JPCERT-WR-2010-0401
2010-02-03
2010-01-24
2010-01-30
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。結果として、遠隔の第
三者が機密情報を取得したり、任意のコードを実行したり、ブラウザを
クラッシュさせたりする可能性があります。
対象となるバージョンは以下の通りです。
- Google Chrome 4.0.249.78 よりも前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google Chrome
を更新することで解決します。
Google
Chromium Security Bugs
http://sites.google.com/a/chromium.org/dev/Home/chromium-security/chromium-security-bugs
Google
Google Chrome Releases
http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html
Windows カーネルに脆弱性
Windows カーネルには、脆弱性があります。結果として、ローカルユー
ザがカーネルモードで任意のコードを実行する可能性があります。
詳細については、マイクロソフトが提供する情報を参照してください。
2010年2月2日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。
回避策として、マイクロソフトは「Fix it」を公開しています。詳細に
ついては、下記関連文書を参照してください。なお、回避策を適用する
と 16-bit アプリケーションを実行できなくなります。
マイクロソフト セキュリティ アドバイザリ
Windows カーネルの脆弱性により、特権が昇格される
http://support.microsoft.com/kb/979682
Cisco Unified MeetingPlace に複数の脆弱性
Cisco Unified MeetingPlace には、複数の脆弱性があります。結果と
して、遠隔の第三者が権限を昇格したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Cisco Unified MeetingPlace 5、6、7
この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
MeetingPlace を更新することで解決します。なお、Cisco Unified
MeetingPlace 5 は 2009年4月にサポートが終了しています。後継のバー
ジョンへ更新することをお勧めします。
Cisco Security Advisory 111013
Multiple Vulnerabilities in Cisco Unified MeetingPlace
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml
GNU gzip に複数の脆弱性
GNU gzip には複数の脆弱性があります。結果として、遠隔の第三者が
細工した gzip 圧縮ファイルを処理させることで、サービス運用妨害
(DoS) 攻撃を行ったり、ユーザの権限で任意のコードを実行したりする
可能性があります。
対象となるバージョンは以下の通りです。
- GNU gzip 1.3.3 〜 1.3.14
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GNU gzip を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1974-1
gzip -- 複数の脆弱性
http://www.debian.org/security/2010/dsa-1974.ja.html
Free Software Foundation
GNU gzip - News: gzip-1.4 released (stable/security)
http://savannah.gnu.org/forum/forum.php?forum_id=6153
Red Hat Security Advisory RHSA-2010:0061-1
Moderate: gzip security update
https://rhn.redhat.com/errata/RHSA-2010-0061.html
CERT-FI Reports
CERT-FI Advisory on GNU gzip
http://www.cert.fi/en/reports/2010/vulnerability216853.html
Linux カーネルの IPv6 jumbogram 処理に脆弱性
Linux カーネルには、IPv6 jumbogram の処理に脆弱性があります。結
果として、遠隔の第三者が細工した IPv6 jumbogram を処理させること
でサービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、
network namespace を有効にしている Linux カーネルのみ本脆弱性の
影響を受けます。
対象となる製品は以下の通りです。
- 2008-10-8 以降の Linux カーネル
- 2.6.31 以降をベースにした Linux カーネル
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。
The Linux Kernel Archives
ipv6: skb_dst() can be NULL in ipv6_hop_jumbo().
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=2570a4f5428bcdb1077622342181755741e7fa60
CERT-FI Reports
CERT-FI Advisory on Linux IPv6 Jumbogram handling
http://www.cert.fi/en/reports/2010/vulnerability341748.html
制御システムセキュリティカンファレンス 2010 開催のお知らせ
ご好評をいただいた昨年度に続いて今年度も制御システムセキュリティ
カンファレンスを開催いたします。
2010年2月に開催するカンファレンスでは、制御システム関係者それぞ
れが果たすべき役割を明らかにする事で国内における制御システムの情
報セキュリティ対策の実効的推進に資することを目的に掲げています。
そして ICT の脅威から制御システムを守り、この安全かつ安心な構築・
運用に貢献したいと考えています。
日時および場所:
2010年2月9日 (火) 09:30 - 16:30 (受付開始 09:00)
都市センターホテル オリオン (東京都千代田区平河町2-4-1)
参加費: 無料 (ただし、事前に参加申込みが必要です)
定 員: 100名 (定員になり次第締め切りとなります)
申込方法:
お申し込み用のフォームをお使いの上、申込先メールアドレスまで、
ご連絡ください。
詳細については、関連文書のカンファレンスの URL をご参照ください。
制御システムセキュリティカンファレンス 2010
https://www.jpcert.or.jp/ics/conference2010.html
情報セキュリティ月間
平成18年10月に開催された情報セキュリティ政策会議によって、毎年
2月2日が「情報セキュリティの日」に定められました。以降この時期に
は、経済産業省による『CHECK PC!』キャンペーンや情報セキュリティ
対策推進コミュニティによる「みんなで情報セキュリティ強化宣言!」
などの活動が行われてきました。
さらに、今年度から 2月を「情報セキュリティ月間」と定める政府の発
表があり、様々な情報セキュリティに関する普及啓発強化のための活動
が企画されています。
情報セキュリティの普及啓発の一助として、この機会をご活用ください。
経済産業省
CHECK PC!
http://www.checkpc.go.jp/
情報セキュリティ対策推進コミュニティ
みんなで「情報セキュリティ」強化宣言!
http://www.netanzen.jp/
内閣官房情報セキュリティセンター
情報セキュリティ月間
http://www.nisc.go.jp/ism/
内閣官房情報セキュリティセンター
情報セキュリティの日
http://www.nisc.go.jp/isd/