JPCERT-WR-2010-3501 2010-09-15 2010-09-05 2010-09-11

DOE-CIRC Technical Bulletin T-433 http://www.doecirc.energy.gov/bulletins/t-433.shtml

Adobe Reader および Acrobat には、脆弱性があります。結果として、 遠隔の第三者が細工した PDF ファイルをユーザに閲覧させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。なお、Adobe によると、本脆弱性を使用した攻 撃が報告されているとのことです。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader および Acrobat 9.3.4 およびそれ以前 2010年9月14日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できない PDF ファイルを開かない、Microsoft の Enhanced Mitigation Evaluation Toolkit (EMET) を使用するなど の方法があります。詳細については、下記関連文書が提供する情報を参 照してください。

Adobe TechNote http://kb2.adobe.com/jp/cps/866/cpsid_86615.html Microsoft Security Research & Defense http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/10/archive.html#mozilla_releases_firefox_3_63

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox 3.6.8 およびそれ以前 - Firefox 3.5.11 およびそれ以前 - Thunderbird 3.1.2 およびそれ以前 - Thunderbird 3.0.6 およびそれ以前 - SeaMonkey 2.0.6 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。

Mozilla Japan http://mozilla.jp/firefox/3.6.9/releasenotes/ Firefox 3.6 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.9 Mozilla Japan http://mozilla.jp/firefox/3.5.12/releasenotes/ Firefox 3.5 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.12 Mozilla Japan http://mozilla.jp/thunderbird/3.1.3/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.3 Mozilla Japan http://mozilla.jp/thunderbird/3.0.7/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.7 SeaMonkey Project http://www.seamonkey.jp/ja/releases/seamonkey2.0.7/ SeaMonkey Project http://www.seamonkey-project.org/releases/seamonkey2.0.7/ SeaMonkey 2.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.7

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/08/archive.html#apple_releases_safari_5_02

Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 5.0.2 より前のバージョン (Mac OS X 版、Windows 版) - Safari 4.1.2 より前のバージョン (Mac OS X 版) この問題は、Apple が提供する修正済みのバージョンに Safari を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。

Apple Support http://www.apple.com/jp/support/safari/ Japan Vulnerability Notes JVNVU#954431 https://jvn.jp/cert/JVNVU954431/index.html Apple Support HT4333 http://support.apple.com/kb/HT4333?viewlocale=en_US Apple Mailing Lists http://lists.apple.com/archives/security-announce/2010/Sep/msg00001.html

Japan Vulnerability Notes JVNVU#407599 https://jvn.jp/cert/JVNVU407599/index.html

Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、機密情報を取得したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 4.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。

Apple Support HT4334 http://support.apple.com/kb/HT4334?viewlocale=en_US Apple Mailing Lists http://lists.apple.com/archives/security-announce/2010/Sep/msg00002.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/10/archive.html#cisco_releases_updates_for_wireless

Cisco Wireless LAN Controller (WLC) 製品群には、複数の脆弱性があ ります。結果として、遠隔の第三者が権限を昇格したり、アクセス制御 を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となる製品は以下の通りです。 - Cisco 2000 シリーズ WLC - Cisco 2100 シリーズ WLC - Cisco 4100 シリーズ WLC - Cisco 4400 シリーズ WLC - Cisco 5500 シリーズ WLC - Cisco Wireless Services Module (WiSM) - Cisco WLC Module for Integrated Services Router (ISR) - Cisco Catalyst 3750G Integrated WLC この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 のソフトウェアを更新することで解決します。詳細については Cisco が提供する情報を参照してください。

Cisco Security Advisory 112062 http://www.cisco.com/JP/support/public/ht/security/109/1091473/cisco-sa-20100908-wlc-j.shtml Cisco Security Advisory 112062 http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml Cisco Applied Mitigation Bulletin 112121 http://www.cisco.com/warp/public/707/cisco-amb-20100908-wlc.shtml

Japan Vulnerability Notes JVN#35605523 https://jvn.jp/jp/JVN35605523/index.html

futomi's CGI Cafe の高機能アクセス解析CGI には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - 高機能アクセス解析CGI Professional 版 - 高機能アクセス解析CGI Standard 版 4.0.2 およびそれ以前 この問題は、解析タグの埋め込み方法を変更することで解決します。な お、Standard 版を利用している場合は、配布元が提供する修正済みの バージョンに更新するとともに、解析タグの埋め込み方法を変更してく ださい。詳細については、配布元が提供する情報を参照してください。

futomi's CGI Cafe http://www.futomi.com/library/info/2010/20100910.html

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 10月に東京で開催する part3 の募集を開始しました。part3 では、信 頼性の高い安全なプログラムをつくるためのガイドライン集「CERT C セキュアコーディングスタンダード」をご紹介します。皆様の参加をお 待ちしています。 [日時] part3 ＜CERT C セキュアコーディングスタンダード＞ 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-application.html

JP ゾーンを管理する JPRS では、JP ゾーンへの DNSSEC 署名の導入予 定を 2010年10月17日、JP ドメイン名サービスの DNSSEC 対応開始予定 を 2011年1月16日と発表しました。 また、「DNSSEC 関連情報」などを通じて、DNSSEC 導入運用に関する技 術情報が提供されています。今後の DNSSEC 対応を検討する際の参考に してください。 JPRS http://jprs.jp/info/notice/20090709-dnssec.html JPRS http://jprs.jp/dnssec/ JPRS http://jprs.jp/tech/ JPCERT/CC https://www.jpcert.or.jp/wr/2010/wr102601.html#Memo