの必要性と全体的なイメージをつかみ、「組織内CSIRT構築の実践」と「組織内CSIRTの実作業 フォームと作成例」で実際に構築活動を行なえるように構成しました。さらに「参考資料」では組織内CSIRTの運用に役立つ資料を提供しています。
第3回 画像処理ソフトウェア「ImageMagick」の脆弱性
上記の表に挙げられた脆弱性の一つ一つを詳細に解析したわけではありませんが「バッファオーバーフロー」の原因を詳細に探れば、過去の連載でも紹介した整数オーバーフローが問題の根本的原因であるケースも見られるのではないかと推測されます。 さて、さっそく脆弱性を含むコードを見てみましょう。脆弱なコードは ImageMagick-6.3.4 の magick/blob.c で定義されている ReadBlobString() 関数にあります。 ImageMagickの脆弱性:その1 /* %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% % % % % % % + R e a d B l o b S t r i n g % % % % % % % %%%%%%%%%%%%%%%%%%%%%%%%
API08-C. 関数プロトタイプでは引数に名前をつけない
API08-C. 関数プロトタイプでは引数に名前をつけない プロトタイプ宣言では引数に名前をつける必要がないどころか、得策ではない。名前をつけるとマクロ定義の影響を受ける可能性がある。 関数プロトタイプ中の識別子の有効範囲は、関数プロトタイプの宣言から始まり、関数宣言子の末尾で終わる。しかし、プリプロセッサはこの有効範囲を無視する。それゆえ、プロトタイプ宣言中の識別子が既存のマクロと同じ名前を持つと、識別子はマクロ呼出しとして扱われる。 標準ヘッダやシステムヘッダにおいて、プロトタイプ宣言中の引数名を保護することは特に重要である。ユーザが期待する動作は、ヘッダをインクルードして関数名を使用できることだけである。 違反コード 以下の違反コード例について考えてみる。 #define status 23 void update_status(int status); このプロトタイプ宣言はプリプ
改ざんされたVPNサーバから攻撃ツールScanboxに誘導(2015-08-20) - JPCERT/CC Eyes
JPCERT/CCでは、VPNサーバ機能を搭載したネットワークデバイスのログインページを改ざんし、アクセスした端末の情報を収集しようとする攻撃が2015年5月頃発生していたことを確認しました。攻撃者はログインページにアクセスした端末の情報を窃取することが目的であったと推測しています。 今回は、この攻撃の詳細について紹介します。 攻撃の概要 今回の調査で、Scanboxと呼ばれる攻撃ツールを含む、VPNアカウント情報を収集する仕組みが明らかになりました。Scanboxは、ブラウザに送り込まれるJavaScriptコードや、これから送出される端末情報を受け取るサーバ、サーバに収集された情報を分析するための調査ツールからなる攻撃ツールのキットです。一連の攻撃の流れを図1に示します。 図1: 今回の攻撃の流れ [クリックすると拡大します] この攻撃では、VPNサーバ機能を搭載したネットワークデバイ
マイクロソフト セキュリティ情報 (MS15-093) に関する注意喚起 - JPCERT/CC
各位 JPCERT-AT-2015-0030 JPCERT/CC 2015-08-19 <<< JPCERT/CC Alert 2015-08-19 >>> マイクロソフト セキュリティ情報 (MS15-093) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150030.html I. 概要 マイクロソフト社から Internet Explorer に関するセキュリティ情報 (MS15-093) が公開されました。この脆弱性を使用された場合、細工された Web ページにアクセスしたりすることで、結果として、遠隔の第三者によって任意 のコードを実行される可能性があります。 本脆弱性の詳細は、以下の URL を参照してください。 Internet Explorer 用のセキュリティ更新プログラム (3088903) https://technet.m
JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-08-19 >>> ■08/09(日)〜08/15(土) のセキュリティ関連情報 目 次 【1】複数の Microsoft 製品に脆弱性 【2】Adobe Flash Player および Adobe Air に複数の脆弱性 【3】複数の Apple 製品に脆弱性 【4】複数の Mozilla 製品に脆弱性 【5】Lenovo Service Engine (LSE) に任意のコードが実行可能な脆弱性 【今週のひとくちメモ】データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://
ERR02-C. 正常終了時の値とエラーの値は別の手段で通知する
