JPCERT-WR-2012-0701
2012-02-22
2012-02-12
2012-02-18
2012年2月 Microsoft セキュリティ情報について
Microsoft Windows、Office、Internet Explorer、.NET Framework、および
Silverlight などには、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、システムやファイルに不正にアクセスしたりす
る可能性があります。
この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。
Microsoft セキュリティ TechCenter
2012 年 2 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb
Microsoft TechNet Blogs > 日本のセキュリティチーム
2012 年 2 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/02/15/3480979.aspx
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-008,009,010,011,012,013,014,015,016)
https://www.npa.go.jp/cyberpolice/topics/?seq=8610
Japan Vulnerability Notes JVNTA12-045A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-045A/index.html
JPCERT/CC Alert 2012-02-15 JPCERT-AT-2012-0005
2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120005.html
Microsoft Security Research & Defense
Assessing risk for the February 2012 security updates
http://blogs.technet.com/b/srd/archive/2012/02/14/assessing-risk-for-the-february-2012-security-updates.aspx
Microsoft Security Research & Defense
MS12-013: More information about the msvcrt.dll issue
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-013-more-information-about-the-msvcrt-dll-issue.aspx
Microsoft Security Research & Defense
MS12-014: Indeo, a blast from the past
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-014-indeo-a-blast-from-the-past.aspx
Oracle Java に複数の脆弱性
Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。
対象となる製品およびバージョンは以下の通りです。
- JDK/JRE 7 Update 2 およびそれ以前
- JDK/JRE 6 Update 30 およびそれ以前
- JDK/JRE 5.0 Update 33 およびそれ以前
- SDK/JRE 1.4.2_35 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。
なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。最新の Java SE またはサポートのある製品への移行をお
勧めします。
Oracle
Oracle Java SE Critical Patch Update Advisory - February 2012
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
The Oracle Software Security Assurance Blog
February 2012 Critical Patch Update for Java SE Released
https://blogs.oracle.com/security/entry/february_2012_critical_patch_update
Red Hat Security Advisory RHSA-2012:0135-1
Critical: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2012-0135.html
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、
ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。なお、Adobe によると、本脆弱
性を使用した攻撃活動が確認されています。
対象となる製品およびバージョンは以下の通りです。
- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player
11.1.102.55 およびそれ以前
- Android 4.x 版 Adobe Flash Player 11.1.112.61 およびそれ以前
- Android 2.x、3.x 版 Adobe Flash Player 11.1.111.5 およびそれ以
前
この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
してください。
Adobe セキュリティ情報
APSB12-03: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93112.html
@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8630
JPCERT/CC Alert 2012-02-16 JPCERT-AT-2012-0006
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120006.html
Adobe - Security Bulletins
APSB12-03: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-03.html
Adobe Shockwave Player と RoboHelp に複数の脆弱性
Adobe Shockwave Player および RoboHelp には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Windows および Macintosh 版 Adobe Shockwave Player 11.6.3.633
およびそれ以前
- Windows 版 RoboHelp 9 (または 8) for Word
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。詳細については、Adobe が提供する情報を参照してく
ださい。
Adobe セキュリティ情報
APSB12-02:Adobe Shockwave Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93105.html
Adobe セキュリティ情報
APSB12-04: RoboHelp for Word に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93106.html
Adobe - Security Bulletins APSB12-02
Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb12-02.html
Adobe - Security Bulletins APSB12-04
Security update available for RoboHelp for Word
http://www.adobe.com/support/security/bulletins/apsb12-04.html
Mozilla 製品群に脆弱性
Mozilla 製品群には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。
対象となる製品およびバージョンは以下の通りです。
- Firefox 10 およびそれ以前
- Thunderbird 10 およびそれ以前
- SeaMonkey 2.7 およびそれ以前
その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ
ります。
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。
Mozilla Japan
Firefox リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/firefox/10.0.2/releasenotes/
Firefox セキュリティアドバイザリ
Firefox 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10.0.2
Mozilla Japan
Thunderbird リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/thunderbird/10.0.2/releasenotes/
Thunderbird セキュリティアドバイザリ
Thunderbird 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10.0.2
SeaMonkey セキュリティアドバイザリ
SeaMonkey 2.7.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7.2
SeaMonkey Project
SeaMonkey 2.7.2 Release Notes
http://www.seamonkey-project.org/releases/seamonkey2.7/
Google Chrome に脆弱性
Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで
す。
- Google Chrome 17.0.963.56 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google Chrome を更
新することで解決します。
Google Chrome Releases
Chrome Stable Update
http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html
ALFTP における実行ファイル読み込みに関する脆弱性
ESTsoft Japan の ALFTP には、ファイルの読み込み処理に問題があります。結
果として、遠隔の第三者が細工した実行ファイルを読み込ませることで、プロ
グラムを実行している権限で任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- ALFTP 5.30.0.1 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに ALFTP を更新すること
で解決します。
ESTsoft Japan
ALFTP における実行ファイル読み込みに関する脆弱性
http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=141
JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
cforms II にクロスサイトスクリプティングの脆弱性
delicious days の WordPress 用プラグイン cforms II には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブ
ラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- cforms II v13.1 およびそれ以前
この問題は、delicious days が提供する修正済みのバージョンに cforms II
を更新することで解決します。
delicious days cforms II User Forum
cforms Version History - VERSION 13.2 ANNOUNCEMENT
http://www.deliciousdays.com/cforms-forum/?forum=2&topic=2&page=1
Windows 家庭向け製品サポート延長について
JPCERT/CC WEEKLY REPORT 2012-02-15 号で、Microsoft Windows Vista 家庭向
け製品のサポート終了をお伝えしましたが、2012年2月19日に日本マイクロソフ
トから、Windows Vista および Windows 7 の家庭用向け製品に関して 5 年の
延長サポートを提供すると発表されました。
TechNet Blogs > 日本のセキュリティチーム
Windows Vista/Windows 7 コンシューマー用製品も延長サポートを決定、セキュリティ更新プログラムを継続提供
http://blogs.technet.com/b/jpsecurity/archive/2012/02/20/3481871.aspx
JPCERT/CC WEEKLY REPORT 2012-02-15
【今週のひとくちメモ】Windows Vista 家庭向け製品サポート終了
http://www.jpcert.or.jp/wr/2012/wr120601.html#Memo