-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-4901 JPCERT/CC 2012-12-19 <<< JPCERT/CC WEEKLY REPORT 2012-12-19 >>> ―――――――――――――――――――――――――――――――――――――― ■12/09(日)〜12/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft の複数の製品に脆弱性 【2】Adobe Flash Player に複数の脆弱性 【3】Adobe ColdFusion に脆弱性 【4】Welcart に複数の脆弱性 【今週のひとくちメモ】D.ROOT-SERVERS.NET の IP アドレス更新 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr124901.html https://www.jpcert.or.jp/wr/2012/wr124901.xml ============================================================================ 【1】Microsoft の複数の製品に脆弱性 情報源 US-CERT Alert (TA12-346A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA12-346A.html 概要 Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、システムやファイルに不正にアクセスしたりする 可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNTA12-346A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA12-346A/index.html マイクロソフト株式会社 2012 年 12 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-dec 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS12-077,078,079,080,081,082,083) http://www.npa.go.jp/cyberpolice/topics/?seq=10515 JPCERT/CC Alert 2012-12-12 JPCERT-AT-2012-0038 2012年12月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120038.html 【2】Adobe Flash Player に複数の脆弱性 情報源 JC3 Bulletin V-046: Adobe Flash Player Bugs Let Remote Users Execute Arbitrary Code http://energy.gov/cio/articles/v-046-adobe-flash-player-bugs-let-remote-users-execute-arbitrary-code 概要 Adobe の Flash Player には、複数の脆弱性があります。結果として、第三者 が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Windows 版 Flash Player 11.5.502.110 およびそれ以前 - Macintosh 版 Flash Player 11.5.502.110 およびそれ以前 - Linux 版 Flash Player 11.2.202.251 およびそれ以前 - Android 4.x 版 Flash Player 11.1.115.27 およびそれ以前 - Android 3.x/2.x 版 Flash Player 11.1.111.24 およびそれ以前 - Windows、Macintosh 版 Adobe AIR 3.5.0.600 およびそれ以前 - Adobe AIR 3.5.0.600 SDK (AIR for iOS を含む) およびそれ以前 - Android 版 Adobe AIR 3.5.0.600 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player 更新することで解決します。詳細については、Adobe が提供する情報を参照し て下さい。 関連文書 (日本語) Adobe Flash Player Help / APSB12-27: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq11281733.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=10517 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB12-27)(CVE-2012-5676等) http://www.ipa.go.jp/security/ciadr/vul/20121212-adobeflashplayer.html JPCERT/CC Alert 2012-12-12 JPCERT-AT-2012-0037 Adobe Flash Player の脆弱性 (APSB12-27) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120037.html 【3】Adobe ColdFusion に脆弱性 情報源 JC3 Bulletin V-045: Adobe ColdFusion Lets Local Users Bypass Sandbox Restrictions http://energy.gov/cio/articles/v-045-adobe-coldfusion-lets-local-users-bypass-sandbox-restrictions 概要 Adobe の ColdFusion には脆弱性があります。結果として、サンドボックスに よる制限を回避される可能性があります。 対象となるバージョンは以下の通りです。 - Windows、Macintosh、UNIX 用 ColdFusion のバージョン 10、9.0.2、9.0.1、9.0 この問題は、Adobe が提供する更新プログラムを ColdFusion に適用すること で解決します。詳細については、Adobe が提供する情報を参照して下さい。 関連文書 (日本語) Adobe ColdFusion Help / セキュリティアップデート:ColdFusion 10 以前用のホットフィックス公開(日本語抄訳) http://helpx.adobe.com/jp/coldfusion/kb/cq11281739.html 【4】Welcart に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#18731696 Welcart におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN18731696/index.html Japan Vulnerability Notes JVN#53269985 Welcart におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN53269985/index.html 概要 Welcart には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Welcart 1.2.1 およびそれ以前のバージョン この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を更 新することで解決します。詳細については、コルネ株式会社が提供する情報を 参照して下さい。 関連文書 (日本語) Welcart コミュニティ (コルネ株式会社) Welcartにおける脆弱性のご報告 http://www.welcart.com/community/archives/4524 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○D.ROOT-SERVERS.NET の IP アドレス更新 DNS ルートサーバのひとつである D.ROOT-SERVERS.NET のIP アドレスが 2013年1月3日に変更される予定です。 DNS サーバを管理している方は、ルートヒントファイルの更新に備えて、設定 内容や更新作業について確認しておくことをおすすめします。 参考文献 (日本語) JPRS D.root-servers.netのIPアドレス変更について http://jprs.jp/tech/notice/2012-12-18-d-root-ip-address-change.html 参考文献 (英語) ICANN Blog Advisory - D-root is changing its IPv4 address on 3 January 2013 http://blog.icann.org/2012/12/d-root/ d.root-servers.net D-Root is Changing its IPv4 Address on 3 January 2013 http://d.root-servers.org/renumber.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQ0RMjAAoJEDF9l6Rp7OBI//4H/iaNBXXBcTSZtk3CYryOyoid fTxpT7O2uJi/4WDOk3TX//fEU/eWS3QLL1iAL0fCCAFutdoHvyvW0TaTmtBgNZuh ddKXUXwZn09ODW7OxtkGjPATceXAPXO0PANZm6yjJpVOqGyfitA5eRyEi3ZLEe4/ 1mhvNPW5kCGVFXsGb8gAi7UY7DfPPoCzq44RjPXh4LXeMbj0OQUEbDyMpzihIGOi V9qmWYO9LJUr6G1UT7YPoJ+iFyB7cfbstNFo7SRJA5Yv7gXf5r6Em09iNQwU65Lq rKdAfemhxrWqyCYbIuHpuGzh8MKxGVAn2JlmH1neNczJz79oQCYHtIG2QlN33MU= =rVFr -----END PGP SIGNATURE-----