ERR02-C. 正常終了時の値とエラーの値は別の手段で通知する インタフェースを設計する際は、正常終了時の値とエラーの値を別の手段で通知するように、設計せよ。Cのライブラリ関数では、正常終了時の値もエラー発生時の値も返り値で表すものが多いが、このような関数の設計は推奨できない。問題を起こしやすい一例として、標準Cの EOF がある(「FIO34-C. 文字入出力関数の返り値の取得には int 型を使用する」および「FIO35-C. sizeof(int) == sizeof(char) の場合、EOF およびファイルエラーの検出には feof() と ferror() を使用する」を参照)。また、「MSC31-C. 関数の返り値は必ず適切な型と比較する」には、問題を起こしやすい別の例として、標準Cの size_t 型と time_t 型に関する使用例が述べられている。 違反コード (sp
Adobe Flash Player の脆弱性 (APSB15-19) に関する注意喚起
各位 JPCERT-AT-2015-0029 JPCERT/CC 2015-08-12 <<< JPCERT/CC Alert 2015-08-12 >>> Adobe Flash Player の脆弱性 (APSB15-19) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150029.html I. 概要 Adobe Flash Player には、複数の脆弱性があります。遠隔の第三者は、こ れらの脆弱性を使用する細工したコンテンツをユーザに開かせることで、 Adobe Flash Player を不正終了させたり、任意のコードを実行させたりする 可能性があります。脆弱性の詳細については、Adobe Systems 社の情報を確認 してください。 Security updates available for Adobe Flash Player
2015年8月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
各位 JPCERT-AT-2015-0028 JPCERT/CC 2015-08-12 <<< JPCERT/CC Alert 2015-08-12 >>> 2015年8月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150028.html I. 概要 マイクロソフト社から 2015年8月のセキュリティ情報が公開されました。 本情報には、深刻度が「緊急」のセキュリティ更新プログラムが4件含まれて います。 この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコー ドを実行される可能性があります。 本脆弱性の詳細は、以下の URL を参照してください。 2015 年 8 月のマイクロソフト セキュリティ情報の概要 https://technet.microsoft.com/libr
JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-08-12 >>> ■08/02(日)〜08/08(土) のセキュリティ関連情報 目 次 【1】Firefox に同一生成元ポリシー回避の脆弱性 【2】PHP に複数の脆弱性 【3】WordPress に複数の脆弱性 【4】Android 版「ヨドバシ」に複数の脆弱性 【今週のひとくちメモ】MS14-025 への対策確認の呼びかけ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/wr153101.txt https://www.jpcert.or.jp/wr/2015/wr153101.xml 【1】Fi
TPS01-J. スレッド数に上限のあるスレッドプールで相互に依存するタスクを実行しない
スレッド数に制限の設けられたスレッドプールを使用することで、スレッドプール内で並行実行可能なスレッド数の上限を指定することができる。ただし、プール内の他のタスクの完了に依存するタスクの実行に、このようなスレッドプール内のスレッドを用いてはならない。 「スレッド飢餓状態のデッドロック」(thread starvation deadlock)は、プール内で実行中のスレッドすべてが、内部キュー内で開始されないまま待機しているタスクの完了を待ち続ける場合に発生する。すなわち、現在実行中のタスクが、スレッドプールに他のタスクの実行を依頼してタスクの完了を待つが、それらのタスクを格納する余裕がスレッドプールにない場合に、スレッド飢餓状態のデッドロックが発生する。 プログラムの実行に必要なスレッドの数が少なくてすむ場合には問題なく動作するため、プログラムが正しく動作しなくなったときに、原因を見極めること
TSM03-J. 初期化が完了していないオブジェクトを公開しない
複数のスレッドに共有されるオブジェクトの初期化中は、そのオブジェクトを構築しているスレッドのみがオブジェクトにアクセスできるように制限しなければならない。初期化が完了すれば、そのオブジェクトを公開(他のスレッドから可視な状態)しても安全である。Javaメモリモデル(JMM)では、初期化を開始したが完了はしていないオブジェクトを、複数のスレッドが参照することを許している。したがって適切なコーディングにより、初期化が完了していない状態のオブジェクトが公開されることを防がなければならない。 このルールでは、初期化が完了していないメンバーオブジェクトのインスタンスへの参照を公開することを禁止している。これに対して「TSM01-J. オブジェクトの構築時にthis参照を逸出させない」では、構築中のオブジェクトの this 参照がコンストラクタの外に逸出することを禁止している。 「OBJ11-J. コ
