JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ サイトマップ English

Home > 情報提供 > Weekly Report > 2010 > Weekly Report 2010-08-18号

  1. 最新情報を取得 (RSS | メーリングリスト
  2. HTTPS

Weekly Report 2010-08-18号

最終更新: 2010-08-18
JPCERT-WR-2010-3101
JPCERT/CC
2010-08-18

<<< JPCERT/CC WEEKLY REPORT 2010-08-18 >>>

■08/08(日)〜08/14(土) のセキュリティ関連情報

目 次

【1】2010年8月 Microsoft セキュリティ情報について

【2】Windows サービスの分離機能に脆弱性

【3】Adobe の複数の製品に脆弱性

【4】Apple iOS に複数の脆弱性

【5】Apple QuickTime にバッファオーバーフローの脆弱性

【6】Opera ブラウザに複数の脆弱性

【7】Cisco Wireless Control System に SQL インジェクションの脆弱性

【8】Cisco IOS に脆弱性

【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開

【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中

【今週のひとくちメモ】Thunderbird 3.0 のサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103101.txt
https://www.jpcert.or.jp/wr/2010/wr103101.xml

【1】2010年8月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA10-222A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-222A.html

US-CERT Cyber Security Alert SA10-222A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-222A.html

DOE-CIRC Technical Bulletin T-413
Microsoft August 2010 Security Bulletin Release
http://www.doecirc.energy.gov/bulletins/t-413.shtml

概要

Microsoft Windows、Office、Internet Explorer、.NET Framework、
Silverlight などの製品および関連コンポーネントには、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)

2010 年 8 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspx

Japan Vulnerability Notes JVNTA10-222A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA10-222A/index.html

Japan Vulnerability Notes JVN#86832361
Microsoft Windows におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN86832361/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-046,047,048,049,050,051,052,053,054,055,056,057,058,059,060)
https://www.npa.go.jp/cyberpolice/topics/?seq=4268

JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0020
2010年8月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100020.txt

【2】Windows サービスの分離機能に脆弱性

情報源

マイクロソフト セキュリティ アドバイザリ (2264072)
Windows サービスの分離バイパスの使用により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/2264072.mspx

概要

Windows サービスの分離機能には、脆弱性があります。結果として、遠
隔の第三者が権限を昇格する可能性があります。

2010年8月17日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。

回避策など、詳細については情報源および関連文書を参照してください。

関連文書 (英語)

Microsoft Support
An update is available for the Windows Telephony Application Programming Interface (TAPI)
http://support.microsoft.com/kb/982316?ln=en

【3】Adobe の複数の製品に脆弱性

情報源

US-CERT Technical Cyber Security Alert TA10-223A
Adobe Flash and AIR Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-223A.html

US-CERT Cyber Security Alert SA10-223A
Adobe Flash and AIR Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-223A.html

US-CERT Vulnerability Note VU#660993
Adobe Flash 10.1 ActionScript AVM1 ActionPush vulnerability
http://www.kb.cert.org/vuls/id/660993

DOE-CIRC Technical Bulletin T-414
Security update available for Adobe Flash Player and Adobe AIR
http://www.doecirc.energy.gov/bulletins/t-414.shtml

概要

Adobe Acrobat、Reader、Flash Player、AIR、ColdFusion、Flash Media 
Server には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 
(DoS) 攻撃を行ったりする可能性があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。なお、Adobe によると、Adobe Reader 
および Acrobat の修正済みのバージョンは 2010年8月16日の週に公開
される予定です。

詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe TechNote APSB10-16
Adobe Flash Player用のセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/859/cpsid_85938.html

Adobe TechNote APSB10-17
セキュリティ情報の公開 APSB10-17:AcrobatおよびAdobe Reader
http://kb2.adobe.com/jp/cps/858/cpsid_85842.html

Adobe TechNote APSB10-18
ColdFusion用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/859/cpsid_85933.html

Adobe TechNote APSB10-19
Flash Media Serverのセキュリティ脆弱性に対処するためのアップデート
http://kb2.adobe.com/jp/cps/859/cpsid_85908.html

Japan Vulnerability Notes JVNTA10-223A
Adobe Flash および AIR に脆弱性
https://jvn.jp/cert/JVNTA10-223A/index.html

