JPCERT-WR-2010-0201 2010-01-20 2010-01-10 2010-01-16

US-CERT Technical Cyber Security Alert TA10-012B http://www.us-cert.gov/cas/techalerts/TA10-012B.html US-CERT Cyber Security Alert SA10-012B http://www.us-cert.gov/cas/alerts/SA10-012B.html

Microsoft Windows の Embedded OpenType (EOT) フォント エンジンに は、脆弱性があります。結果として、第三者が細工した EOT フォント を処理させることで任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 なお、マイクロソフトによると本脆弱性の深刻度は、Windows 2000 の みが緊急とされています。詳細については、マイクロソフトが提供する 情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。

2010 年 1 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx Japan Vulnerability Notes JVNTA10-012B https://jvn.jp/cert/JVNTA10-012B/index.html JPCERT/CC Alert 2010-01-13 JPCERT-AT-2010-0002 https://www.jpcert.or.jp/at/2010/at100002.txt

US-CERT Vulnerability Note VU#204889 http://www.kb.cert.org/vuls/id/204889

Windows XP で提供される Adobe Flash Player 6 には、脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを閲覧させる ことで任意のコードを実行する可能性があります。 対象となるプラットフォームは以下の通りです。 - Windows XP Service Pack 2 および Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 この問題は、Adobe が提供する最新のバージョンに Adobe Flash Player を更新することで解決します。

マイクロソフト セキュリティ アドバイザリ (979267) http://www.microsoft.com/japan/technet/security/advisory/979267.mspx Adobe http://get.adobe.com/jp/flashplayer/

US-CERT Vulnerability Note VU#492515 http://www.kb.cert.org/vuls/id/492515

Internet Explorer には、脆弱性があります。結果として、遠隔の第三 者が細工した HTML 文書を閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、 本脆弱性を悪用する攻撃活動が確認されています。 対象となる製品は以下の通りです。 - Microsoft Internet Explorer 詳細についてはマイクロソフトが提供する情報を参照してください。 2010年1月19日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 セキュリティ更新プログラムが提供されるまでの間、以下の回避策を適 用することで、本脆弱性の影響を軽減することが可能です。 - [インターネット] ゾーンのセキュリティ設定を "高" にする - [インターネット] および [ローカル イントラネット] ゾーンの セキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する - Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする また、マイクロソフトは回避策として DEP を有効にする「Fix it」を 公開しています。詳細については、下記関連文書を参照してください。

マイクロソフト セキュリティ アドバイザリ (979352) http://www.microsoft.com/japan/technet/security/advisory/979352.mspx マイクロソフト セキュリティ アドバイザリ http://support.microsoft.com/kb/979352 Japan Vulnerability Notes JVNVU#492515 https://jvn.jp/cert/JVNVU492515/index.html JPCERT/CC Alert 2010-01-18 http://www.jpcert.or.jp/at/2010/at100004.txt

US-CERT Technical Cyber Security Alert TA10-012A http://www.us-cert.gov/cas/techalerts/TA10-012A.html

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応 した Oracle Critical Patch Update Advisory - January 2010 が公開 されました。 詳細については Oracle が提供する情報を参照してください。 なお、次回の Oracle Critical Patch Update は、2010年4月にリリー スされる予定です。

Oracle Technology Network http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm Oracle internet Support Center http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=139303 Oracle Technology Network http://www.oracle.com/technology/global/jp/security/100115_89/top.html Japan Vulnerability Notes JVNTA10-012A https://jvn.jp/cert/JVNTA10-012A/index.html Oracle Technology Network http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

Japan Vulnerability Notes JVN#33977065 https://jvn.jp/jp/JVN33977065/index.html Japan Vulnerability Notes JVN#22247093 https://jvn.jp/jp/JVN22247093/index.html

有限会社シースリーのスケジューラ付カレンダーソフトウェア WebCalenderC3 には、複数の脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行したり、サーバ内 の任意のファイルを閲覧したりする可能性があります。 対象となるバージョンは以下の通りです。 - WebCalenderC3 V0.32 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに WebCalenderC3 を更新することで解決します。

有限会社シースリー http://webcal.c-3.jp/zeijakusei.html

日本シーサート協議会 http://www.nca.gr.jp/2010/transits/index.html

2010年2月17日、日本シーサート協議会は TRANSITS Workshop NCA, Japan を開催します。 TRANSITS は、CSIRT の設立の促進、対応能力向上を目的としたヨーロッ パのプロジェクトです。CSIRT 関係者はもちろんのこと、CSIRT に留ま らず、セキュリティ関連業務を実施する組織にとって大いにメリットを 得られるトレーニングコンテンツとなっています。 皆様、奮ってご参加ください。 日時および場所： 日時：2010年2月17日(水) 9:00-17:30 場所：明治大学駿河台校舎 アカデミーコモン8階 A7、A8会議室 【お申込に関して】 参加費 ：無料 (ただし、事前に参加申込みが必要です) 受付締切 ：2010年2月3日 定員 ：35名 参加申込先 ：E-mail：transits2010@nca.gr.jp 参加申込方法： 上記メールアドレスまで以下の情報を記載の上ご連絡ください。 1. ご氏名 2. 会社名・部署名 3. メールアドレス 4. 電話番号 5. 所属組織の簡単な業務概要 (200字程度) 6. 意見交換会 (懇親会) の参加有無

日本シーサート協議会 http://www.nca.gr.jp/

フィッシング対策協議会 https://www.antiphishing.jp/information/information1026.html

近年、日本においてもフィッシング詐欺事例の増加が報告されてきてお り、顧客保護の観点からインターネット関連事業者、金融機関は、自社 の顧客に対するフィッシング行為が行われていないか、十分に注意を払 う必要があります。フィッシング対策協議会では、フィッシングの危険 性や対策について広く周知する事で、被害の抑制や対策の実施に繋げる 事を目的とした、フィッシング対策セミナーを東京・大阪の2会場で開 催する事となりました。 日時および場所： 大阪会場 2010年1月29日（金）13:30-17:00 (開場13:00) 大阪合同庁舎1号館 第1別館2階 大会議室 http://www.kansai.meti.go.jp/7kikaku/health/map.pdf 東京会場 お申し込み多数の為、締め切りとなります。 【お申込に関して】 参加費 ：無料 (ただし、事前に参加申込みが必要です) 受付締切 ：1月27日(水) 17:00 まで 参加申込先 ：E-mail：ap-sec-mri@mri.co.jp 参加申込方法： 上記メールアドレスまで、参加を希望される会場 (大阪のみ 受付中です) 会社名、所属、役職、氏名を記載の上、ご連絡 ください。

フィッシング対策協議会 https://www.antiphishing.jp/

Debian GNU/Linux 4.0 のサポートが 2010年2月で終了する予定です。 サポート終了後はセキュリティの問題やクリティカルなバグに対しても 修正プログラムは提供されません。 Debian GNU/Linux 4.0 を使用している管理者は、新しいバージョンへ の移行を検討してください。バージョンのアップグレードに際してパッ ケージの大幅な追加／削除／更新を含んでいますが、アップグレード作 業の注意点など、詳細については Debian GNU/Linux 5.0 リリースノー トを参照してください。 Debian JP Project http://www.debian.or.jp/blog/please_update_to_50_lenny.html Debian セキュリティ FAQ http://www.debian.org/security/faq.ja.html#lifespan Debian http://www.debian.org/releases/lenny/releasenotes.ja.html