-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-4601 JPCERT/CC 2013-11-20 <<< JPCERT/CC WEEKLY REPORT 2013-11-20 >>> ―――――――――――――――――――――――――――――――――――――― ■11/10(日)〜11/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品の複数の脆弱性に対するアップデート 【2】Adobe の複数の製品に脆弱性 【3】一太郎シリーズに脆弱性 【4】EMC Documentum にクロスサイトスクリプティングの脆弱性 【5】フィッシング対策セミナー2013 開催のお知らせ 【今週のひとくちメモ】EMET 4.1 リリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr134601.html https://www.jpcert.or.jp/wr/2013/wr134601.xml ============================================================================ 【1】Microsoft 製品の複数の脆弱性に対するアップデート 情報源 US-CERT Alert (TA13-317A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/ncas/alerts/TA13-317A 概要 Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで 解決します。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2013 年 11 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov マイクロソフト株式会社 2013 年 11 月のセキュリティ情報 (月例) - MS13-088 ? MS13-095 http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610237.aspx 独立行政法人情報処理推進機構 (IPA) Microsoft 製品の脆弱性対策について(11月) http://www.ipa.go.jp/security/ciadr/vul/20131113-ms.html 警察庁@Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-088,089,090,091,092,093,094,095) http://www.npa.go.jp/cyberpolice/topics/?seq=12595 JPCERT/CC Alert 2013-11-13 2013年11月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130045.html Japan Vulnerability Notes JVNTA13-317A Microsoft 製品の複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-317A/index.html 関連文書 (英語) Microsoft Security TechCenter Microsoft Security Bulletin Summary for November 2013 http://technet.microsoft.com/en-us/security/bulletin/ms13-nov 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Adobe Flash Player https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Updates-Adobe-Flash-Player US-CERT Current Activity Adobe Releases Security Update for Adobe ColdFusion https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Update-Adobe-ColdFusion 概要 Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe ColdFusion この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobe APSB13-26: Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq11111654.html Adobe APSB13-27: ColdFusion に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/coldfusion/kb/cq11111652.html JPCERT/CC Alert 2013-11-13 Adobe Flash Player の脆弱性 (APSB13-26) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130046.html 【3】一太郎シリーズに脆弱性 情報源 Japan Vulnerability Notes JVN#44999463 一太郎シリーズにおいて任意のコードが実行される脆弱性 https://jvn.jp/jp/JVN44999463/index.html 概要 一太郎シリーズには、脆弱性があります。結果として、遠隔の第三者が細工し たファイルをユーザに開かせることで任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - 一太郎2013 玄 - 一太郎2013 玄 体験版 - 一太郎2012 承 - 一太郎2011 創 / 一太郎2011 - 一太郎Pro 2 - 一太郎Pro 2 体験版 - 一太郎Pro - 一太郎Government 7 - 一太郎Government 6 - 一太郎2010 - 一太郎ガバメント2010 - 一太郎2009、一太郎ガバメント2009 - 一太郎2008、一太郎ガバメント2008 - 一太郎2007、一太郎ガバメント2007 - 一太郎2006、一太郎ガバメント2006 - 一太郎ポータブル with oreplug - 一太郎ビューア この問題は、ジャストシステムが提供する修正済みのバージョンに一太郎を更 新することで解決します。詳細については、ジャストシステムが提供する情報 を参照して下さい。 関連文書 (日本語) ジャストシステム 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js13003.html 警察庁@Police ジャストシステム社製品の脆弱性について http://www.npa.go.jp/cyberpolice/topics/?seq=12597 IPA 独立行政法人情報処理推進機構 「一太郎」シリーズにおいて任意のコードが実行される脆弱性対策について(JVN#44999463) https://www.ipa.go.jp/security/ciadr/vul/20131112-jvn.html 【4】EMC Documentum にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#466876 EMC Documentum Product Suite version 6.7 contains a DOM based cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/466876 概要 EMC Documentum には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - EMC Documentum Webtop 6.7 SP2 P07 より前のバージョン - EMC Documentum WDK 6.7 SP2 P07 より前のバージョン - EMC Documentum Taskspace 6.7 SP2 P07 より前のバージョン - EMC Documentum Records Manager 6.7 SP2 P07 より前のバージョン - EMC Documentum Web Publisher 6.5 SP7 より前のバージョン - EMC Documentum Digital Asset Manager 6.5 SP6 より前のバージョン - EMC Documentum Administrator 6.7 SP2 P07 より前のバージョン - EMC Documentum Capital Projects 1.8 P01 より前のバージョン この問題は、EMC が提供する修正済みのバージョンに EMC Documentum を更新 することで解決します。詳細については、EMC が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95124340 EMC Documentum にクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU95124340/index.html 関連文書 (英語) SecurityFocus ESA-2013-070: EMC Documentum Cross Site Scripting Vulnerability http://www.securityfocus.com/archive/1/529620/30/0/threaded 【5】フィッシング対策セミナー2013 開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー2013 https://www.antiphishing.jp/news/event/antiphishing_seminar2013.html 概要 フィッシング対策協議会は、日本国内におけるフィッシング詐欺被害の抑制を 目的として、「フィッシング対策セミナー2013」を開催します。今回は、三菱 東京UFJ銀行や警察庁、日本マイクロソフトなどの方々が、それぞれの組織にお けるフィッシング対策や対応について講演されます。 参加費は無料です。ただし、事前に参加申込みが必要となります。受付は 2013年12月9日(月) までですが、満席になり次第受付終了となりますので、ご 了承ください。 日時および場所: 2013年12月17日(火)13:30-17:15 (12:45開場) トッパン・フォームズ株式会社 1F 〒105-8311 東京都港区東新橋1-7-3 http://www.mapion.co.jp/m/35.6596666666667_139.762402777778_10/ 関連文書 (日本語) フィッシング対策協議会 https://www.antiphishing.jp/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○EMET 4.1 リリース 2013年11月13日、Microsoft は、Windows 上で動作するアプリケーションの脆 弱性の影響を緩和するためのツール (Enhanced Mitigation Experience Toolkit: 以下 EMET) の新バージョン EMET 4.1 をリリースしました。 EMET 4.1 では、既定のプロファイルの構成内容の変更や、マルチユーザ環境 でのイベントログ機能の強化が行われています。 参考文献 (日本語) Microsoft EMET 4.1 を公開 〜 構成ファイルや管理機能の強化 http://blogs.technet.com/b/jpsecurity/archive/2013/11/15/3611107.aspx 参考文献 (英語) Microsoft Security Research & Defense Introducing Enhanced Mitigation Experience Toolkit (EMET) 4.1 http://blogs.technet.com/b/srd/archive/2013/11/12/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSjA0CAAoJEDF9l6Rp7OBIefEH+gMgtS7gZ4mqCYzZBRflMVxe 6ulgFwy0J1gV7AcpgZJG+q7kR3bEiNcEUBWpAMZCanDIHf0AgMzMnzzWYLV2D+mt iNuKyEp8qJWl+d67GaRnJ8p6KPf6I7u7bmTotcB+lOPB9WWriUMdHTYrb9PrWMIy g/Fg5u32NqdRT3uFX4Kbqr0AWDAqbdyim/5ntD6882XWMuuyG6yJfAo5dsrjWz+a Q9wzDq9c+xHyWhhRrVRMn3TWLhaaHlvk/1fs8jyqERfHh7IgdfeULKURmAmQ1V/M aDTHSfRGX9gb4LEbDpUWSHTBUyyOHlU3oeI/gRB3JFpS+3tkwKRX2sFpPvPjqPY= =YljD -----END PGP SIGNATURE-----