Japan Vulnerability Notes JVNVU#660993
Adobe Flash の ActionScript の処理に脆弱性
https://jvn.jp/cert/JVNVU660993/index.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=4352

JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0021
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100021.txt

関連文書 (英語)

Adobe Product Security Incident Response Team (PSIRT) Blog
Prenotification: Out-of-band Security Updates for Adobe Reader and Acrobat
http://blogs.adobe.com/psirt/2010/08/pre-notification-out-of-band-security-updates-for-adobe-reader-and-acrobat.html

Adobe Product Security Incident Response Team (PSIRT) Blog
Security updates available for Adobe Flash Player, ColdFusion and Flash Media Server
http://blogs.adobe.com/psirt/2010/08/security-updates-available-for-adobe-flash-player-coldfusion-and-flash-media-server.html

【4】Apple iOS に複数の脆弱性

情報源

US-CERT Cyber Security Alert SA10-224A
Apple Updates iOS for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-224A.html

概要

Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者
が細工したファイルや Web ページを閲覧させることで任意のコードを
実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iOS for iPhone 3G 2.0 から 4.0.1
- iOS for iPod touch 2.1 から 4.0
- iOS for iPad 3.2 および 3.2.1

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。

関連文書 (英語)

Apple Support HT4291
About the security content of the iOS 4.0.2 Update for iPhone and iPod touch
http://support.apple.com/kb/HT4291?viewlocale=en_US

Apple Support HT4292
About the security content of the iOS 3.2.2 Update for iPad
http://support.apple.com/kb/HT4292?viewlocale=en_US

Apple Mailing Lists
APPLE-SA-2010-08-11-1 iOS 4.0.2 Update for iPhone and iPod touch
http://lists.apple.com/archives/security-announce/2010/Aug/msg00000.html

Apple Mailing Lists
APPLE-SA-2010-08-11-2 iOS 3.2.2 Update for iPad
http://lists.apple.com/archives/security-announce/2010/Aug/msg00001.html

【5】Apple QuickTime にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases QuickTime 7.6.7
http://www.us-cert.gov/current/archive/2010/08/13/archive.html#apple_releases_quicktime_7_61

概要

Apple QuickTime には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者が細工した動画ファイルを閲覧させることで
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- Apple QuickTime (Windows) 7.6.7 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、QuickTime を
更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#693335
Apple Quicktime に脆弱性
https://jvn.jp/cert/JVNVU693335/index.html

関連文書 (英語)

Apple Support HT4290
About the security content of QuickTime 7.6.7
http://support.apple.com/kb/HT4290?viewlocale=en_US

Apple Mailing Lists
APPLE-SA-2010-08-12-1 QuickTime 7.6.7
http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html

【6】Opera ブラウザに複数の脆弱性

情報源

Opera Software
Opera 10.61 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1061/

概要

Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第
三者が細工した Web ページをユーザに閲覧させるなどの方法により任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。 

対象となるバージョンは以下の通りです。
 
- Opera 10.60 およびそれ以前
 
この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ
ザを更新することで解決します。

関連文書 (日本語)

Opera Software
ウェブブラウザ Opera 10
http://jp.opera.com/browser/

【7】Cisco Wireless Control System に SQL インジェクションの脆弱性

情報源

DOE-CIRC Technical Bulletin T-415
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.doecirc.energy.gov/bulletins/t-415.shtml

概要

Cisco Wireless Control System (WCS) には、SQL インジェクションの
脆弱性があります。結果として、認証済みのユーザが許可されていない
任意の操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Wireless Control System (WCS) 6.0.196.0 より前のバージョ
  ン

この問題は、Cisco が提供する修正済みのバージョンに、Cisco 
Wireless Control System (WCS) を更新することで解決します。詳細に
ついては Cisco が提供する情報を参照してください。

関連文書 (日本語)

Cisco Security Advisory 112096
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/JP/support/public/ht/security/109/1090796/cisco-sa-20100811-wcs-j.shtml

関連文書 (英語)

Cisco Security Advisory 112096
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4091e.shtml

Cisco Applied Mitigation Bulletin 112098
Identifying and Mitigating Exploitation of the SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b40920.html

【8】Cisco IOS に脆弱性

情報源

US-CERT Current Activity Archive
Cisco IOS Software Vulnerability
http://www.us-cert.gov/current/archive/2010/08/13/archive.html#cisco_ios_software_vulnerability

