-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-4401 JPCERT/CC 2011-11-16 <<< JPCERT/CC WEEKLY REPORT 2011-11-16 >>> ―――――――――――――――――――――――――――――――――――――― ■11/06(日)〜11/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年11月 Microsoft セキュリティ情報について 【2】Adobe の複数の製品に脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】不正なデジタル証明書による問題 【5】Java for Mac OS X に複数の脆弱性 【6】Apple iOS に脆弱性 【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性 【8】Google Chrome に複数の脆弱性 【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性 【今週のひとくちメモ】Firefox の法人向け延長サポート版について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr114401.html https://www.jpcert.or.jp/wr/2011/wr114401.xml ============================================================================ 【1】2011年11月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA11-312A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA11-312A.html US-CERT Cyber Security Alert SA11-312A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA11-312A.html 概要 Microsoft Windows および関連コンポーネントには、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。 関連文書 (日本語) Microsoft セキュリティ TechCenter 2011 年 11 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms11-nov Microsoft TechNet Blogs > 日本のセキュリティチーム 2011 年 11 月のセキュリティ情報 (月例) http://blogs.technet.com/b/jpsecurity/archive/2011/11/09/3464026.aspx マイクロソフト セキュリティ アドバイザリ (2269637) セキュリティで保護されていないライブラリのロードにより、リモートでコードが実行される http://technet.microsoft.com/ja-jp/security/advisory/2269637 Japan Vulnerability Notes JVNTA11-312A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA11-312A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS11-083,084,085,086) https://www.npa.go.jp/cyberpolice/topics/?seq=8026 JPCERT/CC Alert 2011-11-09 JPCERT-AT-2011-0029 2011年11月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110029.html 関連文書 (英語) Microsoft Security Research & Defense Assessing the risk of the October 2011 security updates http://blogs.technet.com/b/srd/archive/2011/10/11/assessing-the-risk-of-the-october-2011-security-updates.aspx Microsoft Security Research & Defense Assessing the exploitability of MS11-083 http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx US-CERT Vulnerability Note VU#675073 Microsoft Windows TrueType font array indexing vulnerability http://www.kb.cert.org/vuls/id/675073 US-CERT Vulnerability Note VU#951982 Microsoft Windows UDP packet parsing vulnerability http://www.kb.cert.org/vuls/id/951982 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletin for Adobe Shockwave Player http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_bulletin_for13 US-CERT Current Activity Archive Adobe Releases Security Advisory for Adobe Flash Player and Adobe AIR http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_advisory_for8 概要 Adobe の複数の製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるプラットフォーム、製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 用の Adobe Flash Player 11.0.1.152 およびそれ以前 - Android 用の Adobe Flash Player 11.0.1.153 およびそれ以前 - Windows、Macintosh、Android 用の Adobe AIR 3.0 およびそれ以前 - Windows、Macintosh 用のAdobe Shockwave Player 11.6.1.629 およ びそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。 関連文書 (日本語) Adobe セキュリティ速報 APSB11-27:Adobe Shockwave Player用セキュリティアップデート公開 http://www.adobe.com/jp/support/security/bulletins/apsb11-27.html Adobe セキュリティ情報 APSB-11-28: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/923/cpsid_92374.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=8042 JPCERT/CC Alert 2011-11-11 JPCERT-AT-2011-0030 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110030.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 8 and 3.6.24 http://www.us-cert.gov/current/archive/2011/11/11/archive.html#mozilla_releases_firefox_8_and 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox 8.0 より前のバージョン - Firefox 3.6.24 より前のバージョン - Thunderbird 8.0 より前のバージョン - Thunderbird 3.1.16 より前のバージョン その他に Mozilla コンポーネントを用いている製品も影響を受ける可能 性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。詳細につい ては、ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 8.0 - 2011/11/08 リリース http://mozilla.jp/firefox/8.0/releasenotes/ Firefox セキュリティアドバイザリ Firefox 8 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox8 Mozilla Japan Firefox リリースノート - バージョン 3.6.24 - 2011/11/08 リリース http://mozilla.jp/firefox/3.6.24/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.24 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.24 Mozilla Japan Thunderbird リリースノート - バージョン 8.0 - 2011/11/08 リリース http://mozilla.jp/thunderbird/8.0/releasenotes/ Thunderbird セキュリティアドバイザリ Thunderbird 8 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird8 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.16 - 2011/11/08 リリース http://mozilla.jp/thunderbird/3.1.16/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.16 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.16 【4】不正なデジタル証明書による問題 情報源 US-CERT Current Activity Archive Fraudulent Digital Certificates Could Allow Spoofing http://www.us-cert.gov/current/archive/2011/11/11/archive.html#fraudulent_digital_certificates_could_allow JC3-CIRC Technical Bulletin U-034 Fraudulent Digital Certificates Could Allow Spoofing http://www.doecirc.energy.gov/bulletins/u-034.shtml 概要 DigiCert Sdn. Bhd により弱い暗号化キーによるデジタル証明書が発行 されたことが報告されています。