US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.11
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#mozilla_releases_firefox_3_64

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、機密情報を取得したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品は以下の通りです。

- Firefox 3.6.10 およびそれ以前
- Firefox 3.5.13 およびそれ以前
- Thunderbird 3.1.4 およびそれ以前
- Thunderbird 3.0.8 およびそれ以前
- SeaMonkey 2.0.8 およびそれ以前

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報

情報源

Japan Vulnerability Notes JVN#85599999
Explzh における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN85599999/index.html

Japan Vulnerability Notes JVN#68536660
Archive Decoder における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN68536660/index.html

Japan Vulnerability Notes JVN#71138390
Apsaly における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN71138390/index.html

Japan Vulnerability Notes JVN#48097065
TeraPad における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN48097065/index.html

Japan Vulnerability Notes JVN#89272705
Sleipnir および Grani における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN89272705/index.html

Japan Vulnerability Notes JVN#50610528
Sleipnir および Grani における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN50610528/index.html

Japan Vulnerability Notes JVN#07497935
複数の Yokka 提供製品における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN07497935/index.html

概要

JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ
ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。

以下の各ソフトウエアには、DLL もしくは実行ファイル読み込み時の検
索パスの問題に起因する脆弱性があります。結果として、遠隔の第三者
がプログラムを実行している権限で、任意のコードを実行する可能性が
あります。

対象となる製品およびバージョンは以下の通りです。

- Explzh Ver.5.67 およびそれ以前
- Archive Decoder Ver.1.23 およびそれ以前
- Apsaly Version 3.70 およびそれ以前
- TeraPad Ver.0.93 およびそれ以前
- Sleipnir 2.9.4 およびそれ以前
- Grani 4.3 およびそれ以前
- NoEditor ver1.33.1.1 およびそれ以前
- OuiEditor ver1.6.1.1 およびそれ以前
- UnEditor ver1.10.1.2 およびそれ以前
- DeuxEditor ver1.7.1.2 およびそれ以前
- SQLEditorXP ver3.14.1.2 およびそれ以前
- SQLEditorTE ver1.9.1.3 およびそれ以前
- SQLEditor8 ver3.8.1.2 およびそれ以前
- SQLEditorClassic ver1.8.1.3 およびそれ以前

この問題は、開発元が提供する修正済みのバージョンに各ソフトウエア
を更新することで解決します。

【3】Java for Mac OS X に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Java for Mac OS X 10.5 Update 8 and Java for Mac OS X 10.6 Update 3
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#apple_releases_java_for_mac

DOE-CIRC Technical Bulletin T-472
Mac OS X Java Command Injection Flaw in updateSharingD Lets Local Users Gain Elevated Privileges
http://www.doecirc.energy.gov/bulletins/t-472.shtml

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が細工した Java アプレットまたは Java アプリケーションを
実行させることで権限を昇格したり、任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Java for Mac OS X 10.6 Update 3 より前のバージョン
- Java for Mac OS X 10.5 Update 8 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については Apple が提供する
情報を参照してください。

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 7.0.517.41
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#google_releases_chrome_7_0

DOE-CIRC Technical Bulletin T-471
Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code
http://www.doecirc.energy.gov/bulletins/t-471.shtml

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 7.0.517.41 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。

【5】Adobe Shockwave Player に脆弱性

情報源

US-CERT Vulnerability Note VU#402231
Adobe Shockwave Player Director file rcsL chunk parsing vulnerability
http://www.kb.cert.org/vuls/id/402231

概要

Adobe Shockwave Player には脆弱性があります。結果として遠隔の第
三者が細工したコンテンツを閲覧させることで任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
なお、本脆弱性を使用した攻撃コードが公開されています。

対象となるバージョンは以下の通りです。

- Adobe Shockwave Player 11.5.8.612 およびそれ以前

2010年10月26日現在、この問題に対する解決策は提供されていません。

Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。

【6】RealNetworks RealPlayer に複数の脆弱性

情報源

US-CERT Current Activity Archive
RealNetworks Releases Security Update for RealPlayer Vulnerabilities
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#realnetworks_releases_security_update_for

DOE-CIRC Technical Bulletin T-467
RealPlayer Bugs Let Remote Users Execute Arbitrary Code
http://www.doecirc.energy.gov/bulletins/t-467.shtml

