-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-2201 JPCERT/CC 2010-06-16 <<< JPCERT/CC WEEKLY REPORT 2010-06-16 >>> ―――――――――――――――――――――――――――――――――――――― ■06/06(日)〜06/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年6月 Microsoft セキュリティ情報について 【2】Microsoft Windows Help and Support Center に脆弱性 【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報 【4】Google Chrome に複数の脆弱性 【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中 【今週のひとくちメモ】IANA が新しい WHOIS サーバをテスト公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr102201.html https://www.jpcert.or.jp/wr/2010/wr102201.xml ============================================================================ 【1】2010年6月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-159B Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-159B.html US-CERT Cyber Security Alert SA10-159B Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-159B.html 概要 Microsoft Windows、Internet Explorer、Office、SharePoint Services、.NET Framework などの製品および関連コンポーネントには、 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、2010-02-10号【1】「Internet Explorer に脆弱性」および 2010-05-12号【1】「Microsoft SharePoint にクロスサイトスクリプティ ングの脆弱性」で紹介した問題に対する解決策も含まれています。 関連文書 (日本語) 2010 年 6 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-jun.mspx Japan Vulnerability Notes JVNTA10-159B Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-159B/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-032,033,034,035,036,037,038,039,040,041) https://www.npa.go.jp/cyberpolice/topics/?seq=3833 JPCERT/CC Alert 2010-06-09 JPCERT-AT-2010-0014 2010年6月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100014.txt JPCERT/CC WEEKLY REPORT 2010-02-10 【1】Internet Explorer に脆弱性 https://www.jpcert.or.jp/wr/2010/wr100501.html#1 JPCERT/CC WEEKLY REPORT 2010-05-12 【1】Microsoft SharePoint にクロスサイトスクリプティングの脆弱性 https://www.jpcert.or.jp/wr/2010/wr101701.html#1 【2】Microsoft Windows Help and Support Center に脆弱性 情報源 US-CERT Vulnerability Note VU#578319 Microsoft Windows Help and Support Center URI processing vulnerability http://www.kb.cert.org/vuls/id/578319 概要 Microsoft Windows の Help and Support Center には、HCP プロトコ ルの処理に起因する脆弱性があります。結果として、遠隔の第三者が細 工した HCP プロトコルの URI リンクを処理させることで、ユーザの権 限で任意のコマンドを実行する可能性があります。 対象となるプラットフォームは以下の通りです。 - Microsoft Windows XP - Microsoft Windows Server 2003 2010年6月15日現在、この問題に対する解決策は提供されていません。 回避策として、マイクロソフトは HCP プロトコルの登録を解除する 「Fix it」を公開しています。詳細については、マイクロソフトが提供 する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (2219475) Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx マイクロソフト サポート オンライン 脆弱性によりヘルプ センターでは、リモートでコードが実行される可能性があります。 http://support.microsoft.com/kb/2219475/ Japan Vulnerability Notes JVNVU#578319 Microsoft Windows Help and Support Center に脆弱性 https://jvn.jp/cert/JVNVU578319/index.html 【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報 情報源 US-CERT Technical Cyber Security Alert TA10-162A Adobe Flash and AIR Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-162A.html US-CERT Technical Cyber Security Alert TA10-159A Adobe Flash, Reader, and Acrobat Vulnerability http://www.us-cert.gov/cas/techalerts/TA10-159A.html 概要 JPCERT/CC WEEKLY REPORT 2010-06-09号【1】で紹介した「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報です。 Adobe は、Flash Player および Adobe AIR の修正済みのバージョンを 2010年6月10日に公開しました。なお、Adobe Reader および Acrobat の更新は、2010年6月29日までに公開される予定です。詳細については、 Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB10-14 Adobe Flash Player用のセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/850/cpsid_85036.html Adobe TechNote APSA10-01 Adobe Reader、AcrobatおよびFlash Playerに関するセキュリティ情報 http://kb2.adobe.com/jp/cps/849/cpsid_84948.html Japan Vulnerability Notes JVNTA10-159A Adobe Reader、Acrobat および Flash Player に脆弱性 https://jvn.jp/cert/JVNTA10-159A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Adobe Flash Player の脆弱性について http://www.ipa.go.jp/security/ciadr/vul/20100611-adobe.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=3816 JPCERT/CC Alert 2010-06-11 JPCERT-AT-2010-0015 Adobe Flash Player および Adobe Acrobat/Reader の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100015.txt JPCERT/CC WEEKLY REPORT 2010-06-09 【1】Adobe Flash Player、Reader および Acrobat に脆弱性 https://www.jpcert.or.jp/wr/2010/wr102101.html#1 関連文書 (英語) Adobe Security Bulletin APSB10-14 Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb10-14.html 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 5.0.375.70 http://www.us-cert.gov/current/archive/2010/06/10/archive.html#google_releases_chrome_5_01 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 5.0.375.70 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/06/stable-channel-update.html 【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内 https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場 として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ るってご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列>     2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)     part 2 <整数・コードレビュー>     2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] クリスタルタワー 20階 E会議室 大阪市中央区城見1-2-27 (MAP) http://www4.ocn.ne.jp/~crystalt/map.html [受講料] 無料 [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @大阪 お申し込み https://www.jpcert.or.jp/event/securecoding-OSK-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IANA が新しい WHOIS サーバをテスト公開 IANA では、現在の whois サーバ (whois.iana.org) に代わるシステム を開発中です。新しい whois サーバ (new.whois.iana.org) がテスト 公開され、ユーザからのフィードバックを募集しています。 新しいサーバでは、以下の新しい機能が提供されています。 - RPSL 形式の出力 - 国際化ドメイン名対応 - IP アドレス (IPv4, IPv6) や AS 番号の情報提供 - 参照先 whois サーバの情報提供 参考文献 (日本語) JPNICニュースレターNo.34 インターネット10分講座:WHOIS http://www.nic.ad.jp/ja/newsletter/No34/0800.html 参考文献 (英語) ICANN Blog Try the new IANA WHOIS server http://blog.icann.org/2010/05/test-iana-whois/ RIPE NCC RPSL Info http://www.ripe.net/ripencc/pub-services/db/rpsl/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMGChxAAoJEDF9l6Rp7OBIXyUH/iNfLDiWf+O53Rf4FCCryPQC pCY1YTZaCG5KYV18M8OnZWhR6miECK9FBneocd0uzFVpPDoBp4XDXSGmTR6hYre+ aUyb89ROAIlMV0FaUTD3LqZitH7zgz4vcr2sy0ZK6mc3oeXA/KrvNODxeQUlmdMw fyliwJ8I6d/jD7ZtC+BtFTa+vaf1a/E+rpQDtI458/cG66oELjAJOeiwRsvK1hQK 3z2Uyv1+OYUvfGHiE1rmrmulOoHCT+MKNEKMEju6TW2a2+3pVw5V+Ic+xM0VGit+ kTgH9OQV7X8uLGaMKacUlBWp/6/XXSE1guVmK7sy/hjw6AP7I+xNP7SWWQuOZMw= =PnJG -----END PGP SIGNATURE-----