JPCERT-WR-2010-4201 2010-11-04 2010-10-24 2010-10-30

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/10/29/archive.html#firefox_3_5_and_3 DOE-CIRC Technical Bulletin T-476 http://www.doecirc.energy.gov/bulletins/t-476.shtml

Mozilla 製品群には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行する可能性があります。 なお、本脆弱性を使用した攻撃が確認されています。 対象となる製品は以下の通りです。 - Firefox 3.6.11 およびそれ以前 - Firefox 3.5.14 およびそれ以前 - Thunderbird 3.1.5 およびそれ以前 - Thunderbird 3.0.9 およびそれ以前 - SeaMonkey 2.0.9 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。

Mozilla Japan http://mozilla.jp/firefox/3.6.12/releasenotes/ Firefox 3.6 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.12 Mozilla Japan http://mozilla.jp/firefox/3.5.15/releasenotes/ Firefox 3.5 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.15 Mozilla Japan http://mozilla.jp/thunderbird/3.1.6/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.6 Mozilla Japan http://mozilla.jp/thunderbird/3.0.10/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.10 SeaMonkey Project http://www.seamonkey.jp/ja/releases/seamonkey2.0.10/ SeaMonkey 2.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.10 Mozilla Security Blog http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/ SeaMonkey Project http://www.seamonkey-project.org/releases/seamonkey2.0.10/ Red Hat Security Advisory RHSA-2010:0808-1 https://rhn.redhat.com/errata/RHSA-2010-0808.html Red Hat Security Advisory RHSA-2010:0810-1 https://rhn.redhat.com/errata/RHSA-2010-0810.html Red Hat Security Advisory RHSA-2010:0812-1 https://rhn.redhat.com/errata/RHSA-2010-0812.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_bulletin_for10 US-CERT Vulnerability Note VU#298081 http://www.kb.cert.org/vuls/id/298081 DOE-CIRC Technical Bulletin T-477 http://www.doecirc.energy.gov/bulletins/t-477.shtml

Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細 工した Flash コンテンツを埋め込んだ文書を閲覧させることで、任意 のコードを実行する可能性があります。なお、Adobe によると、本脆弱 性を使用した攻撃が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、 Macintosh 版、Linux 版、Solaris 版 - Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版 - Adobe Reader 9.4 およびそれ以前の Windows 版、Macintosh 版、 UNIX 版 - Adobe Acrobat 9.4 およびそれ以前の Windows 版、Macintosh 版 なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を 受ける可能性があります。 2010年11月2日現在、この問題に対する解決策は提供されていません。 この問題は、修正済みのバージョンに該当する製品を更新することで解 決します。なお、Adobe Flash Player の修正済みのバージョンは 2010 年11月9日 (米国時間) までに、Adobe Reader および Acrobat の修正 済みのバージョンは 2010年11月15日の週に公開される予定です。対象 製品の回避策などの詳細については、Adobe が提供する情報を参照して ください。

Adobe TechNote APSA10-05 http://kb2.adobe.com/jp/cps/877/cpsid_87720.html Japan Vulnerability Notes JVNVU#298081 https://jvn.jp/cert/JVNVU298081/index.html Adobe Security Bulletin APSA10-05 http://www.adobe.com/support/security/advisories/apsa10-05.html

US-CERT Vulnerability Note VU#537223 http://www.kb.cert.org/vuls/id/537223

glibc には、権限昇格の脆弱性があります。結果として、ローカルユー ザが root 権限を取得する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに glibc を更新することで解決します。詳細については、 各ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#537223 https://jvn.jp/cert/JVNVU537223/index.html Debian セキュリティ勧告 DSA-2122-1 http://www.debian.org/security/2010/dsa-2122.ja.html Red Hat Security Advisory RHSA-2010:0793-1 https://rhn.redhat.com/errata/RHSA-2010-0793.html

