「Adobe Flash に脆弱性」に関する追加情報

JPCERT-WR-2010-4501 2010-11-25 2010-11-14 2010-11-20

「Adobe Flash に脆弱性」に関する追加情報 US-CERT Current Activity Archive Adobe Releases Security Updates for Reader and Acrobat http://www.us-cert.gov/current/archive/2010/11/19/archive.html#adobe_releases_security_updates_for6

JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe Flash に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを公開しました。なお、UNIX 版 Adobe Reader の修正済みのバージョンは 2010年11月30日に公開される予定です。詳細については Adobe が提供する情報を参照してください。

Adobe Technote APSB10-28: Acrobat および Adobe Reader に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/880/cpsid_88012.html 独立行政法人情報処理推進機構セキュリティセンター Adobe Reader および Acrobat の脆弱性(APSB10-28)について http://www.ipa.go.jp/security/ciadr/vul/20101117-adobe.html @police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=5216 JPCERT/CC Alert 2010-11-17 JPCERT-AT-2010-0031 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100031.txt JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】Adobe Flash に脆弱性 https://www.jpcert.or.jp/wr/2010/wr104201.html#2 Adobe Security Bulletin APSB10-28 Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-28.html Adobe Product Security Incident Response Team (PSIRT) Blog Security updates released for Adobe Reader and Acrobat (APSB10-28) http://blogs.adobe.com/psirt/2010/11/security-updates-released-for-adobe-reader-and-acrobat-apsb10-28.html

Apple Safari に複数の脆弱性 US-CERT Current Activity Archive Apple Releases Safari 5.0.3 and 4.1.3 http://www.us-cert.gov/current/archive/2010/11/19/archive.html#apple_releases_safari_5_03

Apple Safari には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Apple Safari 5.0.3 より前のバージョン - Apple Safari (Mac OS X 版) 4.1.3 より前のバージョンこの問題は、Apple が提供する修正済みのバージョンに Safari を更新することで解決します。詳細については、Apple が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#387412 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU387412/index.html Apple サポートダウンロード Safari 5.0.3 http://support.apple.com/kb/DL1070?viewlocale=ja_JP Apple サポートダウンロード Safari 4.1.3 for Tiger http://support.apple.com/kb/DL1069?viewlocale=ja_JP Apple Support HT4455 About the security content of Safari 5.0.3 and Safari 4.1.3 http://support.apple.com/kb/HT4455?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-11-18-1 Safari 5.0.3 and Safari 4.1.3 http://lists.apple.com/archives/security-announce/2010/Nov/msg00002.html

OpenSSL にバッファオーバーフローの脆弱性 US-CERT Current Activity Archive OpenSSL Releases OpenSSL 1.0.0b http://www.us-cert.gov/current/archive/2010/11/19/archive.html#openssl_releases_openssl_1_0

OpenSSL には、バッファオーバーフローの脆弱性があります。結果として、マルチスレッド機能とキャッシュ機能を有効にしている TLS サーバを使用している場合、遠隔の第三者が細工したデータを処理させることで、任意のコードを実行する可能性があります。対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8f から 0.9.8o、1.0.0、1.0.0a この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに OpenSSL を更新することで解決します。詳細については、ベンダや配布元が提供する情報を参照してください。

OpenSSL Security Advisory [16 November 2010] TLS extension parsing race condition http://openssl.org/news/secadv_20101116.txt Red Hat Security Advisory RHSA-2010:0888-1 Important: openssl security update https://rhn.redhat.com/errata/RHSA-2010-0888.html

PGP Desktop にデータインジェクションの脆弱性 US-CERT Vulnerability Note VU#300785 PGP Desktop unsigned data injection vulnerability http://www.kb.cert.org/vuls/id/300785

シマンテックが提供する PGP Desktop には、データインジェクションの脆弱性があります。結果として、遠隔の第三者が細工したメッセージを PGP 署名された正規メッセージとして表示させる可能性があります。対象となるバージョンは以下の通りです。 - PGP Desktop 10.0.3 およびそれ以前 - PGP Desktop 10.1.0 この問題は、シマンテックが提供する修正済みのバージョンに PGP Desktop を更新することで解決します。詳細については、シマンテックが提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#300785 PGP Desktop にデータインジェクションの脆弱性 https://jvn.jp/cert/JVNVU300785/index.html Symantec Security Advisory SYM10-012 Security Advisories Relating to Symantec Products - PGP Desktop Unsigned Data Insertion http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20101118_00 Eric R. Verheul Pretty Good Piggy-backing - Parsing vulnerabilities in PGP Desktop http://www.cs.ru.nl/E.Verheul/papers/Govcert/Pretty%20Good%20Piggybagging%20v1.0.pdf

C/C++ セキュアコーディングセミナー 2010 ＠東京 part5 参加者募集中 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただく「C/C++ セキュアコーディングセミナー」を開催しています。東京を会場にしたセミナーでは、12月に開催する part5 の参加者を募集中です。part5 でとりあげるトピックは書式指定文字列です。皆様のご参加をお待ちしています。 [日時] part5 ＜書式指定文字列＞ 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェクトマネージャ、コードレビュアー、品質管理担当者、プログラマ・エンジニアの教育担当者など

JPCERT/CC C/C++ セキュアコーディングセミナー 2010 ＠東京お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html

Adobe Reader のサポート期間に注意 Adobe が提供する Adobe Reader 8.x のサポート期間は 2011年の11月までの予定です。サポート期間終了後は、セキュリティアップデートなどのソフトウエアの修正は提供されません。Adobe Reader 8.x を利用している方は、計画的な移行をお勧めします。また、2010年11月に Adobe から新しいバージョン Adobe Reader X が公開されました。このバージョンでは、保護モード (サンドボックス機能) が実装されています。近年多発している PDF 経由の攻撃の影響を軽減することが期待できます。アップデート時に、今まで無効にしていた JavaScript 実行機能やマルチメディア関連機能などが有効と設定される場合があります。アップデート作業時には、各種設定項目の再確認を忘れないようにしましょう。 Adobe Secure Software Engineering Team (ASSET) Blog Adobe Reader X is Here! http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86