-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-0201 JPCERT/CC 2013-01-17 <<< JPCERT/CC WEEKLY REPORT 2013-01-17 >>> ―――――――――――――――――――――――――――――――――――――― ■01/06(日)〜01/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft の複数の製品に脆弱性 【2】Oracle Java 7 に脆弱性 【3】Ruby on Rails の Action Pack に複数の脆弱性 【4】Adobe Flash Player に複数の脆弱性 【5】Adobe Acrobat および Adobe Reader に複数の脆弱性 【6】Adobe ColdFusion に複数の脆弱性 【今週のひとくちメモ】Java 7 のコントロールパネル ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr130201.html https://www.jpcert.or.jp/wr/2013/wr130201.xml ============================================================================ 【1】Microsoft の複数の製品に脆弱性 情報源 US-CERT Alert (TA13-008A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA13-008A.html US-CERT Vulnerability Note VU#154201 Microsoft Internet Explorer CButton use-after-free vulnerability http://www.kb.cert.org/vuls/id/154201 概要 Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Microsoft 開発者用ツール - Microsoft サーバー ソフトウェア - Microsoft .NET Framework - Microsoft Internet Explorer 6、7、8 この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。また、JPCERT/CC WEEKLY REPORT 2013-01-09 号【1】 で紹介した「Microsoft Internet Explorer に脆弱性」についても、1月15日に セキュリティ更新プログラムが提供されています。 詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト・セキュリティTechCenter 2013 年 1 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms13-Jan 日本のセキュリティチーム 2013 年 1 月のセキュリティ情報 (月例) - MS13-001 〜 MS13-007 http://blogs.technet.com/b/jpsecurity/archive/2013/01/09/3544779.aspx 日本のセキュリティチーム セキュリティ アドバイザリ (2794220) の脆弱性を解決する MS13-008 (Internet Explorer) を定例外で公開 http://blogs.technet.com/b/jpsecurity/archive/2013/01/15/3545836.aspx 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-001,002,003,004,005,006,007) http://www.npa.go.jp/cyberpolice/topics/?seq=10619 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-008) http://www.npa.go.jp/cyberpolice/topics/?seq=10661 Japan Vulnerability Notes JVNTA13-008A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-008A/index.html 独立行政法人情報処理推進機構 Internet Explorer の脆弱性対策について(MS13-008)(CVE-2012-4792) https://www.ipa.go.jp/security/ciadr/vul/20130104-ms.html JPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0003 2013年1月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130003.html JPCERT/CC Alert 2013-01-15 JPCERT-AT-2013-0005 Microsoft Internet Explorer の脆弱性 (MS13-008) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130005.html JPCERT/CC Weekly Report 2013-01-15 【1】Microsoft Internet Explorer に脆弱性 https://www.jpcert.or.jp/wr/2013/wr130101.html#1 【2】Oracle Java 7 に脆弱性 情報源 US-CERT Vulnerability Note VU#625617 Java 7 fails to restrict access to privileged code http://www.kb.cert.org/vuls/id/625617 概要 Oracle Java 7 には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 7 Update 10 およびそれ以前 この問題は、Oracle が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-010A Oracle Java 7 に脆弱性 https://jvn.jp/cert/JVNTA13-010A/index.html JPCERT/CC Alert 2013-01-15 JPCERT-AT-2013-0004 Oracle Java SE のクリティカルアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2013/at130004.html 関連文書 (英語) US-CERT Alert (TA13-010A) Oracle Java 7 Security Manager Bypass Vulnerability http://www.us-cert.gov/cas/techalerts/TA13-010A.html US-CERT Vulnerability Note VU#636312 Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code http://www.kb.cert.org/vuls/id/636312#solution 【3】Ruby on Rails の Action Pack に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#380039 Ruby on Rails Action Pack framework insecurely typecasts YAML and Symbol XML parameters http://www.kb.cert.org/vuls/id/380039 概要 Ruby on Rails の Action Pack には、複数の脆弱性があります。結果として、 遠隔の第三者が、SQL インジェクション攻撃を行ったり、任意のコードを実行 したりする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby on Rails バージョン 3.2.11 より前のバージョン - Ruby on Rails バージョン 3.1.10 より前のバージョン - Ruby on Rails バージョン 3.0.19 より前のバージョン - Ruby on Rails バージョン 2.3.15 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Ruby on Rails を更新することで解決します。詳細については、配布元が 提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94771138 Ruby on Rails に複数の脆弱性 https://jvn.jp/cert/JVNVU94771138/index.html 関連文書 (英語) Ruby on Rails Security Multiple vulnerabilities in parameter parsing in Action Pack (CVE-2013-0156) https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion 【4】Adobe Flash Player に複数の脆弱性 情報源 JC3 Bulletin V-065: Adobe Flash Player Buffer Overflow Lets Remote Users Execute Arbitrary Code http://energy.gov/cio/articles/v-065-adobe-flash-player-buffer-overflow-lets-remote-users-execute-arbitrary-code 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、第三者が細 工したコンテンツをユーザに開かせることで、任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - Windows 用 Adobe Flash Player 11.5.502.135 およびそれ以前のバージョン - Macintosh 用 Adobe Flash Player 11.5.502.136 およびそれ以前のバージョン - Linux 用 Adobe Flash Player 11.2.202.258 およびそれ以前のバージョン - Android 4.x 用 Adobe Flash Player 11.1.115.34 およびそれ以前のバージョン - Android 3.x 及び 2.x 用 Adobe Flash Player 11.1.111.29 およびそれ以前のバージョン - Windows、Android 用 Adobe AIR 3.5.0.880 およびそれ以前のバージョン - Macintosh 用 Adobe AIR 3.5.0.890 およびそれ以前のバージョン - Adobe AIR 3.5.0.880 SDK および Adobe AIR 3.5.0.890 SDK この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。 