結果として、信頼している Web サイ トなどが不正になりすまされる可能性があります。 この問題は、各ベンダが提供するアップデートを適用して、該当の認証 局の信頼を失効することで解決します。詳細については、各ベンダが提 供する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (2641690) 不正なデジタル証明書により、なりすましが行われる http://technet.microsoft.com/ja-jp/security/advisory/2641690 Mozilla Japan ブログ DigiCert Sdn. Bhd. 社の中間認証局の信頼取り消し http://mozilla.jp/blog/entry/7445/ 関連文書 (英語) Mozilla Security Blog Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority http://blog.mozilla.com/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/ Debian Security Advisory DSA-2343-1 openssl -- CA trust revocation http://www.debian.org/security/2011/dsa-2343.en.html Security Advisory RHSA-2011:1444-1 Important: nss security update https://rhn.redhat.com/errata/RHSA-2011-1444.html 【5】Java for Mac OS X に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#700214 Java for Mac OS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU700214/index.html 概要 Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が細工した Java アプレットまたは Java アプリケーションを 実行させることで任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Java for Mac OS X 10.7 Update 1 より前のバージョン - Java for Mac OS X 10.6 Update 6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Java for Mac OS X を更新することで解決します。詳細については Apple が提供する 情報を参照してください。 関連文書 (日本語) Apple Support HT4883 Java for Mac OS X 10.7 Update 1 について http://support.apple.com/kb/HT4883?viewlocale=ja_JP Apple Support HT4884 Java for Mac OS X 10.6 Update 6 について http://support.apple.com/kb/HT4884?viewlocale=ja_JP Apple Support Java for Mac OS X 10.7 アップデート 1 http://support.apple.com/kb/DL1421?viewlocale=ja_JP Apple Support Java for Mac OS X 10.6 アップデート 6 http://support.apple.com/kb/DL1360?viewlocale=ja_JP JPCERT/CC WEEKLY REPORT 2011-10-26 JPCERT-WR-2011-4101 【1】2011年10月 Oracle Critical Patch Update について https://www.jpcert.or.jp/wr/2011/wr114101.html#1 【6】Apple iOS に脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iOS 5.0.1 http://www.us-cert.gov/current/archive/2011/11/11/archive.html#apple_released_ios_5_0 概要 Apple iOS には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - iOS 5.0.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple iOS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#988283 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU988283/index.html 関連文書 (英語) Apple Support HT5052 About the security content of iOS 5.0.1 Software Update http://support.apple.com/kb/HT5052?viewlocale=en_US 【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性 情報源 Japan Vulnerability Notes JVNVU#309451 Apple Time Capsule および AirPort Base Station (802.11n) における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU309451/index.html 概要 Apple Time Capsule および AirMac ベースステーション (802.11n) に は、DHCP サーバからの応答の処理に起因する脆弱性があります。結果と して、遠隔の第三者が細工した応答を処理させることで任意のコードを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Time Capsule および AirMac ベースステーション (802.11n) Firmware 7.6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 のファームウェアを更新することで解決します。詳細については、 Apple が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2011-04-13 JPCERT-WR-2011-1401 【1】ISC DHCP クライアントに脆弱性 https://www.jpcert.or.jp/wr/2011/wr111401.html#1 関連文書 (英語) Apple Support HT5005 About the security content of Time Capsule and AirPort Base Station (802.11n) Firmware 7.6 http://support.apple.com/kb/HT5005 【8】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 15.0.874.120 http://www.us-cert.gov/current/archive/2011/11/11/archive.html#google_releases_chrome_15_01 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 15.0.874.120 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2011/11/stable-channel-update.html 【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#16901583 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN16901583/index.html 概要 日本語の形態素解析ソフトウェア、茶筌 (ChaSen) には、文字列の読み 込み処理に起因するバッファオーバーフローの脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - 茶筌 (ChaSen) 2.4 系 2011年11月15日現在、この問題に対する解決策は提供されていません。 回避策としては、同等の機能を持つ他の製品に切り替える、茶筌 (ChaSen) version 2.3.3 を使用するなどの方法があります。 関連文書 (日本語) SourceForge.JP ChaSen legacy http://sourceforge.jp/projects/chasen-legacy/releases/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Firefox の法人向け延長サポート版について Mozilla Firefox は Firefox 4 以降、高速リリースサイクルに移行しま した。 法人向けサポートのポリシーは提案検討されている段階であり、現在の Firefox 3.6 のサポートは、暫定的に継続されています。現在提案され ているポリシー案では、3.6 のサポートは 2012年4月24日までとなって います。 それ以降の法人向けサポートは 54週単位でのサポートサイクルが提案 されています。 参考文献 (日本語) Mozilla Japan ブログ Mozilla 法人ユーザワーキンググループの進捗状況 http://mozilla.jp/blog/entry/7278/ 参考文献 (英語) MozillaWiki Enterprise/Firefox/ExtendedSupport:Proposal https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOwww6AAoJEDF9l6Rp7OBIZ9AH/i/+ALY2LWxie3YE860OuuzW XcY2ZdNccgk+cKVx0RLbR4Z6inht7Fgt0TIH+F1KLJjWOtU7i9UsrVYPUpmyAUZp pgZPJtxqd1fUltd3D8MERnjZCE9DO7WiOct6t+veUqoSp1mYjrLFjx0VeO6w95vi 9oXAIq8NLK5H9pjT/PLB0ZKNNw0nIlWfZdBYFfyAcKaThUNOzjmI8tq2Nsejc7mc Ay9+5ZkY10qHvbh/KXjrSl7yXq/8Xc7AGnHOXxAFbTsQePWCrl2YiW7TPCS762V8 CnwHLr0RsMLGYzHGPDnmJp9FgnTwVuSFK+o1+lQ09FO8LbS0lLvwo6Q6NOMrUOQ= =i3hY -----END PGP SIGNATURE-----