JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2011 > Weekly Report 2011-06-22号

最終更新: 2011-06-22

Weekly Report 2011-06-22号


JPCERT-WR-2011-2301
JPCERT/CC
2011-06-22

<<< JPCERT/CC WEEKLY REPORT 2011-06-22 >>>

■06/12(日)〜06/18(土) のセキュリティ関連情報

目 次

【1】2011年6月 Microsoft セキュリティ情報について

【2】「Adobe の複数の製品に脆弱性」に関する追加情報

【3】一太郎シリーズ製品に脆弱性

【4】PHP にディレクトリトラバーサルの脆弱性

【5】Google Chrome に脆弱性

【今週のひとくちメモ】Android アプリケーションインストール時の注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr112301.txt
https://www.jpcert.or.jp/wr/2011/wr112301.xml

【1】2011年6月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-165A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-165A.html

US-CERT Cyber Security Alert SA11-165A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-165A.html

概要

Microsoft Windows、Office、.NET Framework などの製品および関連コ
ンポーネントには複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。
		

関連文書 (日本語)

Microsoft TechNet
2011 年 6 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms11-jun.mspx

Japan Vulnerability Notes JVNTA11-165A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-165A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-037,038,039,040,041,042,043,044,045,046,047,048,049,050,051,052)
https://www.npa.go.jp/cyberpolice/topics/?seq=6667

JPCERT/CC Alert 2011-06-15 JPCERT-AT-2011-0016
2011年6月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110016.html

【2】「Adobe の複数の製品に脆弱性」に関する追加情報

情報源

US-CERT Technical Cyber Security Alert TA11-166A
Adobe Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-166A.html

US-CERT Cyber Security Alert SA11-166A
Adobe Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-166A.html

概要

JPCERT/CC WEEKLY REPORT 2011-06-15 号【1】で紹介した「Adobe の複
数の製品に脆弱性」に関する追加情報です。

Adobe は、Adobe Flash Player、Adobe Shockwave Player、Adobe
Reader および Acrobat などの修正済みのバージョンを 2011年6月14日
に公開しました。詳細については、Adobe が提供する情報を参照してく
ださい。
		

関連文書 (日本語)

Adobe TechNote APSB11-16
APSB11-16 : Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/907/cpsid_90735.html

Adobe TechNote APSB11-17
APSB11-17:Adobe Shockwave Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/907/cpsid_90786.html

Adobe TechNote APSB11-18
APSB11-18: Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/907/cpsid_90799.html

Japan Vulnerability Notes JVNVU#264729
Adobe Reader および Acrobat にメモリ破損の脆弱性
https://jvn.jp/cert/JVNVU264729/index.html

Japan Vulnerability Notes JVNTA11-166A
Adobe 製品における複数の脆弱性
https://jvn.jp/cert/JVNTA11-166A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Flash Player の脆弱性(APSB11-18)について
http://www.ipa.go.jp/security/ciadr/vul/20110615-adobe.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6669

@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6671

JPCERT/CC Alert 2011-06-15 JPCERT-AT-2011-0018
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110018.html

JPCERT/CC Alert 2011-06-15 JPCERT-AT-2011-0017
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110017.html

JPCERT/CC WEEKLY REPORT 2011-06-15 号
【1】Adobe の複数の製品に脆弱性
https://www.jpcert.or.jp/wr/2011/wr112201.html#1

関連文書 (英語)

US-CERT Vulnerability Note VU#264729
Adobe Reader and Acrobat font memory corruption vulnerability
http://www.kb.cert.org/vuls/id/264729

【3】一太郎シリーズ製品に脆弱性

情報源

Japan Vulnerability Notes JVN#87239473
一太郎シリーズにおける任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN87239473/index.html

概要

一太郎シリーズ製品には、脆弱性があります。結果として、遠隔の第三
者が細工したファイルを開かせたり、ブラウザで閲覧させたりすること
で任意のコードを実行する可能性があります。

この問題は、ジャストシステムが提供する修正済みのバージョンに、一
太郎シリーズ製品を更新することで解決します。詳細については、ジャ
ストシステムが提供する情報を参照してください。
		

関連文書 (日本語)

ジャストシステム セキュリティ情報
[JS11001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js11001.html

独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110616.html

@police
ジャストシステム社ワープロソフト一太郎の脆弱性について
https://www.npa.go.jp/cyberpolice/topics/?seq=6689

【4】PHP にディレクトリトラバーサルの脆弱性

情報源

DOE-CIRC Technical Bulletin T-647
PHP File Upload Bug May Let Remote Users Overwrite Files on the Target System
http://www.doecirc.energy.gov/bulletins/t-647.shtml

概要

PHP には、ディレクトリトラバーサルの脆弱性があります。結果として、
遠隔の第三者がファイルを作成したり、既存のファイルに上書きしたり
する可能性があります。

対象となるバージョンは以下の通りです。

- PHP 5.3.6 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに PHP を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。

関連文書 (英語)

php.net
revision 312103
http://svn.php.net/viewvc?view=revision&revision=312103

php.net
PHP NEWS
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_3/NEWS?view=markup&pathrev=312103

【5】Google Chrome に脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 12.0.742.100
http://www.us-cert.gov/current/archive/2011/06/15/archive.html#google_releases_chrome_12_0

概要

Google Chrome には、Adobe Flash の問題に起因する脆弱性があります。
対象となるバージョンは以下の通りです。

- Google Chrome 12.0.742.100 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2011/06/stable-beta-channel-updates.html

■今週のひとくちメモ

○Android アプリケーションインストール時の注意

既存の Android アプリケーションを改変し、マルウエアを組み込んで配
布する事例が報告されています。これらの事例では、アプリケーション
は正常に動作しつつも、その裏で機器に保存されている情報を送信した
り、別のマルウエアをダウンロードして実行する、といった挙動が報告
されています。

Android アプリケーションのインストール時には、アプリケーションが
要求するアクセス権限の一覧が表示され、確認を求められます。上の事
例では、マルウエアが仕込まれたアプリケーションは、本来のアプリケー
ションでは不要だったアクセス権限を要求しています。少しでも怪しい
と思ったら、一旦インストールを中止して、そのアプリケーションに関
する情報を調べることをおすすめします。

参考文献 (日本語)

IPA 情報セキュリティブログ
また登場、Android に感染するウイルス
http://plaza.rakuten.co.jp/ipablog/diary/201102220000/

参考文献 (英語)

North Carolina State University
New Stealthy Android Spyware -- Plankton -- Found in Official Android Market
http://www.csc.ncsu.edu/faculty/jiang/Plankton/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english