JPCERT-WR-2010-2201

JPCERT/CC

2010-06-16

<<< JPCERT/CC WEEKLY REPORT 2010-06-16 >>>

■06/06(日)〜06/12(土) のセキュリティ関連情報

目　次

【1】2010年6月 Microsoft セキュリティ情報について

【2】Microsoft Windows Help and Support Center に脆弱性

【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

【4】Google Chrome に複数の脆弱性

【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪参加者募集中

【今週のひとくちメモ】IANA が新しい WHOIS サーバをテスト公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102201.txt
https://www.jpcert.or.jp/wr/2010/wr102201.xml

【1】2010年6月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA10-159B
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-159B.html

US-CERT Cyber Security Alert SA10-159B
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-159B.html

概要

Microsoft Windows、Internet Explorer、Office、SharePoint 
Services、.NET Framework などの製品および関連コンポーネントには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、2010-02-10号【1】「Internet Explorer に脆弱性」および
2010-05-12号【1】「Microsoft SharePoint にクロスサイトスクリプティ
ングの脆弱性」で紹介した問題に対する解決策も含まれています。

【2】Microsoft Windows Help and Support Center に脆弱性

情報源

US-CERT Vulnerability Note VU#578319
Microsoft Windows Help and Support Center URI processing vulnerability
http://www.kb.cert.org/vuls/id/578319

概要

Microsoft Windows の Help and Support Center には、HCP プロトコ
ルの処理に起因する脆弱性があります。結果として、遠隔の第三者が細
工した HCP プロトコルの URI リンクを処理させることで、ユーザの権
限で任意のコマンドを実行する可能性があります。

対象となるプラットフォームは以下の通りです。

- Microsoft Windows XP
- Microsoft Windows Server 2003

2010年6月15日現在、この問題に対する解決策は提供されていません。
回避策として、マイクロソフトは HCP プロトコルの登録を解除する
「Fix it」を公開しています。詳細については、マイクロソフトが提供
する情報を参照してください。

【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

情報源

US-CERT Technical Cyber Security Alert TA10-162A
Adobe Flash and AIR Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-162A.html

US-CERT Technical Cyber Security Alert TA10-159A
Adobe Flash, Reader, and Acrobat Vulnerability
http://www.us-cert.gov/cas/techalerts/TA10-159A.html

概要

JPCERT/CC WEEKLY REPORT 2010-06-09号【1】で紹介した「Adobe Flash
Player、Reader および Acrobat に脆弱性」に関する追加情報です。

Adobe は、Flash Player および Adobe AIR の修正済みのバージョンを
2010年6月10日に公開しました。なお、Adobe Reader および Acrobat 
の更新は、2010年6月29日までに公開される予定です。詳細については、
Adobe が提供する情報を参照してください。

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 5.0.375.70
http://www.us-cert.gov/current/archive/2010/06/10/archive.html#google_releases_chrome_5_01

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 5.0.375.70 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。

【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠大阪のご案内
https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場
として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ
るってご参加ください。

  [日時] part 1 ＜セキュアコーディング概論・文字列＞
  　　　　2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)
  　　　 part 2 ＜整数・コードレビュー＞
  　　　　2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜)

  [会場] クリスタルタワー　20階　Ｅ会議室
         大阪市中央区城見1-2-27
         (MAP) http://www4.ocn.ne.jp/~crystalt/map.html

  [受講料] 無料

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ
          クトマネージャ、コードレビュアー、品質管理担当者、プログラ
          マ・エンジニアの教育担当者、等

■今週のひとくちメモ

○IANA が新しい WHOIS サーバをテスト公開

IANA では、現在の whois サーバ (whois.iana.org) に代わるシステム
を開発中です。新しい whois サーバ (new.whois.iana.org) がテスト
公開され、ユーザからのフィードバックを募集しています。

新しいサーバでは、以下の新しい機能が提供されています。

  - RPSL 形式の出力
  - 国際化ドメイン名対応
  - IP アドレス (IPv4, IPv6) や AS 番号の情報提供
  - 参照先 whois サーバの情報提供

参考文献 (日本語)

JPNICニュースレターNo.34
インターネット10分講座:WHOIS
http://www.nic.ad.jp/ja/newsletter/No34/0800.html

参考文献 (英語)

ICANN Blog
Try the new IANA WHOIS server
http://blog.icann.org/2010/05/test-iana-whois/

RIPE NCC
RPSL Info
http://www.ripe.net/ripencc/pub-services/db/rpsl/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-06-16号

<<< JPCERT/CC WEEKLY REPORT 2010-06-16 >>>

■06/06(日)〜06/12(土) のセキュリティ関連情報

目　次

【1】2010年6月 Microsoft セキュリティ情報について

【2】Microsoft Windows Help and Support Center に脆弱性

【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

【4】Google Chrome に複数の脆弱性

【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪参加者募集中

【今週のひとくちメモ】IANA が新しい WHOIS サーバをテスト公開

【1】2010年6月 Microsoft セキュリティ情報について

情報源

概要

関連文書 (日本語)

【2】Microsoft Windows Help and Support Center に脆弱性

情報源

概要

関連文書 (日本語)

【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【4】Google Chrome に複数の脆弱性

情報源

概要

関連文書 (英語)

【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪参加者募集中

情報源

概要

関連文書 (日本語)

■今週のひとくちメモ

○IANA が新しい WHOIS サーバをテスト公開

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

Weekly Report 2010-06-16号

<<< JPCERT/CC WEEKLY REPORT 2010-06-16 >>>

■06/06(日)〜06/12(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○IANA が新しい WHOIS サーバをテスト公開

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次