-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-0201 JPCERT/CC 2010-01-20 <<< JPCERT/CC WEEKLY REPORT 2010-01-20 >>> ―――――――――――――――――――――――――――――――――――――― ■01/10(日)〜01/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年1月 Microsoft セキュリティ情報について 【2】Windows XP で提供される Adobe Flash Player 6 に脆弱性 【3】Internet Explorer に脆弱性 【4】2010年1月 Oracle Critical Patch Update について 【5】WebCalenderC3 に複数の脆弱性 【6】TRANSITS Workshop NCA, Japan 開催 【7】フィッシング対策セミナー (in 大阪) 開催 のお知らせ 【今週のひとくちメモ】Debian GNU/Linux 4.0 "Etch" のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr100201.html https://www.jpcert.or.jp/wr/2010/wr100201.xml ============================================================================ 【1】2010年1月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-012B Microsoft Windows EOT Font and Adobe Flash Player 6 Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-012B.html US-CERT Cyber Security Alert SA10-012B Microsoft Windows and Adobe Flash Player 6 Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-012B.html 概要 Microsoft Windows の Embedded OpenType (EOT) フォント エンジンに は、脆弱性があります。結果として、第三者が細工した EOT フォント を処理させることで任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 なお、マイクロソフトによると本脆弱性の深刻度は、Windows 2000 の みが緊急とされています。詳細については、マイクロソフトが提供する 情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2010 年 1 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx Japan Vulnerability Notes JVNTA10-012B Microsoft Windows における EOT フォント エンジンおよび Adobe Flash Player 6 の脆弱性 https://jvn.jp/cert/JVNTA10-012B/index.html JPCERT/CC Alert 2010-01-13 JPCERT-AT-2010-0002 2010年1月 Microsoft セキュリティ情報 (緊急 1件) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100002.txt 【2】Windows XP で提供される Adobe Flash Player 6 に脆弱性 情報源 US-CERT Vulnerability Note VU#204889 Windows XP Macromedia Flash 6 ActiveX control use-after-free vulnerability http://www.kb.cert.org/vuls/id/204889 概要 Windows XP で提供される Adobe Flash Player 6 には、脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを閲覧させる ことで任意のコードを実行する可能性があります。 対象となるプラットフォームは以下の通りです。 - Windows XP Service Pack 2 および Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 この問題は、Adobe が提供する最新のバージョンに Adobe Flash Player を更新することで解決します。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (979267) Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/979267.mspx Adobe Adobe Flash Playerのインストール http://get.adobe.com/jp/flashplayer/ 【3】Internet Explorer に脆弱性 情報源 US-CERT Vulnerability Note VU#492515 Microsoft Internet Explorer allows remote code execution http://www.kb.cert.org/vuls/id/492515 概要 Internet Explorer には、脆弱性があります。結果として、遠隔の第三 者が細工した HTML 文書を閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、 本脆弱性を悪用する攻撃活動が確認されています。 対象となる製品は以下の通りです。 - Microsoft Internet Explorer 詳細についてはマイクロソフトが提供する情報を参照してください。 2010年1月19日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 セキュリティ更新プログラムが提供されるまでの間、以下の回避策を適 用することで、本脆弱性の影響を軽減することが可能です。 - [インターネット] ゾーンのセキュリティ設定を "高" にする - [インターネット] および [ローカル イントラネット] ゾーンの セキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する - Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする また、マイクロソフトは回避策として DEP を有効にする「Fix it」を 公開しています。詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (979352) Internet Explorer の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/979352.mspx マイクロソフト セキュリティ アドバイザリ Internet Explorer の脆弱性により、リモートでコードが実行される http://support.microsoft.com/kb/979352 Japan Vulnerability Notes JVNVU#492515 Microsoft Internet Explorer において任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU492515/index.html JPCERT/CC Alert 2010-01-18 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2010/at100004.txt 【4】2010年1月 Oracle Critical Patch Update について 情報源 US-CERT Technical Cyber Security Alert TA10-012A Oracle Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-012A.html 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応 した Oracle Critical Patch Update Advisory - January 2010 が公開 されました。 