-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3101 JPCERT/CC 2010-08-18 <<< JPCERT/CC WEEKLY REPORT 2010-08-18 >>> ―――――――――――――――――――――――――――――――――――――― ■08/08(日)〜08/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年8月 Microsoft セキュリティ情報について 【2】Windows サービスの分離機能に脆弱性 【3】Adobe の複数の製品に脆弱性 【4】Apple iOS に複数の脆弱性 【5】Apple QuickTime にバッファオーバーフローの脆弱性 【6】Opera ブラウザに複数の脆弱性 【7】Cisco Wireless Control System に SQL インジェクションの脆弱性 【8】Cisco IOS に脆弱性 【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開 【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中 【今週のひとくちメモ】Thunderbird 3.0 のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103101.html https://www.jpcert.or.jp/wr/2010/wr103101.xml ============================================================================ 【1】2010年8月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-222A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-222A.html US-CERT Cyber Security Alert SA10-222A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-222A.html DOE-CIRC Technical Bulletin T-413 Microsoft August 2010 Security Bulletin Release http://www.doecirc.energy.gov/bulletins/t-413.shtml 概要 Microsoft Windows、Office、Internet Explorer、.NET Framework、 Silverlight などの製品および関連コンポーネントには、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2010 年 8 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspx Japan Vulnerability Notes JVNTA10-222A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-222A/index.html Japan Vulnerability Notes JVN#86832361 Microsoft Windows におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN86832361/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-046,047,048,049,050,051,052,053,054,055,056,057,058,059,060) https://www.npa.go.jp/cyberpolice/topics/?seq=4268 JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0020 2010年8月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100020.txt 【2】Windows サービスの分離機能に脆弱性 情報源 マイクロソフト セキュリティ アドバイザリ (2264072) Windows サービスの分離バイパスの使用により、特権が昇格される http://www.microsoft.com/japan/technet/security/advisory/2264072.mspx 概要 Windows サービスの分離機能には、脆弱性があります。結果として、遠 隔の第三者が権限を昇格する可能性があります。 2010年8月17日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 回避策など、詳細については情報源および関連文書を参照してください。 関連文書 (英語) Microsoft Support An update is available for the Windows Telephony Application Programming Interface (TAPI) http://support.microsoft.com/kb/982316?ln=en 【3】Adobe の複数の製品に脆弱性 情報源 US-CERT Technical Cyber Security Alert TA10-223A Adobe Flash and AIR Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-223A.html US-CERT Cyber Security Alert SA10-223A Adobe Flash and AIR Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-223A.html US-CERT Vulnerability Note VU#660993 Adobe Flash 10.1 ActionScript AVM1 ActionPush vulnerability http://www.kb.cert.org/vuls/id/660993 DOE-CIRC Technical Bulletin T-414 Security update available for Adobe Flash Player and Adobe AIR http://www.doecirc.energy.gov/bulletins/t-414.shtml 概要 Adobe Acrobat、Reader、Flash Player、AIR、ColdFusion、Flash Media Server には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Adobe によると、Adobe Reader および Acrobat の修正済みのバージョンは 2010年8月16日の週に公開 される予定です。 詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB10-16 Adobe Flash Player用のセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/859/cpsid_85938.html Adobe TechNote APSB10-17 セキュリティ情報の公開 APSB10-17:AcrobatおよびAdobe Reader http://kb2.adobe.com/jp/cps/858/cpsid_85842.html Adobe TechNote APSB10-18 ColdFusion用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/859/cpsid_85933.html Adobe TechNote APSB10-19 Flash Media Serverのセキュリティ脆弱性に対処するためのアップデート http://kb2.adobe.com/jp/cps/859/cpsid_85908.html Japan Vulnerability Notes JVNTA10-223A Adobe Flash および AIR に脆弱性 https://jvn.jp/cert/JVNTA10-223A/index.html Japan Vulnerability Notes JVNVU#660993 Adobe Flash の ActionScript の処理に脆弱性 https://jvn.jp/cert/JVNVU660993/index.