2010年8月 Microsoft セキュリティ情報について

JPCERT-WR-2010-3101 2010-08-18 2010-08-08 2010-08-14

2010年8月 Microsoft セキュリティ情報について US-CERT Technical Cyber Security Alert TA10-222A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-222A.html US-CERT Cyber Security Alert SA10-222A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-222A.html DOE-CIRC Technical Bulletin T-413 Microsoft August 2010 Security Bulletin Release http://www.doecirc.energy.gov/bulletins/t-413.shtml

Microsoft Windows、Office、Internet Explorer、.NET Framework、 Silverlight などの製品および関連コンポーネントには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを適用することで解決します。

2010 年 8 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspx Japan Vulnerability Notes JVNTA10-222A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-222A/index.html Japan Vulnerability Notes JVN#86832361 Microsoft Windows におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN86832361/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-046,047,048,049,050,051,052,053,054,055,056,057,058,059,060) https://www.npa.go.jp/cyberpolice/topics/?seq=4268 JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0020 2010年8月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100020.txt

Windows サービスの分離機能に脆弱性マイクロソフトセキュリティアドバイザリ (2264072) Windows サービスの分離バイパスの使用により、特権が昇格される http://www.microsoft.com/japan/technet/security/advisory/2264072.mspx

Windows サービスの分離機能には、脆弱性があります。結果として、遠隔の第三者が権限を昇格する可能性があります。 2010年8月17日現在、この問題に対するセキュリティ更新プログラムは提供されていません。回避策など、詳細については情報源および関連文書を参照してください。

Microsoft Support An update is available for the Windows Telephony Application Programming Interface (TAPI) http://support.microsoft.com/kb/982316?ln=en

Adobe の複数の製品に脆弱性 US-CERT Technical Cyber Security Alert TA10-223A Adobe Flash and AIR Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-223A.html US-CERT Cyber Security Alert SA10-223A Adobe Flash and AIR Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-223A.html US-CERT Vulnerability Note VU#660993 Adobe Flash 10.1 ActionScript AVM1 ActionPush vulnerability http://www.kb.cert.org/vuls/id/660993 DOE-CIRC Technical Bulletin T-414 Security update available for Adobe Flash Player and Adobe AIR http://www.doecirc.energy.gov/bulletins/t-414.shtml

Adobe Acrobat、Reader、Flash Player、AIR、ColdFusion、Flash Media Server には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新することで解決します。なお、Adobe によると、Adobe Reader および Acrobat の修正済みのバージョンは 2010年8月16日の週に公開される予定です。詳細については、Adobe が提供する情報を参照してください。

Adobe TechNote APSB10-16 Adobe Flash Player用のセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/859/cpsid_85938.html Adobe TechNote APSB10-17 セキュリティ情報の公開 APSB10-17：AcrobatおよびAdobe Reader http://kb2.adobe.com/jp/cps/858/cpsid_85842.html Adobe TechNote APSB10-18 ColdFusion用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/859/cpsid_85933.html Adobe TechNote APSB10-19 Flash Media Serverのセキュリティ脆弱性に対処するためのアップデート http://kb2.adobe.com/jp/cps/859/cpsid_85908.html Japan Vulnerability Notes JVNTA10-223A Adobe Flash および AIR に脆弱性 https://jvn.jp/cert/JVNTA10-223A/index.html Japan Vulnerability Notes JVNVU#660993 Adobe Flash の ActionScript の処理に脆弱性 https://jvn.jp/cert/JVNVU660993/index.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=4352 JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0021 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100021.txt Adobe Product Security Incident Response Team (PSIRT) Blog Prenotification: Out-of-band Security Updates for Adobe Reader and Acrobat http://blogs.adobe.com/psirt/2010/08/pre-notification-out-of-band-security-updates-for-adobe-reader-and-acrobat.html Adobe Product Security Incident Response Team (PSIRT) Blog Security updates available for Adobe Flash Player, ColdFusion and Flash Media Server http://blogs.adobe.com/psirt/2010/08/security-updates-available-for-adobe-flash-player-coldfusion-and-flash-media-server.html

Apple iOS に複数の脆弱性 US-CERT Cyber Security Alert SA10-224A Apple Updates iOS for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-224A.html

Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が細工したファイルや Web ページを閲覧させることで任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - iOS for iPhone 3G 2.0 から 4.0.1 - iOS for iPod touch 2.1 から 4.0 - iOS for iPad 3.2 および 3.2.1 この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新することで解決します。詳細については、Apple が提供する情報を参照してください。

Apple Support HT4291 About the security content of the iOS 4.0.2 Update for iPhone and iPod touch http://support.apple.com/kb/HT4291?viewlocale=en_US Apple Support HT4292 About the security content of the iOS 3.2.2 Update for iPad http://support.apple.com/kb/HT4292?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-08-11-1 iOS 4.0.2 Update for iPhone and iPod touch http://lists.apple.com/archives/security-announce/2010/Aug/msg00000.html Apple Mailing Lists APPLE-SA-2010-08-11-2 iOS 3.2.2 Update for iPad http://lists.apple.com/archives/security-announce/2010/Aug/msg00001.html

Apple QuickTime にバッファオーバーフローの脆弱性 US-CERT Current Activity Archive Apple Releases QuickTime 7.6.7 http://www.us-cert.gov/current/archive/2010/08/13/archive.html#apple_releases_quicktime_7_61

Apple QuickTime には、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工した動画ファイルを閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime (Windows) 7.6.7 より前のバージョンこの問題は、Apple が提供する修正済みのバージョンに、QuickTime を更新することで解決します。

Japan Vulnerability Notes JVNVU#693335 Apple Quicktime に脆弱性 https://jvn.jp/cert/JVNVU693335/index.html Apple Support HT4290 About the security content of QuickTime 7.6.7 http://support.apple.com/kb/HT4290?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-08-12-1 QuickTime 7.6.7 http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html

Opera ブラウザに複数の脆弱性 Opera Software Opera 10.61 for Windows changelog http://www.opera.com/docs/changelogs/windows/1061/

Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第三者が細工した Web ページをユーザに閲覧させるなどの方法により任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Opera 10.60 およびそれ以前この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新することで解決します。

Opera Software ウェブブラウザ Opera 10 http://jp.opera.com/browser/

Cisco Wireless Control System に SQL インジェクションの脆弱性 DOE-CIRC Technical Bulletin T-415 SQL Injection Vulnerability in Cisco Wireless Control System http://www.doecirc.energy.gov/bulletins/t-415.shtml

Cisco Wireless Control System (WCS) には、SQL インジェクションの脆弱性があります。結果として、認証済みのユーザが許可されていない任意の操作を行う可能性があります。対象となるバージョンは以下の通りです。 - Cisco Wireless Control System (WCS) 6.0.196.0 より前のバージョンこの問題は、Cisco が提供する修正済みのバージョンに、Cisco Wireless Control System (WCS) を更新することで解決します。詳細については Cisco が提供する情報を参照してください。

Cisco Security Advisory 112096 SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/JP/support/public/ht/security/109/1090796/cisco-sa-20100811-wcs-j.shtml Cisco Security Advisory 112096 SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4091e.shtml Cisco Applied Mitigation Bulletin 112098 Identifying and Mitigating Exploitation of the SQL Injection Vulnerability in Cisco Wireless Control System http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b40920.html

Cisco IOS に脆弱性 US-CERT Current Activity Archive Cisco IOS Software Vulnerability http://www.us-cert.gov/current/archive/2010/08/13/archive.html#cisco_ios_software_vulnerability

Cisco IOS には、脆弱性があります。結果として、遠隔の第三者が細工したパケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - Cisco IOS Software 15.1(2)T この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を更新することで解決します。詳細については、Cisco が提供する情報を参照してください。

Cisco Security Advisory 112099 Cisco IOS Software TCP Denial of Service Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4095e.shtml Cisco Applied Mitigation Bulletin 112101 Identifying and Mitigating Exploitation of the Cisco IOS Software TCP Denial of Service Vulnerability http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b4095d.html

JPCERT/CC フィールドレポート「海外セキュリティ関連機関・組織の動向」を公開 JPCERT/CC 海外セキュリティ関連機関・組織の動向 http://www.jpcert.or.jp/magazine/security/field.html

「JPCERT/CC フィールドレポート」は、海外のセキュリティ関連機関・組織との連携活動、海外のセキュリティ動向、国内外の専門家へのインタビューや、JPCERT/CC が主催するイベント、JPCERT/CC のアナリストが各所で行った講演のレポートなどを紹介していく予定です。第一回目は、2000年に設立された、タイの科学技術省 (Ministry of Science and Technology) の管轄する National CSIRT である ThaiCERT のエンジニアキティサック・ジラワンナクール氏に、タイのセキュリティ事情・対策についてインタビューし、紹介しています。

C/C++ セキュアコーディングセミナー 2010 ＠名古屋ひきつづき参加者募集中 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 ＠名古屋のご案内 https://www.jpcert.or.jp/event/securecoding-NGY-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただく「C/C++ セキュアコーディングセミナー」を開催しています。「C/C++ セキュアコーディングセミナー2010＠名古屋」は、東海地区のプログラム開発者の皆様に受講いただけるよう、名古屋を会場として 9月2日、3日の 2日間コースで開催します。受講料は無料です。ふるってご参加ください。 [日時] part 1 ＜セキュアコーディング概論・文字列＞　2010年9月2日(木) 9:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 ＜整数・コードレビュー＞　2010年9月3日(金) 9:10 - 受付開始 9:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] 名駅ABCビル第3会議室愛知県名古屋市中村区椿町16-23 [定員]　50名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェクトマネージャ、コードレビュアー、品質管理担当者、プログラマ・エンジニアの教育担当者、等

JPCERT/CC C/C++ セキュアコーディングセミナー 2010 ＠名古屋お申し込み https://www.jpcert.or.jp/event/securecoding-NGY-application.html

Thunderbird 3.0 のサポート終了 Thunderbird 3.0 のサポートは 2010年12月で終了する予定です。 Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応状況や他アプリケーションとの連携などの確認を行い、早めに Thunderbird 3.1 へ移行することをお勧めします。なお、Thuderbird 2 のサポートは 2010年6月で終了しています。 Mozilla Japan ブログ Thunderbird 3.1.2 を公開しました http://mozilla.jp/blog/entry/5809/ Mozilla Thunderbird 旧バージョンのダウンロード http://mozilla.jp/thunderbird/download/older/