-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-4501 JPCERT/CC 2010-11-25 <<< JPCERT/CC WEEKLY REPORT 2010-11-25 >>> ―――――――――――――――――――――――――――――――――――――― ■11/14(日)〜11/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Adobe Flash に脆弱性」に関する追加情報 【2】Apple Safari に複数の脆弱性 【3】OpenSSL にバッファオーバーフローの脆弱性 【4】PGP Desktop にデータインジェクションの脆弱性 【5】C/C++ セキュアコーディングセミナー 2010 @東京 part5 参加者募集中 【今週のひとくちメモ】Adobe Reader のサポート期間に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr104501.html https://www.jpcert.or.jp/wr/2010/wr104501.xml ============================================================================ 【1】「Adobe Flash に脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Adobe Releases Security Updates for Reader and Acrobat http://www.us-cert.gov/current/archive/2010/11/19/archive.html#adobe_releases_security_updates_for6 概要 JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe Flash に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを公 開しました。なお、UNIX 版 Adobe Reader の修正済みのバージョンは 2010年11月30日に公開される予定です。詳細については Adobe が提供 する情報を参照してください。 関連文書 (日本語) Adobe Technote APSB10-28: Acrobat および Adobe Reader に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/880/cpsid_88012.html 独立行政法人 情報処理推進機構 セキュリティセンター Adobe Reader および Acrobat の脆弱性(APSB10-28)について http://www.ipa.go.jp/security/ciadr/vul/20101117-adobe.html @police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=5216 JPCERT/CC Alert 2010-11-17 JPCERT-AT-2010-0031 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100031.txt JPCERT/CC WEEKLY REPORT 2010-11-04 号 【2】Adobe Flash に脆弱性 https://www.jpcert.or.jp/wr/2010/wr104201.html#2 関連文書 (英語) Adobe Security Bulletin APSB10-28 Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-28.html Adobe Product Security Incident Response Team (PSIRT) Blog Security updates released for Adobe Reader and Acrobat (APSB10-28) http://blogs.adobe.com/psirt/2010/11/security-updates-released-for-adobe-reader-and-acrobat-apsb10-28.html 【2】Apple Safari に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Safari 5.0.3 and 4.1.3 http://www.us-cert.gov/current/archive/2010/11/19/archive.html#apple_releases_safari_5_03 概要 Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Apple Safari 5.0.3 より前のバージョン - Apple Safari (Mac OS X 版) 4.1.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#387412 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU387412/index.html Apple サポートダウンロード Safari 5.0.3 http://support.apple.com/kb/DL1070?viewlocale=ja_JP Apple サポートダウンロード Safari 4.1.3 for Tiger http://support.apple.com/kb/DL1069?viewlocale=ja_JP 関連文書 (英語) Apple Support HT4455 About the security content of Safari 5.0.3 and Safari 4.1.3 http://support.apple.com/kb/HT4455?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-11-18-1 Safari 5.0.3 and Safari 4.1.3 http://lists.apple.com/archives/security-announce/2010/Nov/msg00002.html 【3】OpenSSL にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive OpenSSL Releases OpenSSL 1.0.0b http://www.us-cert.gov/current/archive/2010/11/19/archive.html#openssl_releases_openssl_1_0 概要 OpenSSL には、バッファオーバーフローの脆弱性があります。結果とし て、マルチスレッド機能とキャッシュ機能を有効にしている TLS サー バを使用している場合、遠隔の第三者が細工したデータを処理させるこ とで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8f から 0.9.8o、1.0.0、1.0.0a この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。詳細について は、ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) OpenSSL Security Advisory [16 November 2010] TLS extension parsing race condition http://openssl.org/news/secadv_20101116.txt Red Hat Security Advisory RHSA-2010:0888-1 Important: openssl security update https://rhn.redhat.com/errata/RHSA-2010-0888.html 【4】PGP Desktop にデータインジェクションの脆弱性 情報源 US-CERT Vulnerability Note VU#300785 PGP Desktop unsigned data injection vulnerability http://www.kb.cert.org/vuls/id/300785 概要 シマンテックが提供する PGP Desktop には、データインジェクション の脆弱性があります。結果として、遠隔の第三者が細工したメッセージ を PGP 署名された正規メッセージとして表示させる可能性があります。 対象となるバージョンは以下の通りです。 - PGP Desktop 10.0.3 およびそれ以前 - PGP Desktop 10.1.0 この問題は、シマンテックが提供する修正済みのバージョンに PGP Desktop を更新することで解決します。詳細については、シマンテック が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#300785 PGP Desktop にデータインジェクションの脆弱性 https://jvn.jp/cert/JVNVU300785/index.html 関連文書 (英語) Symantec Security Advisory SYM10-012 Security Advisories Relating to Symantec Products - PGP Desktop Unsigned Data Insertion http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20101118_00 Eric R. Verheul Pretty Good Piggy-backing - Parsing vulnerabilities in PGP Desktop http://www.cs.ru.nl/E.Verheul/papers/Govcert/Pretty%20Good%20Piggybagging%20v1.0.pdf 【5】C/C++ セキュアコーディングセミナー 2010 @東京 part5 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナーでは、12月に開催する part5 の参加者を募 集中です。part5 でとりあげるトピックは書式指定文字列です。皆様の ご参加をお待ちしています。 [日時] part5 <書式指定文字列> 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者など 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Adobe Reader のサポート期間に注意 Adobe が提供する Adobe Reader 8.x のサポート期間は 2011年の11月 までの予定です。サポート期間終了後は、セキュリティアップデートな どのソフトウエアの修正は提供されません。Adobe Reader 8.x を利用 している方は、計画的な移行をお勧めします。 また、2010年11月に Adobe から新しいバージョン Adobe Reader X が 公開されました。このバージョンでは、保護モード (サンドボックス機 能) が実装されています。近年多発している PDF 経由の攻撃の影響を 軽減することが期待できます。 アップデート時に、今まで無効にしていた JavaScript 実行機能やマル チメディア関連機能などが有効と設定される場合があります。アップデー ト作業時には、各種設定項目の再確認を忘れないようにしましょう。 参考文献 (英語) Adobe Secure Software Engineering Team (ASSET) Blog Adobe Reader X is Here! http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJM7bPPAAoJEDF9l6Rp7OBIyREH/3Ox+w4dujxJUcqf3xl2qTym AWlu67Ek07KSBiw6T3TWnljaTO0fSG1njf+nHe3qUsaPcvl1cgLL13W1eJDOjtLp DjOJZHVDcF0e5T1sGO37T6Hds1H6XTjKBTEAPnGc/Ra9uXMSQxQqLIe5gQt4FSQ6 F+E9zUVEN2wVnw7bA8L4I4zY5ncqZfzj24jrRQajTWrQfVMr7W7tun65+TbNsF8I 7fDophI0ZUxMEdBtju4IJewW1hBrFzK9uLr/0bFLMgkadqQ/0i6BkqjWlW5H3lpu FUOxi9yGL0CxQajfLvr1DLWyFplMh75QWocNrx+NNNcDKefVUwlIAn22FhG7rcw= =G9cH -----END PGP SIGNATURE-----