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=4352 JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0021 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100021.txt 関連文書 (英語) Adobe Product Security Incident Response Team (PSIRT) Blog Prenotification: Out-of-band Security Updates for Adobe Reader and Acrobat http://blogs.adobe.com/psirt/2010/08/pre-notification-out-of-band-security-updates-for-adobe-reader-and-acrobat.html Adobe Product Security Incident Response Team (PSIRT) Blog Security updates available for Adobe Flash Player, ColdFusion and Flash Media Server http://blogs.adobe.com/psirt/2010/08/security-updates-available-for-adobe-flash-player-coldfusion-and-flash-media-server.html 【4】Apple iOS に複数の脆弱性 情報源 US-CERT Cyber Security Alert SA10-224A Apple Updates iOS for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-224A.html 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 が細工したファイルや Web ページを閲覧させることで任意のコードを 実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS for iPhone 3G 2.0 から 4.0.1 - iOS for iPod touch 2.1 から 4.0 - iOS for iPad 3.2 および 3.2.1 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (英語) Apple Support HT4291 About the security content of the iOS 4.0.2 Update for iPhone and iPod touch http://support.apple.com/kb/HT4291?viewlocale=en_US Apple Support HT4292 About the security content of the iOS 3.2.2 Update for iPad http://support.apple.com/kb/HT4292?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-08-11-1 iOS 4.0.2 Update for iPhone and iPod touch http://lists.apple.com/archives/security-announce/2010/Aug/msg00000.html Apple Mailing Lists APPLE-SA-2010-08-11-2 iOS 3.2.2 Update for iPad http://lists.apple.com/archives/security-announce/2010/Aug/msg00001.html 【5】Apple QuickTime にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive Apple Releases QuickTime 7.6.7 http://www.us-cert.gov/current/archive/2010/08/13/archive.html#apple_releases_quicktime_7_61 概要 Apple QuickTime には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が細工した動画ファイルを閲覧させることで 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime (Windows) 7.6.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、QuickTime を 更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#693335 Apple Quicktime に脆弱性 https://jvn.jp/cert/JVNVU693335/index.html 関連文書 (英語) Apple Support HT4290 About the security content of QuickTime 7.6.7 http://support.apple.com/kb/HT4290?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-08-12-1 QuickTime 7.6.7 http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html 【6】Opera ブラウザに複数の脆弱性 情報源 Opera Software Opera 10.61 for Windows changelog http://www.opera.com/docs/changelogs/windows/1061/ 概要 Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が細工した Web ページをユーザに閲覧させるなどの方法により任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Opera 10.60 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ ザを更新することで解決します。 関連文書 (日本語) Opera Software ウェブブラウザ Opera 10 http://jp.opera.com/browser/ 【7】Cisco Wireless Control System に SQL インジェクションの脆弱性 情報源 DOE-CIRC Technical Bulletin T-415 SQL Injection Vulnerability in Cisco Wireless Control System http://www.doecirc.energy.gov/bulletins/t-415.shtml 概要 Cisco Wireless Control System (WCS) には、SQL インジェクションの 脆弱性があります。