-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-0601 JPCERT/CC 2013-02-14 <<< JPCERT/CC WEEKLY REPORT 2013-02-14 >>> ―――――――――――――――――――――――――――――――――――――― ■02/03(日)〜02/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に複数の脆弱性 【2】サイボウズ ガルーンに複数の脆弱性 【3】moraダウンローダーにおける実行ファイル読み込みに関する脆弱性 【今週のひとくちメモ】スマートフォン情報セキュリティサイト「I Love スマホ生活」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr130601.html https://www.jpcert.or.jp/wr/2013/wr130601.xml ============================================================================ 【1】Adobe Flash Player に複数の脆弱性 情報源 JC3 Bulletin V-087: Adobe Flash Player Two Vulnerabilities http://energy.gov/cio/articles/v-087-adobe-flash-player-two-vulnerabilities Adobe APSB13-05 Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb13-05.html 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。なお、Adobe によると、本脆弱性を使用した攻撃活動が 確認されているとのことです。 また、Adobe は 2013年2月13日、新たに複数の脆弱性に関するアドバイザリを 公開しています。 対象となるバージョンは以下の通りです。 - Windows 版 Flash Player 11.5.502.149 およびそれ以前 - Macintosh 版 Flash Player 11.5.502.149 およびそれ以前 - Linux 版 Flash Player 11.2.202.262 およびそれ以前 - Android 4.x 版 Flash Player 11.1.115.37 およびそれ以前 - Android 3.x/2.x 版 Flash Player 11.1.111.32 およびそれ以前 - Adobe AIR 3.5.0.1060 およびそれ以前 - Adobe AIR 3.5.0.1060 SDK およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。 関連文書 (日本語) Adobe Flash Player Help / APSB13-05: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq02121817.html Adobe Flash Player Help / APSB13-04: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq02070051.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=10759 独立行政法人情報処理推進機構 (IPA) Adobe Flash Player の脆弱性対策について(APSB13-04)(CVE-2013-0633等) http://www.ipa.go.jp/security/ciadr/vul/20130208-adobeflashplayer.html マイクロソフト株式会社 マイクロソフト セキュリティ アドバイザリ (2755801): Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム http://technet.microsoft.com/ja-jp/security/advisory/2755801 JPCERT/CC Alert 2013-02-08 JPCERT-AT-2013-0008 Adobe Flash Player の脆弱性 (APSB13-04) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130008.html 【2】サイボウズ ガルーンに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#07629635 サイボウズ ガルーンにおける SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN07629635/index.html Japan Vulnerability Notes JVN#95863326 サイボウズ ガルーンにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN95863326/index.html 概要 サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第三 者が、ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン バージョン 3.5.4 より前のバージョン この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 システム管理に関するクロスサイトスクリプティングの脆弱性【CY-01-001】 http://cs.cybozu.co.jp/information/20130125up01.php サイボウズ株式会社 システム管理に関するSQLインジェクションの脆弱性【CY13-01-002】 http://cs.cybozu.co.jp/information/20130125up02.php 【3】moraダウンローダーにおける実行ファイル読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#91387819 moraダウンローダーにおける実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN91387819/index.html 概要 moraダウンローダーには、実行ファイルを読み込む際のファイル検索パスに問 題があります。結果として、遠隔の第三者が、任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - moraダウンローダー ver.1.0.0.0 この問題は、株式会社レーベルゲートが提供する修正済みのバージョンに moraダウンローダーを更新することで解決します。詳細については、株式会社 レーベルゲートが提供する情報を参照して下さい。 関連文書 (日本語) 株式会社レーベルゲート moraダウンローダーV1.0.0.1リリースのお知らせ http://mora.jp/help/information?60 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○スマートフォン情報セキュリティサイト「I Love スマホ生活」 IPA は、スマートフォン利用者向けに、セキュリティの基本知識を解説するサ イトを公開しました。スマートフォンを利用する際に知っておくべきセキュリ ティの基本知識をマンガやイラストを通じて説明し、スマートフォンから閲覧 しやすいようにデザインされています。 参考文献 (日本語) 情報処理推進機構 スマートフォン一般利用者向け啓発サイト「I Love スマホ生活」のご案内 http://www.ipa.go.jp/security/keihatsu/smartphone.html 情報処理推進機構 IPA 対策のしおり シリーズ(8): スマートフォンのセキュリティ<危険回避>対策のしおり http://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRHDvEAAoJEDF9l6Rp7OBI5vEH/39MGlGBlG0TvG9XPLDZePyL YonJmiVxl4tUH64UBZ0wONxabBsgffECUdPvMRXn4cLvfG/Zd1KlceqjQkwZ1Csh xGK4ZwgMPMr9Krog2hpIfVF1nbfXA0waixb+eAsDjR7GoOTOY5wineo6ljO+cB9z Wtu2P3ktE9GvUzSg56rvZb3nS9ZS+mATFqanIEq6yo/g0hkAtKHXS5da6MUgcQqu sjWJMFCZZlyLeCKGNbaZGbkDk/E7VzX+PyTK9fhSRO8CAjbizd1F5r8sCOXxv0A7 Hmf+xbGtnWfy+s1AYSNJCMgo3mniIwSdDEkKcN/9McrsUs2FcCynhgvRI3iHedM= =SXO7 -----END PGP SIGNATURE-----