-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2013-2401
                                                                   JPCERT/CC
                                                                  2013-06-19

            <<< JPCERT/CC WEEKLY REPORT 2013-06-19 >>>

――――――――――――――――――――――――――――――――――――――
■06/09(日)〜06/15(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Microsoft の複数の製品に脆弱性
【2】Adobe Flash Player に複数の脆弱性
【3】RSA Authentication Manager に脆弱性
【4】HP の Insight Diagnostics に複数の脆弱性
【5】HP System Management Homepage に脆弱性
【6】Orchard にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「フィッシングレポート2013」公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2013/wr132401.html
        https://www.jpcert.or.jp/wr/2013/wr132401.xml
============================================================================


【1】Microsoft の複数の製品に脆弱性

    情報源
      US-CERT Current Activity
      Microsoft Releases June 2013 Security Bulletin
      http://www.us-cert.gov/ncas/current-activity/2013/06/11/Microsoft-Releases-June-2013-Security-Bulletin

    概要
      Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
      性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Internet Explorer
      - Microsoft Office

      この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
      用することで解決します。詳細については、Microsoft が提供する情報を参照
      して下さい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2013 年 6 月のセキュリティ情報
      https://technet.microsoft.com/ja-jp/security/bulletin/ms13-jun

      警察庁 @Police
      マイクロソフト社のセキュリティ修正プログラムについて(MS13-047,048,049,050,051)
      http://www.npa.go.jp/cyberpolice/topics/?seq=11684

      独立行政法人情報処理推進機構（IPA）
      Microsoft 製品の脆弱性対策について(6月)
      http://www.ipa.go.jp/security/ciadr/vul/20130612-ms.html

      JPCERT/CC Alert 2013-06-12
      2013年6月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2013/at130028.html

    関連文書 (英語)
      US-CERT Alert (TA13-168A)
      Microsoft Updates for Multiple Vulnerabilities
      https://www.us-cert.gov/ncas/alerts/TA13-168A

【2】Adobe Flash Player に複数の脆弱性

    情報源
      Adobe Security Bulletin
      Security updates available for Adobe Flash Player
      http://www.adobe.com/support/security/bulletins/apsb13-16.html

    概要
      Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
      者が、任意のコードを実行するなどの可能性があります。

      対象となる製品は以下の通りです。

      - Adobe Flash Player
      - Adobe AIR

      この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
      ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
      い。

    関連文書 (日本語)
      Adobe
      APSB13-16: Adobe Flash Player に関するセキュリティアップデート公開
      http://helpx.adobe.com/jp/flash-player/kb/cq06101845.html

      警察庁 @Police
      アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
      http://www.npa.go.jp/cyberpolice/topics/?seq=11678

      独立行政法人情報処理推進機構（IPA）
      Adobe Flash Player の脆弱性対策について(APSB13-16)(CVE-2013-3343)
      http://www.ipa.go.jp/security/ciadr/vul/20130612-adobeflashplayer.html

      JPCERT/CC Alert 2013-06-12
      Adobe Flash Player の脆弱性 (APSB13-16) に関する注意喚起
      https://www.jpcert.or.jp/at/2013/at130029.html

【3】RSA Authentication Manager に脆弱性

    情報源
      JC3 Bulletin
      V-174: RSA Authentication Manager Writes Operating System, SNMP, and HTTP Plug-in Proxy Passwords in Clear Text to Log Files
      http://energy.gov/cio/articles/v-174-rsa-authentication-manager-writes-operating-system-snmp-and-http-plug-proxy

    概要
      RSA Authentication Manager には、脆弱性があります。結果として、ローカル
      ユーザが、パスワードを取得する可能性があります。

      対象となるバージョンは以下の通りです。

      - RSA Authentication Manager 8.0

      この問題は、RSA が提供する更新プログラムを RSA Authenticaion Manager
      に適用することで解決します。詳細については、RSA が提供する情報を参照
      して下さい。

    関連文書 (英語)
      RSA
      Security, Compliance, and Risk-Management Solutions
      http://www.emc.com/domains/rsa/index.htm

