JPCERT-WR-2008-4501 2008-11-19 2008-11-09 2008-11-15

US-CERT Technical Cyber Security Alert TA08-316A http://www.us-cert.gov/cas/techalerts/TA08-316A.html US-CERT Cyber Security Alert SA08-316A http://www.us-cert.gov/cas/alerts/SA08-316A.html CIAC Bulletin T-024 http://www.ciac.org/ciac/bulletins/t-024.shtml CIAC Bulletin T-025 http://www.ciac.org/ciac/bulletins/t-025.shtml

Microsoft Windows、Microsoft Office、および Microsoft XML コアサー ビスには、複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする 可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。

2008 年 11 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx マイクロソフト セキュリティ情報 MS08-068 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms08-068.mspx マイクロソフト セキュリティ情報 MS08-069 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-069.mspx Japan Vulnerability Notes JVNTA08-316A http://jvn.jp/cert/JVNTA08-316A/index.html @police http://www.cyberpolice.go.jp/important/2008/20081112_120103.html JPCERT/CC Alert 2008-11-12 http://www.jpcert.or.jp/at/2008/at080021.txt

US-CERT Technical Cyber Security Alert TA08-319A http://www.us-cert.gov/cas/techalerts/TA08-319A.html US-CERT Cyber Security Alert SA08-319A http://www.us-cert.gov/cas/alerts/SA08-319A.html CERT/CC Current Activity Archive http://www.us-cert.gov/current/archive/2008/11/13/archive.html#mozilla_releases_updates_to_address

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃やクロスサイトスクリプティング攻撃を行ったりするなどの 可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.4 - Firefox 2.0.0.18 - SeaMonkey 1.1.13 なお、2008年11月18日現在、Thunderbird の修正プログラムは提供され ていません。詳細については、OS のベンダや配布元が提供する情報を 参照してください。 また、Firefox 2.0.0.x のサポートについては、2008年12月中旬までの 予定です。Firefox 2.0.0.x ユーザは、この機会に Firefox 3 へ移行 することをおすすめします。

Japan Vulnerability Notes JVNTA08-319A http://jvn.jp/cert/JVNTA08-319A/index.html Mozilla Japan http://mozilla.jp/firefox/2.0.0.18/releasenotes/ Mozilla Japan http://mozilla.jp/firefox/3.0.4/releasenotes/ Mozilla Japan http://www.mozilla-japan.org/security/announce/ SeaMonkey Project http://www.seamonkey-project.org/releases/seamonkey1.1.13/ Red Hat Security Advisory RHSA-2008:0978-6 https://rhn.redhat.com/errata/RHSA-2008-0978.html Red Hat Security Advisory RHSA-2008:0977-6 https://rhn.redhat.com/errata/RHSA-2008-0977.html

Apple Support http://support.apple.com/kb/HT3298

Safari には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となるバージョンは以下の通りです。 - Safari 3.1.1 for Windows - Safari 3.1.1 for Mac OS X この問題は、Apple が提供する修正済みのバージョン Safari 3.2 に更 新することで解決します。なお、本リリースで詐欺サイトを警告する機 能や EV SSL 対応などのセキュリティ機能の改善も行われました。

Apple ダウンロード http://www.apple.com/jp/safari/download/

US-CERT Vulnerability Note VU#768681 http://www.kb.cert.org/vuls/id/768681

トレンドマイクロ ServerProtect には、複数の脆弱性があります。結 果として、遠隔の第三者が ServerProtect のアカウントまたは管理者 の権限で任意のコマンドを実行したり、機密情報を取得したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Trend Micro ServerProtect 5.58 および 5.7 2008年11月18日現在、トレンドマイクロからは ServerProtect の修正 プログラムが提供されておりますが、その修正が完全ではないとの報告 もあります。詳細については、今後トレンドマイクロが提供する情報を 参照してください。

トレンドマイクロ http://www.trendmicro.co.jp/download/product.asp?productid=17

WPA と WPA2 はそれぞれ暗号化と認証の機能を有しています。WPA 対応 機器では TKIP (RC4) が使用可能であること、WPA2 対応機器では、よ り暗号強度の高い CCMP (AES) が使用可能であることとされています。 ただし、WPA2 対応機器であってもほとんどの場合、既存の機器との後 方互換性のため、TKIP (RC4) にも対応しています。 例えば、WPA 対応機器と WPA2 対応機器が混在している場合、WPA2 対 応機器を使用しているからといって、必ずしも CCMP (AES) を使ってい るとは限りません。WPA2 対応機器のみで構成されるネットワークでは CCMP (AES) のみを使う設定にする事を推奨します。 JPCERT/CC REPORT 2007-08-29 http://www.jpcert.or.jp/wr/2007/wr073301.html#Memo