US-CERT Vulnerability Note VU#362983 http://www.kb.cert.org/vuls/id/362983

Linux カーネルの RDS プロトコルの実装には、権限昇格の脆弱性があ ります。結果として、ローカルユーザが root 権限を取得する可能性が あります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、各ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#362983 https://jvn.jp/cert/JVNVU362983/index.html Red Hat Security Advisory RHSA-2010:0792-1 https://rhn.redhat.com/errata/RHSA-2010-0792.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_update_for3

JPCERT/CC WEEKLY REPORT 2010-10-27 号【5】で紹介した「Adobe Shockwave Player に脆弱性」に関する追加情報です。 Adobe は解決策としてセキュリティアップデートを公開しました。詳細 については Adobe が提供する情報を参照してください。

Adobe TechNote APSB10-25 http://kb2.adobe.com/jp/cps/877/cpsid_87721.html JPCERT/CC WEEKLY REPORT 2010-10-27 号 https://www.jpcert.or.jp/wr/2010/wr104101.html#5 Adobe Security Bulletin APSB10-25 http://www.adobe.com/support/security/bulletins/apsb10-25.html Adobe Product Security Incident Response Team (PSIRT) Blog http://blogs.adobe.com/psirt/2010/10/security-update-available-for-adobe-shockwave-player.html

Japan Vulnerability Notes JVN#72541530 https://jvn.jp/jp/JVN72541530/index.html

トランスウエアの Web メール Active! mail 6 には、HTTP ヘッダイン ジェクションの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で偽の情報を表示したり、任意のスクリプトを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - Active! mail 6 Build 6.40.010047750 およびそれ以前 この問題は、トランスウエアが提供する修正済みのバージョンに、 Active! mail 6 を更新することで解決します。

トランスウエア http://www.transware.co.jp/security/am0610001.html

Internet Week 2010 https://internetweek.jp/

2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 3日目には IP Meeting 2010 が開催されます。例年のとおり、インター ネットをめぐるこの一年の動向を、様々な観点から振り返ります。 JPCERT/CC からは、「2010年セキュリティ事件簿」と題し、インターネッ トセキュリティの問題について今年を象徴するトピックをご紹介します。

Internet Week 2010 - 参加申込 https://internetweek.jp/apply/ Internet Week 2010 https://internetweek.jp/program/d3/ JPCERT コーディネーションセンター イベント情報 https://www.jpcert.or.jp/event/internetweek2010.html

フィッシング対策協議会 http://www.antiphishing.jp/news/event/post_34.html

日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所： 東京会場 2010年11月17日（水）13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日（木）13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡（博多）会場 2010年11月19日（金）13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 ：無料(ただし、事前に参加申込みが必要) 受付締切 ：2010年11月15日（月）（満席になり次第受付終了) 参加申込先 ：E-mail：ap-seminar@mri.co.jp 参加申込方法：参加を希望される会場（東京/大阪/福岡）、会社名、所属、役 職、氏名をメールにてご連絡ください。

フィッシング対策協議会 http://www.antiphishing.jp/

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part4「動的メモリ管理」の開催まで残り一 週間となりました。ひきつづき参加申し込みを受け付けております。皆 様奮ってご参加ください。 [日時] part4 ＜動的メモリ管理＞ 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-application.html

JPCERT/CC には、Web 経由での攻撃の情報が多数寄せられています。こ れまでのように攻撃者によって誘導される怪しい Web サイト経由の攻 撃だけではなく、ニュースサイトや一般企業の正規サイトを経由してマ ルウエアを配布する攻撃も発生しています。 これらの攻撃では、ブラウザのアドオンが更新されていないことや、古 いバージョンの Java がインストールされたまま放置されているなど、 管理が行き届かない PC の既知の脆弱性を使用してマルウエアの感染活 動が行われています。 セキュリティ製品を導入するだけでなく、利用する PC のソフトウエア を最新のものにしておくことが重要です。Java、Flash Player、Adobe Reader などのアップデートは頻繁に行われています。あらためて確認 することをおすすめします。 java.com http://java.com/ja/download/manual.jsp Adobe http://get.adobe.com/jp/flashplayer/ Adobe http://get.adobe.com/jp/reader/otherversions/ Microsoft Malware Protection Center http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx