-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3201 JPCERT/CC 2010-08-25 <<< JPCERT/CC WEEKLY REPORT 2010-08-25 >>> ―――――――――――――――――――――――――――――――――――――― ■08/15(日)〜08/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Adobe の複数の製品に脆弱性」に関する追加情報 【2】Google Chrome に複数の脆弱性 【3】VLC Media Player に脆弱性 【4】Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性 【5】Winny に複数の脆弱性 【今週のひとくちメモ】ソフトウエアのアップデートを再確認しましょう ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103201.html https://www.jpcert.or.jp/wr/2010/wr103201.xml ============================================================================ 【1】「Adobe の複数の製品に脆弱性」に関する追加情報 情報源 US-CERT Technical Cyber Security Alert TA10-231A Adobe Reader and Acrobat Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-231A.html US-CERT Cyber Security Alert SA10-231A Adobe Reader and Acrobat Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-231A.html DOE-CIRC Technical Bulletin T-418 Adobe Acrobat and Reader Font Parsing Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-418.shtml 概要 JPCERT/CC WEEKLY REPORT 2010-08-18 号【3】で紹介した「Adobe の複 数の製品に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを 2010年8月19日に公開しました。詳細については、Adobe が提供する情 報を参照してください。 関連文書 (日本語) Adobe TechNote セキュリティアップデータの公開 APSB10-17:AcrobatおよびAdobe Reader http://kb2.adobe.com/jp/cps/858/cpsid_85842.html Japan Vulnerability Notes JVNTA10-231A Adobe Reader および Acrobat における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-231A/index.html @police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=4519 JPCERT/CC Alert 2010-08-20 JPCERT-AT-2010-0022 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100022.txt JPCERT/CC WEEKLY REPORT 2010-08-18 号 【3】Adobe の複数の製品に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103101.html#3 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 5.0.375.127 http://www.us-cert.gov/current/archive/2010/08/20/archive.html#google_releases_chrome_5_06 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 5.0.375.127 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/08/stable-channel-update_19.html 【3】VLC Media Player に脆弱性 情報源 US-CERT Current Activity Archive VideoLAN Releases a Security Advisory for VLC Media Player http://www.us-cert.gov/current/archive/2010/08/20/archive.html#videolan_releases_a_security_update 概要 VLC Media Player には、脆弱性があります。結果として、遠隔の第三 者が細工したファイルを再生させることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - VLC Media Player 0.9.0 から 1.1.2 まで この問題は、配布元が提供する修正済みのバージョンに VLC Media Player を更新することで解決します。 関連文書 (英語) VideoLAN Project Security Advisory 1004 http://www.videolan.org/security/sa1004.html 【4】Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#320233 Wyse ThinOS LPD service buffer overflow vulnerability http://www.kb.cert.org/vuls/id/320233 概要 Wyse ThinOS の LPD サービスには、バッファオーバーフローの脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Wyse ThinOS 6.5 より前のバージョン この問題は、ベンダが提供する修正済みのバージョンに Wyse ThinOS を更新することで解決します。 関連文書 (日本語) Wyse Technology Wyse Thin OS (WTOS) とは http://www.wyse.co.jp/products/software/os/index.asp Japan Vulnerability Notes JVNVU#320233 Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU320233/index.html 関連文書 (英語) Wyse Technology Wyse ThinOS http://www.wyse.com/products/software/os/index.asp 【5】Winny に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#54336184 Winny における BBS 情報の処理に関する脆弱性 https://jvn.jp/jp/JVN54336184/index.html Japan Vulnerability Notes JVN#25393522 Winny におけるノード情報の処理に関する脆弱性 https://jvn.jp/jp/JVN25393522/index.html Japan Vulnerability Notes JVN#21471805 Winny におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN21471805/index.html Japan Vulnerability Notes JVN#91740962 Winny におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN91740962/index.html 概要 Winny には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、Distributed Denial of Service (DDoS) 攻 撃に使用したりする可能性があります。 対象となるバージョンは以下の通りです。 - Winny 2.0b7.1 およびそれ以前 2010年8月24日現在、この問題に対する解決策は提供されていません。 Winny の使用を停止してください。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ソフトウエアのアップデートを再確認しましょう 多くの人が夏休みで職場を離れているこの 1、2ヶ月の間にも、様々な ソフトウエアベンダが脆弱性の修正を行なっています。Microsoft Update や Apple のセキュリティアップデート以外に、Adobe Flash な どの Web ブラウザプラグインや Adobe Reader などのアプリケーショ ンのアップデートがリリースされています。 夏休み中に公開されたアップデートについて、適用し忘れているものが ないか、確認してください。 バージョンアップの自動確認と通知を行う機能を実装したアプリケーショ ンが増えています。これらのアプリケーションの通知を見逃すことのな いようご注意ください。また、Flash プラグインのように手動でバージョ ンアップを確認する必要があるものについては、セキュリティ情報サー ビスを活用するなどして、適切なタイミングでアップデートするように 心掛けましょう。 参考文献 (日本語) JPCERT/CC 注意喚起 https://www.jpcert.or.jp/at/ Japan Vulnerability Notes 脆弱性レポート 一覧 https://jvn.jp/report/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMdGygAAoJEDF9l6Rp7OBIC+oH/jWyO3PZGicbhnIdnS84oHP1 A1TxmsduVl1bDU/88mRDJr1qBp9ami9Ly1WOE1VwyIf6vL+3O1txAATUV/ktp81u CxOhrawQLGfiB6Vl74Rs52dzoMfhlKtgj8JcB5ZSqqLecgtMfwaoKjSqcBBMW30M BMW9/7TWggj7wngmY5TtnyajIHRfHK/ZkvK01nJCUNHQUIaDZiVvLxnyUSIaHuQb iWLgt89yTdLQ0fHzC5HkzdnP5UwUm5G/UgHnPDX/N5s3D2x4RZWgcJYxeUujf4e4 8tINmMqjrSBmnuhgy9ZKYgbV90XG+Jhf6g27EWZP47oMVDfDf2wPf32hrBZzaG8= =Xgnf -----END PGP SIGNATURE-----