US-CERT Current Activity Archive
Firefox 3.5 and 3.6 Vulnerability
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#firefox_3_5_and_3

DOE-CIRC Technical Bulletin T-476
Critical vulnerability in Firefox 3.5 and Firefox 3.6
http://www.doecirc.energy.gov/bulletins/t-476.shtml

概要

Mozilla 製品群には、バッファオーバーフローの脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行する可能性があります。
なお、本脆弱性を使用した攻撃が確認されています。

対象となる製品は以下の通りです。

- Firefox 3.6.11 およびそれ以前
- Firefox 3.5.14 およびそれ以前
- Thunderbird 3.1.5 およびそれ以前
- Thunderbird 3.0.9 およびそれ以前
- SeaMonkey 2.0.9 およびそれ以前

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

【2】Adobe Flash に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Player, Reader, and Acrobat
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_bulletin_for10

US-CERT Vulnerability Note VU#298081
Adobe Flash code execution vulnerability
http://www.kb.cert.org/vuls/id/298081

DOE-CIRC Technical Bulletin T-477
Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-477.shtml

概要

Adobe Flash には、脆弱性があります。結果として、遠隔の第三者が細
工した Flash コンテンツを埋め込んだ文書を閲覧させることで、任意
のコードを実行する可能性があります。なお、Adobe によると、本脆弱
性を使用した攻撃が確認されています。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 10.1.85.3 およびそれ以前の Windows 版、
  Macintosh 版、Linux 版、Solaris 版
- Adobe Flash Player 10.1.95.2 およびそれ以前の Android 版
- Adobe Reader 9.4 およびそれ以前の Windows 版、Macintosh 版、
  UNIX 版
- Adobe Acrobat 9.4 およびそれ以前の Windows 版、Macintosh 版

なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を
受ける可能性があります。

2010年11月2日現在、この問題に対する解決策は提供されていません。

この問題は、修正済みのバージョンに該当する製品を更新することで解
決します。なお、Adobe Flash Player の修正済みのバージョンは 2010 
年11月9日 (米国時間) までに、Adobe Reader および Acrobat の修正
済みのバージョンは 2010年11月15日の週に公開される予定です。対象
製品の回避策などの詳細については、Adobe が提供する情報を参照して
ください。

【3】glibc に権限昇格の脆弱性

情報源

US-CERT Vulnerability Note VU#537223
GNU C library dynamic linker expands $ORIGIN in setuid library search path
http://www.kb.cert.org/vuls/id/537223

概要

glibc には、権限昇格の脆弱性があります。結果として、ローカルユー
ザが root 権限を取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに glibc を更新することで解決します。詳細については、
各ベンダや配布元が提供する情報を参照してください。

【4】Linux カーネルに権限昇格の脆弱性

情報源

US-CERT Vulnerability Note VU#362983
Linux kernel RDS protocol vulnerability
http://www.kb.cert.org/vuls/id/362983

概要

Linux カーネルの RDS プロトコルの実装には、権限昇格の脆弱性があ
ります。結果として、ローカルユーザが root 権限を取得する可能性が
あります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、各ベンダや配布元が提供する情報を参照してください。

【5】「Adobe Shockwave Player に脆弱性」に関する追加情報

情報源

US-CERT Current Activity Archive
Adobe Releases Security Update for Shockwave Player
http://www.us-cert.gov/current/archive/2010/10/29/archive.html#adobe_releases_security_update_for3

概要

JPCERT/CC WEEKLY REPORT 2010-10-27 号【5】で紹介した「Adobe 
Shockwave Player に脆弱性」に関する追加情報です。

Adobe は解決策としてセキュリティアップデートを公開しました。詳細
については Adobe が提供する情報を参照してください。

【6】Active! mail 6 に HTTP ヘッダインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#72541530
Active! mail 6 における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN72541530/index.html

概要

トランスウエアの Web メール Active! mail 6 には、HTTP ヘッダイン
ジェクションの脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で偽の情報を表示したり、任意のスクリプトを実行したり
する可能性があります。