結果として、認証済みのユーザが許可されていない 任意の操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Wireless Control System (WCS) 6.0.196.0 より前のバージョ ン この問題は、Cisco が提供する修正済みのバージョンに、Cisco Wireless Control System (WCS) を更新することで解決します。詳細に ついては Cisco が提供する情報を参照してください。 関連文書 (日本語) Cisco Security Advisory 112096 SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/JP/support/public/ht/security/109/1090796/cisco-sa-20100811-wcs-j.shtml 関連文書 (英語) Cisco Security Advisory 112096 SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4091e.shtml Cisco Applied Mitigation Bulletin 112098 Identifying and Mitigating Exploitation of the SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b40920.html 【8】Cisco IOS に脆弱性 情報源 US-CERT Current Activity Archive Cisco IOS Software Vulnerability http://www.us-cert.gov/current/archive/2010/08/13/archive.html#cisco_ios_software_vulnerability 概要 Cisco IOS には、脆弱性があります。結果として、遠隔の第三者が細工 したパケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは以下の通りです。 - Cisco IOS Software 15.1(2)T この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を 更新することで解決します。詳細については、Cisco が提供する情報を 参照してください。 関連文書 (英語) Cisco Security Advisory 112099 Cisco IOS Software TCP Denial of Service Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4095e.shtml Cisco Applied Mitigation Bulletin 112101 Identifying and Mitigating Exploitation of the Cisco IOS Software TCP Denial of Service Vulnerability http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b4095d.html 【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開 情報源 JPCERT/CC 海外セキュリティ関連機関・組織の動向 http://www.jpcert.or.jp/magazine/security/field.html 概要 「JPCERT/CC フィールドレポート」は、海外のセキュリティ関連機関・ 組織との連携活動、海外のセキュリティ動向、国内外の専門家へのイン タビューや、JPCERT/CC が主催するイベント、JPCERT/CC のアナリスト が各所で行った講演のレポートなどを紹介していく予定です。 第一回目は、2000年に設立された、タイの科学技術省 (Ministry of Science and Technology) の管轄する National CSIRT である ThaiCERT のエンジニア キティサック・ジラワンナクール氏に、タイの セキュリティ事情・対策についてインタビューし、紹介しています。 【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @名古屋 のご案内 https://www.jpcert.or.jp/event/securecoding-NGY-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない 安全なプログラムをコーディングする具体的なテクニックとノウハウを学 んでいただく「C/C++ セキュアコーディングセミナー」を開催しています。 「C/C++ セキュアコーディングセミナー2010@名古屋」は、東海地区の プログラム開発者の皆様に受講いただけるよう、名古屋を会場として 9月2日、3日の 2日間コースで開催します。受講料は無料です。ふるっ てご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年9月2日(木) 9:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 <整数・コードレビュー> 2010年9月3日(金) 9:10 - 受付開始 9:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] 名駅ABCビル第3会議室 愛知県名古屋市中村区椿町16-23 [定員] 50名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 名古屋 お申し込み https://www.jpcert.or.jp/event/securecoding-NGY-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Thunderbird 3.0 のサポート終了 Thunderbird 3.0 のサポートは 2010年12月で終了する予定です。 Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応 状況や他アプリケーションとの連携などの確認を行い、早めに Thunderbird 3.1 へ移行することをお勧めします。 なお、Thuderbird 2 のサポートは 2010年6月で終了しています。 参考文献 (日本語) Mozilla Japan ブログ Thunderbird 3.1.2 を公開しました http://mozilla.jp/blog/entry/5809/ 参考文献 (英語) Mozilla Thunderbird 旧バージョンのダウンロード http://mozilla.jp/thunderbird/download/older/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMazJVAAoJEDF9l6Rp7OBId1UH/13varcc+RaCQkQq2eWCbMHB iaR6Uleg5JamEfJmh1K6e8WISebE994LYkhvc3nhtOy5UMDTeSJEa5Ky93PzxN+v UL6W6AM+5Uka7M2BCZjZdQ95wKN6jt8Fb2TmNpt+ez/MPshl73MznVvabn5foDX4 OGZNI5voSF7+63doKa5NtiuH9Hyt+Yeo1zUoN3vpR67Yc5mKCy2VeSOviZsBQiGZ oHESf2MD8+ONK/Gi+nS20gLckN9wlmXspIQXiRRbMk/omO0IL3HfKW0p83PfJPST SqF6xcxE0xduIwBbfgbopXdoYcBvVpDU+2KZ0UsmeRMGrIaj1ym4bq5nOcn5wPc= =m5Da -----END PGP SIGNATURE-----