LCK07-J. デッドロックを回避するためにロックは同一順序で要求および解放する
マルチスレッドJavaプログラムにおいてデータ破壊を回避するには、共有データを、並行して行われる書換えやアクセスから保護しなくてはならない。synchronized メソッド、synchronized ブロック、java.util.concurrent の動的なロックオブジェクトなどを使うことで、オブジェクト単位でロックを行うことができる。しかし、ロックを過度に使用すると、デッドロックを引き起こす場合がある。 Java 言語は、デッドロックを防いだり、あるいは検出したりしてくれない[JLS 2005]。デッドロックは、2つ以上のスレッドが、複数のロックの要求と解放を異なる順序で行う場合に発生しうる。それゆえ、複数のロックの取得と解放を同じ順序で行い、デッドロックを回避することが求められる。 さらに付け加えるならば、同期を行うのは必要不可欠な場合のみに限定するべきである。たとえば、paint
Internet Explorerの拡張保護モード(2015-08-07) - JPCERT/CC Eyes
前回は保護モードによるマルウエア被害の抑止効果を吟味しましたが、保護モードをさらに強化した機能が拡張保護モード(Enhanced Protected Mode)です。Internet Explorer(以降、IEと記載する)10、11で実現されています。本報告では、拡張保護モードによるマルウエア被害の防止効果について述べます。 拡張保護モードの概要 保護モードと異なり、この機能はデフォルトでは無効になっています。有効にするには、[インターネット オプション]→[詳細設定]の「拡張保護モードを有効にする」をチェックし、IEを再起動します。 図1: 拡張保護モード設定画面(Windows 8.1、IE11の場合) なお、この機能を利用するためにはOSが次のいずれかであることが必要です。 Windows 10(32bit/64bit) Windows 8.1(32bit/64bit) Windo
MSC12-C. プログラムに対して作用しないコードを検出して削除する
MSC12-C. プログラムに対して作用しないコードを検出して削除する 実行しても作用しないコードや、意図せぬ影響を及ぼすコードは、コーディングエラーが原因で作り込まれることが多く、予期せぬプログラムの動作を引き起こすことがある。プログラムに対して作用しない文や式を特定し、コードから削除すること。最新のコンパイラの多くは、作用しないコードを警告してくれる(「MSC00-C. 厳しい警告レベルで警告を出さずにコンパイルする」を参照)。 このレコメンデーションは「MSC07-C. デッドコードを検出して削除する」に関連している。 違反コード (代入) 以下のコードにおいて、a と b の比較はプログラムに対して作用しない。 int a; int b; /* ... */ a == b; これはおそらく、プログラマが代入演算子 = の代わりに間違って等価演算子 == を使用したケースであると考え
JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-08-05 >>> ■07/26(日)〜08/01(土) のセキュリティ関連情報 目 次 【1】ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性 【2】Android Stagefright に複数の脆弱性 【3】Cisco ASR 1000 シリーズ ルータにサービス運用妨害 (DoS) の脆弱性 【4】複数の BIOS の実装に脆弱性 【今週のひとくちメモ】総務省が「ウェブサービスに関するID・パスワードの管理・運用実態調査結果」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2015/w
JPCERT コーディネーションセンター Weekly Report
<<< JPCERT/CC WEEKLY REPORT 2015-07-29 >>> ■07/19(日)〜07/25(土) のセキュリティ関連情報 目 次 【1】複数の Cisco 製品に脆弱性 【2】WordPress に複数の脆弱性 【3】Honeywell Tuxedo Touch Controller に複数の脆弱性 【4】WordPress 用プラグイン Welcart に複数の脆弱性 【5】Research Artisan Lite に複数の脆弱性 【6】Total Commander 用プラグイン FileInfo にサービス運用妨害 (DoS) の脆弱性 【7】「フィッシング対策ガイドライン実践セミナー」開催のお知らせ 【今週のひとくちメモ】DNS Summer Days 2015 開催、および資料公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