対象となるバージョンは以下の通りです。

- Active! mail 6 Build 6.40.010047750 およびそれ以前

この問題は、トランスウエアが提供する修正済みのバージョンに、
Active! mail 6 を更新することで解決します。

【7】Internet Week 2010 のお知らせ

情報源

Internet Week 2010
https://internetweek.jp/

概要

2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて 
JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援
団体に加わるとともに、プログラムの企画・運営に協力しています。

参加登録については、以下の「参加申込」ページをご参照ください。割
引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで
となっています。

3日目には IP Meeting 2010 が開催されます。例年のとおり、インター
ネットをめぐるこの一年の動向を、様々な観点から振り返ります。
JPCERT/CC からは、「2010年セキュリティ事件簿」と題し、インターネッ
トセキュリティの問題について今年を象徴するトピックをご紹介します。

【8】フィッシング対策セミナー開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー
http://www.antiphishing.jp/news/event/post_34.html

概要

日本においてもフィッシング詐欺事例の増加が報告されてきており、顧
客保護の観点からインターネット関連事業者、金融機関は、自社の顧客
に対するフィッシング行為が行われていないか、十分に注意を払う必要
があります。フィッシング対策協議会では、フィッシングの危険性や対
策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目
的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開
催する事となりました。

日時および場所：
  東京会場
    2010年11月17日（水）13:30-17:00 (開場13:00)
    TKP大手町カンファレンスセンター WESTホールA
    http://tkpotemachi.net/access/

  大阪会場
    2010年11月18日（木）13:30-17:00 (開場13:00)
    TKP新大阪会議室 Room1
    http://www.kashikaigishitsu.net/search/map/15/

  福岡（博多）会場
    2010年11月19日（金）13:30-17:00 (開場13:00)
    アーバンプレムコンファレンス コンファレンス ルームA
    http://www.ohi-kaigi.com/urbanprem_accessmap.html

【お申込に関して】
  参加費      ：無料(ただし、事前に参加申込みが必要)
  受付締切    ：2010年11月15日（月）（満席になり次第受付終了)
  参加申込先  ：E-mail：ap-seminar@mri.co.jp

  参加申込方法：参加を希望される会場（東京/大阪/福岡）、会社名、所属、役
  職、氏名をメールにてご連絡ください。

【9】C/C++ セキュアコーディングセミナー 2010 ＠東京 part4 開催せまる

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

東京を会場にしたセミナー part4「動的メモリ管理」の開催まで残り一
週間となりました。ひきつづき参加申し込みを受け付けております。皆
様奮ってご参加ください。

  [日時] part4 ＜動的メモリ管理＞
         2010年11月10日(水)
           13:00 -       受付開始
           13:30 - 16:00 動的メモリ管理 - 講義
           16:00 - 18:15 動的メモリ管理 - 演習

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等

■今週のひとくちメモ

○導入済みソフトウエアのアップデートに注意

JPCERT/CC には、Web 経由での攻撃の情報が多数寄せられています。こ
れまでのように攻撃者によって誘導される怪しい Web サイト経由の攻
撃だけではなく、ニュースサイトや一般企業の正規サイトを経由してマ
ルウエアを配布する攻撃も発生しています。

これらの攻撃では、ブラウザのアドオンが更新されていないことや、古
いバージョンの Java がインストールされたまま放置されているなど、
管理が行き届かない PC の既知の脆弱性を使用してマルウエアの感染活
動が行われています。

セキュリティ製品を導入するだけでなく、利用する PC のソフトウエア
を最新のものにしておくことが重要です。Java、Flash Player、Adobe
Reader などのアップデートは頻繁に行われています。あらためて確認
することをおすすめします。

参考文献 (日本語)

java.com
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp

Adobe
Adobe Flash Player
http://get.adobe.com/jp/flashplayer/

Adobe
Adobe Readerの最新バージョンおよび旧バージョンのダウンロード
http://get.adobe.com/jp/reader/otherversions/

参考文献 (英語)

Microsoft Malware Protection Center
Have you checked the Java?
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-11-04号

<<< JPCERT/CC WEEKLY REPORT 2010-11-04 >>>

■10/24(日)〜10/30(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○導入済みソフトウエアのアップデートに注意

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次