JPCERT-WR-2010-4501

JPCERT/CC

2010-11-25

<<< JPCERT/CC WEEKLY REPORT 2010-11-25 >>>

■11/14(日)〜11/20(土) のセキュリティ関連情報

目　次

【1】「Adobe Flash に脆弱性」に関する追加情報

【2】Apple Safari に複数の脆弱性

【3】OpenSSL にバッファオーバーフローの脆弱性

【4】PGP Desktop にデータインジェクションの脆弱性

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part5 参加者募集中

【今週のひとくちメモ】Adobe Reader のサポート期間に注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104501.txt
https://www.jpcert.or.jp/wr/2010/wr104501.xml

【1】「Adobe Flash に脆弱性」に関する追加情報

情報源

US-CERT Current Activity Archive
Adobe Releases Security Updates for Reader and Acrobat
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#adobe_releases_security_updates_for6

概要

JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe 
Flash に脆弱性」に関する追加情報です。

Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを公
開しました。なお、UNIX 版 Adobe Reader の修正済みのバージョンは
2010年11月30日に公開される予定です。詳細については Adobe が提供
する情報を参照してください。

【2】Apple Safari に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Safari 5.0.3 and 4.1.3
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#apple_releases_safari_5_03

概要

Apple Safari には、複数の脆弱性があります。結果として、遠隔の第
三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Apple Safari 5.0.3 より前のバージョン
- Apple Safari (Mac OS X 版) 4.1.3 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Safari を更新
することで解決します。詳細については、Apple が提供する情報を参照
してください。

【3】OpenSSL にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity Archive
OpenSSL Releases OpenSSL 1.0.0b
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#openssl_releases_openssl_1_0

概要

OpenSSL には、バッファオーバーフローの脆弱性があります。結果とし
て、マルチスレッド機能とキャッシュ機能を有効にしている TLS サー
バを使用している場合、遠隔の第三者が細工したデータを処理させるこ
とで、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 0.9.8f から 0.9.8o、1.0.0、1.0.0a

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。

【4】PGP Desktop にデータインジェクションの脆弱性

情報源

US-CERT Vulnerability Note VU#300785
PGP Desktop unsigned data injection vulnerability
http://www.kb.cert.org/vuls/id/300785

概要

シマンテックが提供する PGP Desktop には、データインジェクション
の脆弱性があります。結果として、遠隔の第三者が細工したメッセージ
を PGP 署名された正規メッセージとして表示させる可能性があります。

対象となるバージョンは以下の通りです。

- PGP Desktop 10.0.3 およびそれ以前
- PGP Desktop 10.1.0

この問題は、シマンテックが提供する修正済みのバージョンに PGP
Desktop を更新することで解決します。詳細については、シマンテック
が提供する情報を参照してください。

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part5 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

東京を会場にしたセミナーでは、12月に開催する part5 の参加者を募
集中です。part5 でとりあげるトピックは書式指定文字列です。皆様の
ご参加をお待ちしています。

  [日時] part5 ＜書式指定文字列＞
         2010年12月15日(水)
           13:00 -       受付開始
           13:30 - 16:00 書式指定文字列 - 講義
           16:00 - 18:15 書式指定文字列 - 演習

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者など

■今週のひとくちメモ

○Adobe Reader のサポート期間に注意

Adobe が提供する Adobe Reader 8.x のサポート期間は 2011年の11月
までの予定です。サポート期間終了後は、セキュリティアップデートな
どのソフトウエアの修正は提供されません。Adobe Reader 8.x を利用
している方は、計画的な移行をお勧めします。

また、2010年11月に Adobe から新しいバージョン Adobe Reader X が
公開されました。このバージョンでは、保護モード (サンドボックス機
能) が実装されています。近年多発している PDF 経由の攻撃の影響を
軽減することが期待できます。

アップデート時に、今まで無効にしていた JavaScript 実行機能やマル
チメディア関連機能などが有効と設定される場合があります。アップデー
ト作業時には、各種設定項目の再確認を忘れないようにしましょう。

参考文献 (英語)

Adobe Secure Software Engineering Team (ASSET) Blog
Adobe Reader X is Here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

Adobe products and Enterprise Technical Support
periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-11-25号

<<< JPCERT/CC WEEKLY REPORT 2010-11-25 >>>

■11/14(日)〜11/20(土) のセキュリティ関連情報

目　次

【1】「Adobe Flash に脆弱性」に関する追加情報

【2】Apple Safari に複数の脆弱性

【3】OpenSSL にバッファオーバーフローの脆弱性

【4】PGP Desktop にデータインジェクションの脆弱性

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part5 参加者募集中

【今週のひとくちメモ】Adobe Reader のサポート期間に注意

【1】「Adobe Flash に脆弱性」に関する追加情報

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【2】Apple Safari に複数の脆弱性

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【3】OpenSSL にバッファオーバーフローの脆弱性

情報源

概要

関連文書 (英語)

【4】PGP Desktop にデータインジェクションの脆弱性

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【5】C/C++ セキュアコーディングセミナー 2010 ＠東京 part5 参加者募集中

情報源

概要

関連文書 (日本語)

■今週のひとくちメモ

○Adobe Reader のサポート期間に注意

参考文献 (英語)

■JPCERT/CC からのお願い

Weekly Report 2010-11-25号

<<< JPCERT/CC WEEKLY REPORT 2010-11-25 >>>

■11/14(日)〜11/20(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Adobe Reader のサポート期間に注意

参考文献 (英語)

■JPCERT/CC からのお願い

目　次