概要

RealNetworks RealPlayer には、複数の脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意
のコードを実行する可能性があります。

この問題は、RealNetworks が提供する修正済みのバージョンに、該当
する製品を更新することで解決します。詳細については、RealNetworks 
が提供する情報を参照してください。

【7】Internet Week 2010 のお知らせ

情報源

Internet Week 2010
https://internetweek.jp/

概要

2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて 
JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援
団体に加わるとともに、プログラムの企画・運営に協力しています。

参加登録については、以下の「参加申込」ページをご参照ください。割
引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで
となっています。

一日目の午後に行われるセッション S4 では、「あなたの会社の情報セ
キュリティ対応体制は大丈夫? 〜CSIRT入門〜」と題し、情報セキュリ
ティ対応体制の中核となるべきシーサート (CSIRT) の必要性・実例・
構築ノウハウなどをご紹介します。

【8】フィッシング対策セミナー開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー
http://www.antiphishing.jp/news/event/post_34.html

概要

日本においてもフィッシング詐欺事例の増加が報告されてきており、顧
客保護の観点からインターネット関連事業者、金融機関は、自社の顧客
に対するフィッシング行為が行われていないか、十分に注意を払う必要
があります。フィッシング対策協議会では、フィッシングの危険性や対
策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目
的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開
催する事となりました。

日時および場所：
  東京会場
    2010年11月17日（水）13:30-17:00 (開場13:00)
    TKP大手町カンファレンスセンター WESTホールA
    http://tkpotemachi.net/access/

  大阪会場
    2010年11月18日（木）13:30-17:00 (開場13:00)
    TKP新大阪会議室 Room1
    http://www.kashikaigishitsu.net/search/map/15/

  福岡（博多）会場
    2010年11月19日（金）13:30-17:00 (開場13:00)
    アーバンプレムコンファレンス コンファレンス ルームA
    http://www.ohi-kaigi.com/urbanprem_accessmap.html

【お申込に関して】
  参加費      ：無料(ただし、事前に参加申込みが必要)
  受付締切    ：2010年11月15日（月）（満席になり次第受付終了)
  参加申込先  ：E-mail：ap-seminar@mri.co.jp

  参加申込方法：参加を希望される会場（東京/大阪/福岡）、会社名、所属、役
  職、氏名をメールにてご連絡ください。

【9】C/C++ セキュアコーディングセミナー 2010 ＠東京 part4 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

東京を会場にしたセミナーでは、11月に開催する part4 の参加者を募集
しています。part4 でとりあげるトピックは「動的メモリ管理」です。
皆様のご参加をお待ちしています。

  [日時] part4 ＜動的メモリ管理＞
         2010年11月10日(水)
           13:00 -       受付開始
           13:30 - 16:00 動的メモリ管理 - 講義
           16:00 - 18:15 動的メモリ管理 - 演習

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者など

■今週のひとくちメモ

○マイクロソフトセキュリティインテリジェンスレポート第9版

マイクロソフトは、2010年上半期の脆弱性やマルウエア動向についてま
とめた、マイクロソフトセキュリティインテリジェンスレポートを公開
しました。セキュリティインテリジェンスレポートは、半年ごとに公開
されており、今回は第9版の公開となります。

今回のレポートでは、特にボットネットとその傾向について報告されて
います。マイクロソフトが提供する「悪意のあるソフトウェアの削除ツー
ル」による駆除情報では、他の国や地域と比較して日本の 1台あたりの
ボットの感染率は低くなっています。

また、オペレーティングシステムごとの感染率など、システム管理者に
とっても有益な情報が掲載されています。

レポート全文は英語のみでの公開となっていますが、要約版については
日本語でも提供されています。

参考文献 (日本語)

マイクロソフトセキュリティホーム
マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/security/contents/sir.mspx

参考文献 (英語)

Microsoft
Malware Protection Center
http://www.microsoft.com/security/portal/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-10-27号

<<< JPCERT/CC WEEKLY REPORT 2010-10-27 >>>

■10/17(日)〜10/23(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○マイクロソフトセキュリティインテリジェンスレポート 第9版

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次

○マイクロソフトセキュリティインテリジェンスレポート第9版