【4】HP の Insight Diagnostics に複数の脆弱性

    情報源
      US-CERT Vulnerability Note VU#324668
      HP Insight Diagnostics 9.4.0.4710 multiple vulnerabilities
      http://www.kb.cert.org/vuls/id/324668

    概要
      HP の Insight Diagnostics には、複数の脆弱性があります。結果として、ユー
      ザが管理者権限で任意のコマンドを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - HP Insight Diagnostics 9.4.0.4710

      これ以前のバージョンもこの脆弱性の影響を受ける可能性があります。

      2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること
      で本脆弱性の影響を軽減することが可能です。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#92198165
      HP Insight Diagnostics に複数の脆弱性
      https://jvn.jp/cert/JVNVU92198165/index.html

    関連文書 (英語)
      HP Business Support Center
      HP Insight Diagnostics Software
      http://h20000.www2.hp.com/bizsupport/TechSupport/Home.jsp?lang=en&cc=us&prodTypeId=18964&prodSeriesId=460016

【5】HP System Management Homepage に脆弱性

    情報源
      US-CERT Vulnerability Note VU#735364
      HP System Management Homepage contains a command injection vulnerability
      http://www.kb.cert.org/vuls/id/735364

    概要
      HP System Management Homepage には脆弱性があります。結果として、ユーザ
      が管理者権限で任意のコマンドを実行する可能性があります。

      対象となる製品は以下の通りです。

      - HP System Management Homepage

      2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること
      で本脆弱性の影響を軽減することが可能です。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#95659777
      HP System Management Homepage に OS コマンドインジェクションの脆弱性
      https://jvn.jp/cert/JVNVU95659777/index.html

【6】Orchard にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#53622030
      Orchard におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN53622030/index.html

    概要
      Orchard には、クロスサイトスクリプティングの脆弱性があります。結果とし
      て、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性
      があります。

      対象となるバージョンは以下の通りです。

      - Orchard 1.6.1 より前のバージョン

      この問題は、開発者が提供する修正済みのバージョンに Orchard を更新するこ
      とで解決します。詳細については、開発者が提供する情報を参照して下さい。

    関連文書 (英語)
      Orchard
      Security patch recommended for all versions of Orchard
      http://docs.orchardproject.net/Documentation/Patch-4-30-2013


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○「フィッシングレポート2013」公開

      フィッシング対策協議会は 2012年のフィッシング事例についてまとめた「フィッ
      シングレポート2013」を公開しました。最近の傾向として、フィッシングのター
      ゲットが固定化されつつあることや、フィッシング手口の巧妙化などが挙げら
      れており、主要な手口についても解説されています。

      また、以前より公開されていた事業者向けおよび利用者向けのフィッシング対
      策ガイドラインが、2013年版として更新されています。

    参考文献 (日本語)
      フィッシング対策協議会
      「フィッシングレポート2013」公開のお知らせ
      https://www.antiphishing.jp/news/info/press_phishing_report2013.html

      フィッシング対策協議会
      資料公開: フィッシング対策ガイドラインの改訂について
      https://www.antiphishing.jp/news/info/guideline2013.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2013 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJRwP9yAAoJEDF9l6Rp7OBIBRkH/jRPTL4PPv6M+MsAmz5NPb8H
Zv5+27DTIsJIt5CVEZhDQmkIcTQMLAJpyddBYm7ITOR3lP3Nj5zF0J2abASJ0sss
P+KjPo8G/FlXvhYTn6rl2ZQPJ5EtlNGs6oG9nJN2GGssRoqE9wjK989yWza64DJA
9qjTYArbrgSsvX2lds4mtOdZ+BUaJvmO4N2FVxT5WCe1iPERBXIqoKYIa9IcpPml
u+AAfX8t8HkZQdwnebPihdM+ibQjsRig0z+gepreXfYipnwvvN8hZbhSMd3VdhOh
xBWDXRMfgT7x4gIOAP7cDpMETONSQCqnk9TrNHUshQ38xncYBL1I/v7cGLfmJM8=
=WZuk
-----END PGP SIGNATURE-----