2010年2月 Microsoft セキュリティ情報について

JPCERT-WR-2010-0601 2010-02-17 2010-02-07 2010-02-13

2010年2月 Microsoft セキュリティ情報について US-CERT Technical Cyber Security Alert TA10-040A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-040A.html US-CERT Cyber Security Alert SA10-040A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-040A.html DOE-CIRC Technical Bulletin T-305 Microsoft PowerPoint OEPlaceholderAtom Invalid Array Indexing Vulnerability http://www.doecirc.energy.gov/bulletins/t-305.shtml

Microsoft Windows、Windows Server、Internet Explorer、Office などの製品および関連コンポーネントには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。詳細については、マイクロソフトが提供する情報を参照してください。この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを適用することで解決します。なお、セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2010-02-03【2】で紹介した問題に対する解決策も含まれています。

2010 年 2 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx Japan Vulnerability Notes JVNTA10-040A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-040A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-003,004,005,006,007,008,009,010,011,012,013,014,015) http://www.npa.go.jp/cyberpolice/topics/?seq=1718 JPCERT/CC Alert 2010-02-10 JPCERT-AT-2010-0006 2010年2月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100006.txt JPCERT/CC WEEKLY REPORT 2010-02-03 【2】Windows カーネルに脆弱性 https://www.jpcert.or.jp/wr/2010/wr100401.html#2

Adobe の複数の製品に脆弱性 US-CERT Current Activity Archive Adobe Releases Security Bulletins for Acrobat, Reader, and Flash Player http://www.us-cert.gov/current/archive/2010/02/12/archive.html#adobe_releases_security_bulletins_fo

Adobe Acrobat、Reader、Flash Player には、複数の脆弱性があります。結果として、遠隔の第三者が不正なクロスドメインリクエストを処理させる可能性があります。対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.0.42.34 およびそれ以前 - Adobe AIR 1.5.3.9120 およびそれ以前 - Adobe Reader 9.3 およびそれ以前 - Adobe Acrobat 9.3 およびそれ以前この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新することで解決します。なお、Adobe によると、Adobe Reader および Acrobat の修正済みのバージョンは 2010年2月16日に公開される予定です。詳細については、Adobe が提供する情報を参照してください。

Adobe Security Bulletin APSB10-06 Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb10-06.html Adobe Security Bulletin APSB10-07 Security Advisory for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-07.html

Google Chrome に複数の脆弱性 US-CERT Current Activity Archive Google Releases Chrome 4.0.249.89 http://www.us-cert.gov/current/archive/2010/02/12/archive.html#google_releases_chrome_4_01

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報を取得したり、任意のコードを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - Google Chrome 4.0.249.89 より前のバージョンこの問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。

Google Chromium Security Bugs http://sites.google.com/a/chromium.org/dev/Home/chromium-security/chromium-security-bugs Google Google Chrome Releases http://googlechromereleases.blogspot.com/2010/02/stable-channel-update.html

Cisco IronPort Encryption Appliance に複数の脆弱性 US-CERT Current Activity Archive Cisco Releases Advisory for IronPort Encryption Appliance http://www.us-cert.gov/current/archive/2010/02/12/archive.html#cisco_releases_bulletin_for_ironport

Cisco IronPort Encryption Appliance には、複数の脆弱性があります。結果として、遠隔の第三者が任意のファイルにアクセスしたり、任意のコードを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - Cisco IronPort Encryption Appliance 6.5.2 より前の 6.5 系 - Cisco IronPort Encryption Appliance 6.2.9.1 より前の 6.2 系 - Cisco IronPort PostX MAP 6.2.9.1 より前のバージョンこの問題は、Cisco が提供する修正済みのバージョンに Cisco IronPort Encryption Appliance を更新することで解決します。

Cisco Security Advisory 111491 Multiple Vulnerabilities in Cisco IronPort Encryption Appliance http://www.cisco.com/warp/public/707/cisco-sa-20100210-ironport.shtml Cisco Applied Mitigation Bulletin 111668 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in IronPort Encryption Appliance http://www.cisco.com/warp/public/707/cisco-amb-20100210-ironport.shtml

Panda Security ActiveScan にデジタル署名を検証しない問題 US-CERT Vulnerability Note VU#869993 Panda Security ActiveScan fails to properly validate downloaded software http://www.kb.cert.org/vuls/id/869993

Panda Security ActiveScan のインストーラコンポーネントには、ダウンロードしたソフトウェアコンポーネントのデジタル署名を検証しない問題があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを実行する可能性があります。対象となるバージョンは以下の通りです。 - as2stubie.dll 1.3.3.0 より前のバージョンこの問題は、Panda Security が提供する修正済みのバージョンに、 Panda Security ActiveScan を更新することで解決します。

Panda Security フリーオンラインスキャン（ActiveScan2.0) http://www.ps-japan.co.jp/homeuser/content0001.html Japan Vulnerability Notes JVNVU#869993 Panda Security ActiveScan におけるコンポーネントのデジタル署名を検証しない問題 https://jvn.jp/cert/JVNVU869993/index.html Panda Security ActiveScan 2.0 http://www.pandasecurity.com/activescan/index/ Panda Security Panda ActiveScan 2.0 - Free Antivirus http://www.pandasecurity.com/homeusers/solutions/activescan/

Microsoft Windows 製品のサポート終了 2010年2月4日、Microsoft Security Response Center Blog の記事に、サポート終了が近づいている Windows 製品に関する注意が、あらためて掲載されています。これらに該当する Windows のバージョンを利用している方は、サポート終了前に対応をご検討ください。 - Windows XP Service Pack 2 のサポートは 2010年7月13日で終了します。Service Pack 3 あるいは Windows 7 へのアップグレードが推奨されています。 - Windows Vista 初期版 (RTM) のサポートは 2010年4月13日で終了します。Service Pack 2 あるいは Windows 7 へのアップグレードが推奨されています。 - Windows 2000 の延長サポートは 2010年7月13日で終了します。マイクロソフトサポートオンラインサポートライフサイクルサイトインフォメーション http://support.microsoft.com/lifecycle/ マイクロソフトサポートオンライン Windows 2000 エンド・オブ・サポートソリューションセンター http://support.microsoft.com/ph/1131 JPCERT/CC WEEKLY REPORT 2009-06-17 【今週のひとくちメモ】Windows 2000 延長サポート期間の終了について https://www.jpcert.or.jp/wr/2009/wr092301.html#Memo The Microsoft Security Response Center (MSRC) February 2010 Bulletin Release Advance Notification http://blogs.technet.com/msrc/archive/2010/02/04/february-2010-bulletin-release-advance-notification.aspx