今回は「呼びかけ」&下記4点についてのお知らせです。
0.今月の呼びかけ:「 SNSにおけるサービス連携に注意! 」
※この記事はIPA(情報処理推進機構セキュリティセンター)より月始めに出されている記事を元にしています。)
1.「Android 版 jigbrowser+」における WebView クラスに関する脆弱性
2.「MyWebSearch」におけるクロスサイト・スクリプティングの脆弱性
3.Adobe Flash Player の脆弱性対策について
4.PHP用「Smarty」におけるクロスサイト・スクリプティングの脆弱性
以下をご一読いただき、ご対応くださいますようお願いいたします。
————————————————————–
0.今月の呼びかけ:「 SNSにおけるサービス連携に注意! 」
~ あなたの名前で勝手に使われてしまいます ~
最近、インターネット上のサービスである“Twitter(ツイッター)”などのミニブログサービスや、“mixi(ミクシィ)”、“Facebook(フェイスブック)”、“Google+(グーグルプラス)”などの SNS(ソーシャルネットワーキングサービス)が人気です。これらのサービスは、今の自分の行動や考えを簡単にインターネット上に発信できることや、同じ趣味や考えを持つ利用者同士の交流の場として利用できることが特徴となっており、多くの利用者を集めています。
その反面、悪意ある者からサービス利用者が狙われるようになりました。例えば、「自分では何もしていないのに、Twitter上で勝手に投稿された」といった相談などが複数寄せられています。Facebookでは悪意あるサイトへのリンクを含む投稿が確認されています。
IPAで調査した結果、SNS間のサービス連携機能を悪用された場合に、こうした被害が発生し得ることを確認しました。
◆詳細については、下記ページをご覧ください。
http://www.ipa.go.jp/security/txt/2012/10outline.html
==================================================
1.「Android 版 jigbrowser+」における WebView クラスに関する脆弱性
■概要
Android 版 jigbrowser+ には、WebView クラスに関する脆弱性が存在します。
■想定される影響
ユーザが、不正な他の Android アプリケーションを使用した場合、当該製品のデータ領域にある情報が漏えいする可能性があります。
■対象
jigbrowser+ Ver.1.5.0 より前のバージョン
■対策
開発者が提供する情報をもとに、最新版へアップデートしてください。
==================================================
2.「MyWebSearch」におけるクロスサイト・スクリプティングの脆弱性
■概要
Final β Laboratory が提供するサイト内検索用CGIスクリプト「MyWebSearch」には、クロスサイト・スクリプティングの脆弱性が存在します。
■想定される影響
ユーザのウェブブラウザ上で、任意のスクリプトが実行される可能性があります。
■対象
MyWebSearch Ver.1.22 およびそれ以前
■対策
開発者が提供する情報をもとに、最新版へアップデートしてください。
==================================================
3.Adobe Flash Player の脆弱性対策について
■概要
アドビシステムズ社の Adobe Flash Player に、ウェブを閲覧することでDoS攻撃を受けたり、任意のコード(命令)を実行される可能性がある脆弱性が存在します。
■想定される影響
脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。
■対象
次の Adobe 製品が対象です。
・Adobe Flash Player 11.4.402.278 およびそれ以前のバージョン Windows版
・Adobe Flash Player 11.4.402.265 およびそれ以前のバージョン Macintosh版
・Adobe Flash Player 11.2.202.238 およびそれ以前のバージョン Linux版
・Adobe Flash Player 11.1.115.17 およびそれ以前のバージョン Android 4.x版
・Adobe Flash Player 11.1.111.16 およびそれ以前のバージョン Android 3.x版およびAndroid 2.x版
・Adobe AIR 3.4.0.2540 およびそれ以前のバージョン Windows版およびMacintosh版
・Adobe AIR 3.4.0.2540 およびそれ以前のバージョン SDK版(iOSのAIRに含まれる)
・Adobe AIR 3.4.0.2540 およびそれ以前のバージョン Android版
■対策
アドビシステムズ社から提供されている最新版に更新して下さい。
1.Flash Player のバージョンを確認
次の URL にアクセスし、Flash Player のインストールの有無とバージョンを確認する。
http://www.adobe.com/jp/software/flash/about/
Windows版、Mac OS版、Linux版、Android版、およびSDK版(iOSのAIRに含まれる) のFlash PlayerとAIRが 上記対象のバージョンの場合は、アップデートが必要です。 なお、一つのOSにおいて複数のブラウザ(*1)で、それぞれFlash Playerを利用している場合は、各ブラウザ毎に、Flash Player のバージョンを確認してください。
2.Flash Player のアップデート方法
次の URL にアクセスし、Flash Player の最新版をインストールする。(Flash Player 11.x 系の最新版になります)
http://get.adobe.com/jp/flashplayer/
==================================================
4.PHP用「Smarty」におけるクロスサイト・スクリプティングの脆弱性
■概要
PHP 用「Smarty」には、エラーメッセージを出力する際の処理に起因する、クロスサイトスクリプティングの脆弱性が存在します。
■想定される影響
ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
■対象
•Smarty 3.1.11 およびそれ以前
•Smarty 2.6.26 およびそれ以前
■対策
開発者が提供する情報をもとに最新版へアップデートしてください。
————————————————————–
以上となります。どうぞよろしくお願いいたします。
何かございましたらお気軽にご連絡ください。