概要

Cisco IOS には、脆弱性があります。結果として、遠隔の第三者が細工
したパケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う
可能性があります。

対象となるバージョンは以下の通りです。

- Cisco IOS Software 15.1(2)T

この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を
更新することで解決します。詳細については、Cisco が提供する情報を
参照してください。

関連文書 (英語)

Cisco Security Advisory 112099
Cisco IOS Software TCP Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4095e.shtml

Cisco Applied Mitigation Bulletin 112101
Identifying and Mitigating Exploitation of the Cisco IOS Software TCP Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b4095d.html

【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開

情報源

JPCERT/CC
海外セキュリティ関連機関・組織の動向
http://www.jpcert.or.jp/magazine/security/field.html

概要

「JPCERT/CC フィールドレポート」は、海外のセキュリティ関連機関・
組織との連携活動、海外のセキュリティ動向、国内外の専門家へのイン
タビューや、JPCERT/CC が主催するイベント、JPCERT/CC のアナリスト
が各所で行った講演のレポートなどを紹介していく予定です。

第一回目は、2000年に設立された、タイの科学技術省 (Ministry of
Science and Technology) の管轄する National CSIRT である 
ThaiCERT のエンジニア キティサック・ジラワンナクール氏に、タイの
セキュリティ事情・対策についてインタビューし、紹介しています。

【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @名古屋 のご案内
https://www.jpcert.or.jp/event/securecoding-NGY-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない
安全なプログラムをコーディングする具体的なテクニックとノウハウを学
んでいただく「C/C++ セキュアコーディングセミナー」を開催しています。

「C/C++ セキュアコーディングセミナー2010@名古屋」は、東海地区の
プログラム開発者の皆様に受講いただけるよう、名古屋を会場として 
9月2日、3日の 2日間コースで開催します。受講料は無料です。ふるっ
てご参加ください。

  [日時] part 1 <セキュアコーディング概論・文字列> 2010年9月2日(木)
           9:30 -       受付開始
          10:00 - 12:00 セキュアコーディング概論
          13:00 - 15:00 文字列
          15:15 - 17:15 演習(文字列)

         part2 <整数・コードレビュー> 2010年9月3日(金)
           9:10 -       受付開始
           9:30 - 12:00 整数
          13:00 - 15:00 演習(整数)
          15:15 - 17:15 コードレビュー

  [会場] 名駅ABCビル第3会議室
         愛知県名古屋市中村区椿町16-23

  [定員] 50名/回
          (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ
          クトマネージャ、コードレビュアー、品質管理担当者、プログラ
          マ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 名古屋 お申し込み
https://www.jpcert.or.jp/event/securecoding-NGY-application.html

■今週のひとくちメモ

○Thunderbird 3.0 のサポート終了

Thunderbird 3.0 のサポートは 2010年12月で終了する予定です。
Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応
状況や他アプリケーションとの連携などの確認を行い、早めに
Thunderbird 3.1 へ移行することをお勧めします。

なお、Thuderbird 2 のサポートは 2010年6月で終了しています。

参考文献 (日本語)

Mozilla Japan ブログ
Thunderbird 3.1.2 を公開しました
http://mozilla.jp/blog/entry/5809/

参考文献 (英語)

Mozilla Thunderbird
旧バージョンのダウンロード
http://mozilla.jp/thunderbird/download/older/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

インシデント対応依頼

JPCERT/CCからのお知らせ

2012-01-27
メンテナンスのお知らせ
2012-01-26
Java セキュアコーディングセミナー受付開始
2012-01-26
ソフトウエア等の脆弱性関連情報に関する届出状況 [ 2011年第4四半期 (10月 ~12月) ]
2012-01-13
制御システムセキュリティカンファレンス2012受付開始
お知らせ一覧 お知らせRSS

イベント

・Java セキュアコーディングセミナー受付開始

・制御システムセキュリティカンファレンス2012

過去のイベント お知らせRSS

お薦めページ

ITセキュリティ予防接種調査報告書:疑似標的型攻撃を行ない、セキュリティ意識向上と教育効果について調査(2007~2009)

講演・執筆活動

JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。

過去の講演・執筆一覧
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english
  1. ご利用にあたってのお願い
  2. プライバシーポリシー
Copyright © 1996-2012 JPCERT/CC All Rights Reserved.