詳細については Oracle が提供する情報を参照してください。 なお、次回の Oracle Critical Patch Update は、2010年4月にリリー スされる予定です。 関連文書 (日本語) Oracle Technology Network セキュリティアラート http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm Oracle internet Support Center [CPUJan2010] Oracle Critical Patch Update Advisory - January 2010 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=139303 Oracle Technology Network Critical Patch Update - January 2010 http://www.oracle.com/technology/global/jp/security/100115_89/top.html Japan Vulnerability Notes JVNTA10-012A Oracle 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-012A/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - January 2010 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html 【5】WebCalenderC3 に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#33977065 WebCalenderC3 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN33977065/index.html Japan Vulnerability Notes JVN#22247093 WebCalenderC3 におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN22247093/index.html 概要 有限会社シースリーのスケジューラ付カレンダーソフトウェア WebCalenderC3 には、複数の脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行したり、サーバ内 の任意のファイルを閲覧したりする可能性があります。 対象となるバージョンは以下の通りです。 - WebCalenderC3 V0.32 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに WebCalenderC3 を更新することで解決します。 関連文書 (日本語) 有限会社シースリー ウェブカレンダーシースリーの脆弱性について http://webcal.c-3.jp/zeijakusei.html 【6】TRANSITS Workshop NCA, Japan 開催 情報源 日本シーサート協議会 TRANSITS Workshop NCA, Japan 開催 http://www.nca.gr.jp/2010/transits/index.html 概要 2010年2月17日、日本シーサート協議会は TRANSITS Workshop NCA, Japan を開催します。 TRANSITS は、CSIRT の設立の促進、対応能力向上を目的としたヨーロッ パのプロジェクトです。CSIRT 関係者はもちろんのこと、CSIRT に留ま らず、セキュリティ関連業務を実施する組織にとって大いにメリットを 得られるトレーニングコンテンツとなっています。 皆様、奮ってご参加ください。 日時および場所: 日時:2010年2月17日(水) 9:00-17:30 場所:明治大学駿河台校舎 アカデミーコモン8階 A7、A8会議室 【お申込に関して】 参加費 :無料 (ただし、事前に参加申込みが必要です) 受付締切 :2010年2月3日 定員 :35名 参加申込先 :E-mail:transits2010@nca.gr.jp 参加申込方法: 上記メールアドレスまで以下の情報を記載の上ご連絡ください。 1. ご氏名 2. 会社名・部署名 3. メールアドレス 4. 電話番号 5. 所属組織の簡単な業務概要 (200字程度) 6. 意見交換会 (懇親会) の参加有無 関連文書 (日本語) 日本シーサート協議会 http://www.nca.gr.jp/ 【7】フィッシング対策セミナー (in 大阪) 開催 のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー https://www.antiphishing.jp/information/information1026.html 概要 近年、日本においてもフィッシング詐欺事例の増加が報告されてきてお り、顧客保護の観点からインターネット関連事業者、金融機関は、自社 の顧客に対するフィッシング行為が行われていないか、十分に注意を払 う必要があります。フィッシング対策協議会では、フィッシングの危険 性や対策について広く周知する事で、被害の抑制や対策の実施に繋げる 事を目的とした、フィッシング対策セミナーを東京・大阪の2会場で開 催する事となりました。 日時および場所: 大阪会場 2010年1月29日(金)13:30-17:00 (開場13:00) 大阪合同庁舎1号館 第1別館2階 大会議室 http://www.kansai.meti.go.jp/7kikaku/health/map.pdf 東京会場 お申し込み多数の為、締め切りとなります。 【お申込に関して】 参加費 :無料 (ただし、事前に参加申込みが必要です) 受付締切 :1月27日(水) 17:00 まで 参加申込先 :E-mail:ap-sec-mri@mri.co.jp 参加申込方法: 上記メールアドレスまで、参加を希望される会場 (大阪のみ 受付中です) 会社名、所属、役職、氏名を記載の上、ご連絡 ください。 関連文書 (日本語) フィッシング対策協議会 https://www.antiphishing.jp/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Debian GNU/Linux 4.0 "Etch" のサポート終了 Debian GNU/Linux 4.0 のサポートが 2010年2月で終了する予定です。 サポート終了後はセキュリティの問題やクリティカルなバグに対しても 修正プログラムは提供されません。 Debian GNU/Linux 4.0 を使用している管理者は、新しいバージョンへ の移行を検討してください。バージョンのアップグレードに際してパッ ケージの大幅な追加/削除/更新を含んでいますが、アップグレード作 業の注意点など、詳細については Debian GNU/Linux 5.0 リリースノー トを参照してください。 参考文献 (日本語) Debian JP Project Debian GNU/Linux 4.0 "Etch" のサポート終了まであと約1ヶ月です http://www.debian.or.jp/blog/please_update_to_50_lenny.html Debian セキュリティ FAQ セキュリティアップデートはどれくらいの期間 提供されますか? http://www.debian.org/security/faq.ja.html#lifespan Debian Debian GNU/Linux 5.0 -- リリース ノート http://www.debian.org/releases/lenny/releasenotes.ja.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLVltTAAoJEDF9l6Rp7OBIbM0H/RcbMJ0zGq0EfPw6BH1oRw94 zklLEvQ66RzpH6Rd77H17AoOE0b91MbAvIK0P1WLQ1DrKQb4KFM/oSLu0LaDHxpe fxu6kjSrFYPuYfv4kC6Abt2+t1f6cq1uY3Jx5h6wSyH/vGmM58nQ04IA32uRCMy3 5Fnw8IA6FxIYXbueV2n5XE8X7xaPbpO1hVYZq4HrEQjSeDg0SqqD3uU0dlRSnhJN 0KaViL5muZFSnkyXL+LBwUhBKA7Ghnr6EarVzLfZbckcpFrveC48Bsod95i0U726 kdDjc9NvX/PJmrN3fcHCBfjX9XJCY7y5D/tUDeziDfmCsHGXdAwHaH22GAx8P74= =GhQ3 -----END PGP SIGNATURE-----