-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-1301 JPCERT/CC 2012-04-04 <<< JPCERT/CC WEEKLY REPORT 2012-04-04 >>> ―――――――――――――――――――――――――――――――――――――― ■03/25(日)〜03/31(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に複数の脆弱性 【2】ImageMagick に複数の脆弱性 【3】Opera ブラウザに脆弱性 【4】HP WBEM に複数の脆弱性 【今週のひとくちメモ】Java (JRE/JDK) のバージョンに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr121301.html https://www.jpcert.or.jp/wr/2012/wr121301.xml ============================================================================ 【1】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Advisory for Adobe Flash Player http://www.us-cert.gov/current/archive/2012/03/28/archive.html#adobe_releases_security_advisory_for13 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux および Solaris 版 Adobe Flash Player 11.1.102.63 およびそれ以前 - Android 3.x/2.x 版の Adobe Flash Player 11.1.111.7 およびそれ以前 - Windows、Macintosh、Android 版 Adobe AIR 3.1.0.4880 およびそれ以前 なお、Adobe によると、この問題は Android 4 版の Adobe Flash Player には 影響しないとのことです。 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 してください。 関連文書 (日本語) Adobe サポート APSB12-07: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/933/cpsid_93381.html JPCERT/CC Alert 2012-03-29 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120011.html 【2】ImageMagick に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#647635 ImageMagick に複数の脆弱性 https://jvn.jp/cert/JVNVU647635/index.html 概要 ImageMagick には、複数の脆弱性があります。結果として、遠隔の第三者が細 工した画像を処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - ImageMagick 6.7.6-3 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに ImageMagick を更新することで解決します。詳細については、ベンダや配 布元が提供する情報を参照してください。 関連文書 (英語) CERT-FI CERT-FI Advisory on issues in ImageMagick http://www.cert.fi/en/reports/2012/vulnerability635606.html ImageMagick ImageMagick Vulnerabilities http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=20629 【3】Opera ブラウザに脆弱性 情報源 Opera Opera 11.62 for Windows changelog http://www.opera.com/docs/changelogs/windows/1162/ 概要 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し た Web ページを閲覧させることで任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.61 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新 することで解決します。 【4】HP WBEM に複数の脆弱性 情報源 JC3-CIRC Technical Bulletin U-135 HP WBEM Discloses Diagnostic Data to Remote and Local Users http://circ.jc3.doe.gov/bulletins/U-135.shtml 概要 HP WBEM には、複数の脆弱性があります。結果として遠隔の第三者が、診断デー タにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - HP-UX 11.11、11.23、11.31 この問題は、HP が提供する更新プログラムを適用することで解決します。 詳 細については、HP が提供する情報を参照してください。 関連文書 (英語) HP Support HPSBUX02755 SSRT100667 rev.1 - HP-UX WBEM, Remote Unauthorized Access to Diagnostic Data http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03221589 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java (JRE/JDK) のバージョンに注意 2月15日に Oracle から、Java の 6 update 31 と 7 update 3 が公開されてい ます。これよりも前のバージョンの Java に対する攻撃コードがインターネッ ト上で公開されており、JPCERT/CC でも攻撃活動が行われていることを確認し ています。 自分で Java をインストールしていなくても、購入した PC に初期状態で Java (JRE) がインストールされている場合があります。今一度、利用している PC の Java 環境を確認することをおすすめします。 また、Mac OS X は、Apple が独自に Java を提供しており、4月3日づけで対策 版を提供しています。すみやかに導入することをおすすめします。また必要に 応じて、ブラウザで Java を使用しないように設定することも検討してくださ い。 参考文献 (日本語) JPCERT/CC Alert 2012-03-23 2012年2月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120010.html 参考文献 (英語) Apple About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7 http://support.apple.com/kb/HT5228 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPe5tNAAoJEDF9l6Rp7OBIug0H+gM8TD7kwtBMzIr2Mr6AjOGx klMBWdCEw7mv3h0MR8jeZ9rse/CxW/Fec023mYGKaelJsjnFg97cyTaJiRANgHVs vdVNKFp1acYHq8zpg2gKy5GeQXyUuTIOSI/WTjs2NRi55P0ZLQNNJ+VOOWSmPffr R7gIUHKfUtWSDslZVFm+ynOuF2A3Ym+5zbjvwr2raYZyRphEx8eRpBJ2wQj6tUuF DkZ1JqcbCZIEEnp7gYOCmohGb/om1ne6xtcODFhxrYnaeC8REXkNumlorzIfCWeo Cvvk5hEd3qG9MQ1lHwIBZeFvs8cPqrO29LRn1XqK+6flvGTbuDDLbHQLudYKebM= =uOd0 -----END PGP SIGNATURE-----