関連文書 (日本語) Adobe Flash Player Help APSB13-01: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq01081735.html 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について (APSB13-01)(CVE-2013-0630) http://www.ipa.go.jp/security/ciadr/vul/20130109-adobeflashplayer.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=10625 JPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0001 Adobe Flash Player の脆弱性(APSB13-01)に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130001.html 関連文書 (英語) Adobe Security Bulletin Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb13-01.html 【5】Adobe Acrobat および Adobe Reader に複数の脆弱性 情報源 JC3 Bulletin V-066: Adobe Acrobat/Reader Multiple Flaws Lets Remote Users Execute Arbitrary Code and Local Users Gain Elevated Privileges http://energy.gov/cio/articles/v-066-adobe-acrobatreader-multiple-flaws-lets-remote-users-execute-arbitrary-code-and 概要 Adobe Acrobat および Adobe Reader には、複数の脆弱性があります。結果と して、第三者が細工したコンテンツをユーザに開かせることで、任意のコード を実行したり、権限を昇格したり、セキュリティ制限を回避したりする可能性 があります。 対象となるバージョンは以下の通りです。 - Windows および Macintosh 用 Adobe Reader XI (11.0.0) - Windows および Macintosh 用 Adobe Reader X (10.1.4) およびそれ以前 - Windows および Macintosh 用 Adobe Reader 9.5.2 およびそれ以前 - Linux 用 Adobe Reader 9.5.1 およびそれ以前 - Windows および Macintosh 用 Adobe Acrobat XI (11.0.0) - Windows および Macintosh 用 Adobe Acrobat X (10.1.4) およびそれ以前 - Windows および Macintosh 用 Adobe Acrobat 9.5.2 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) 警察庁 @Police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=10623 独立行政法人情報処理推進機構 (IPA) Adobe Reader および Acrobat の脆弱性対策について (APSB13-02)(CVE-2012-1530等) http://www.ipa.go.jp/security/ciadr/vul/20130109-adobereader.html JPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0002 Adobe Reader 及び Acrobat の脆弱性(APSB13-02)に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130002.html Adobe Acrobat Help APSB13-02: Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/acrobat/kb/cq01070056.html 関連文書 (英語) Adobe Security Bulletin Security updates for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb13-02.html 【6】Adobe ColdFusion に複数の脆弱性 情報源 JC3 Bulletin V-063: Adobe ColdFusion Bugs Let Remote Users Gain Access and Obtain Information http://energy.gov/cio/articles/v-063-adobe-coldfusion-bugs-let-remote-users-gain-access-and-obtain-information 概要 Adobe ColdFusion には、複数の脆弱性があります。結果として、遠隔の第三者 が、認証を回避してシステムにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe ColdFusion のバージョン 10、9.0.2、9.0.1 および 9.0 この問題は、Adobe が提供する修正済のバージョンに ColdFusion を更新する ことで解決します。詳細については、Adobe が提供する情報を参照して下さい。 関連文書 (日本語) Adobe ColdFusion Help APSB13-03 -- セキュリティアップデート:ColdFusion用ホットフィックス公開 http://helpx.adobe.com/jp/coldfusion/kb/cq01151042.html 関連文書 (英語) Adobe Security Bulletin APSB13-03: Security update: Hotfix available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb13-03.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java 7 のコントロールパネル Java 7 の update 10 から「Javaコントロール・パネル」が提供されるように なりました。Web ブラウザで Java を使用しない場合には、コントロールパネ ルから「ブラウザでJavaコンテンツを有効にする」のチェックを外すことによ り、インストールされている全ての Web ブラウザで Java プラグインを無効に することができます。 参考文献 (日本語) Java.com WebブラウザでJavaを無効にするにはどうすればよいですか。 http://java.com/ja/download/help/disable_browser.xml マイクロソフト株式会社 Internet Explorer で Java Web プラグインを無効にする方法 http://support.microsoft.com/kb/2751647/ja Mozilla Support Java アプレットを無効にするには https://support.mozilla.org/ja/kb/How%20to%20turn%20off%20Java%20applets Google プラグイン https://support.google.com/chrome/bin/answer.py?hl=ja&answer=142064 Apple Safari で Java Web プラグインを無効にする方法 http://support.apple.com/kb/HT5241?viewlocale=ja_JP&locale=ja_JP ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQ91ChAAoJEDF9l6Rp7OBIZGAIAIHI0oc+XZ99OQnDcREq7T96 lWQmrZsaHAb/6X8A82plLODDcmVDpAk1pP7AJfslqatlESfnOz/FL5ocOYshF6YH HPzImRJJhb+5dr/l1etFjt5W2XkdIbu+IxGdbuAtK/52JNL/jhEUlOjUSzmoP8pq YvAcBLcg+7t0kfyMnqL+PYyzMxeqqqJi/lkdAgW1/DEt2Xf8reNlaFmP6sl7XVXl Cd9mfcrkX9h0iW3bOeoR/tp0IDcMr38xpJuGvTg6ByVWVg688iVdQd1s0PTI/TA5 RKBOsmmi3E0T4Aru9fPWESwQbiNtS5uK21xt6eVFdAao0lFbIyWYyiMDWQfdvaw= =w39i -----END PGP SIGNATURE-----