Microsoft Windows には、サムネイル画像の処理に起因するバッファオー
バーフローの脆弱性があります。結果として、遠隔の第三者が細工した
サムネイル画像を解析させることでユーザの権限で任意のコードを実行
する可能性があります。

2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策として、マイクロソフトは「Fix it」を公開しています。詳細に
ついては、マイクロソフトが提供する情報を参照してください。

【2】Microsoft Internet Explorer 8 に脆弱性

情報源

US-CERT Vulnerability Note VU#427980
Microsoft Internet Explorer 8 use-after-free vulnerability
http://www.kb.cert.org/vuls/id/427980

概要

Microsoft Internet Explorer 8 には、解放済みメモリを使用する脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザをクラッ
シュさせたり、ユーザの権限で任意のコードを実行したりする可能性が
あります。

対象となるバージョンは以下の通りです。

- Microsoft Internet Explorer 8

2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策として、Enhanced Mitigation Experience Toolkit (EMET) を利
用するなどの方法があります。詳細については、マイクロソフトが提供
する情報を参照してください。

【3】Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性

情報源

US-CERT Vulnerability Note VU#725596
Microsoft WMI Administrative Tools WBEMSingleView.ocx ActiveX control vulnerability
http://www.kb.cert.org/vuls/id/725596

DOE-CIRC Technical Bulletin T-522
Microsoft WMI Administrative Tools Object Viewer ActiveX Control Arbitrary Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-522.shtml

概要

Microsoft WMI Administrative Tools には脆弱性があります。結果と
して、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザ
の権限で任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- Microsoft WMI Administrative Tools

2011年1月12日現在、この問題に対する解決策は提供されていません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。

【4】Microsoft IIS FTP サーバに脆弱性

情報源

US-CERT Vulnerability Note VU#842372
Microsoft IIS FTP server memory corruption vulnerability
http://www.kb.cert.org/vuls/id/842372

概要

Microsoft IIS FTP サーバには、脆弱性があります。結果として、遠隔
の第三者が細工したリクエストを処理させることで、サービス運用妨害 
(DoS) 攻撃を行う可能性があります。なお、本脆弱性を使用した攻撃コー
ドが公開されています。

対象となるバージョンは以下の通りです。

- Microsoft IIS FTP 7.5

2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策としては、アクセスを制限するなどの方法があります。

【5】Mac OS X に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Mac OS X v10.6.6
http://www.us-cert.gov/current/archive/2011/01/07/archive.html#apple_releases_mac_os_x4

DOE-CIRC Technical Bulletin T-529
Apple Mac OS PackageKit Distribution Script Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-529.shtml

概要

Mac OS X および Mac OS X Server には、脆弱性があります。結果とし
て、遠隔の第三者が中間者攻撃 (man-in-the-middle attack) により、
任意のコードを実行したり、サービス運用妨害(DoS) 攻撃を行ったりす
る可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X 10.6 から 10.6.5 まで
- Apple Mac OS X Server 10.6 から 10.6.5 まで

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

【6】WordPress に脆弱性

情報源

US-CERT Current Activity Archive
WordPress.org has released WordPress 3.0.4
http://www.us-cert.gov/current/archive/2011/01/07/archive.html#wordpress_org_has_released_wordpress

概要

WordPress には、HTML の処理に起因する脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- WordPress 3.0.4 より前のバージョン

この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。

【7】PolyVision RoomWizard に脆弱性

情報源

US-CERT Vulnerability Note VU#870601
PolyVision RoomWizard insecurely stores Sync Connector Active Directory credentials and uses default administrative password
http://www.kb.cert.org/vuls/id/870601

概要

PolyVision RoomWizard の管理者インターフェースには、Sync
Connector が使う Active Directory のパスワードが漏えいする脆弱性
があります。結果として、遠隔の第三者が Active Directory の認証情
報を取得したり、本製品の設定を変更したりする可能性があります。

対象となるバージョンは以下の通りです。

- PolyVision RoomWizard ファームウェア 3.2.3

この問題は、ベンダが提供する修正済みのバージョンに RoomWizard の
ファームウェアを更新することで解決します。詳細については、ベンダ
が提供する情報を参照してください。

【8】C/C++ セキュアコーディングセミナー 2011＠札幌および @東京 part6 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2011 ＠札幌のご案内
https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

札幌を会場として 1月27日(木)、28日(金)に開催する 2日間コースのセ
ミナーでは、ひきつづき参加者を募集しています。受講料は無料です。
皆様のご参加をお待ちしています。

また、東京を会場にしたセミナーは、part6 ＜ROSE＞ の募集を開始し
ました。こちらもふるってご参加ください。

C/C++ セキュアコーディングセミナー2011＠札幌
  [日時] part1 ＜セキュアコーディング概論・文字列＞
         2011年01月27日(木)
           09:30 -       受付開始
           10:00 - 12:00 セキュアコーディング概論
           13:00 - 15:00 文字列
           15:15 - 17:15 演習(文字列)

         part2 ＜整数・コードレビュー＞
         2011年01月28日(金)
           09:10 -       受付開始
           09:30 - 12:00 整数
           13:00 - 15:00 演習(整数)
           15:15 - 17:15 コードレビュー

  [会場] ACU 1605中研修室
         札幌市中央区北4西5 アスティ45
         (MAP) http://www.acu-h.jp/koutsu_access/index.php

  [定員]　50名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者等


C/C++ セキュアコーディングセミナー2010＠東京 part6 ＜ROSE＞
  [日時]
         2011年02月24日(木) 13:30 - 18:15 (受付13:00-)
         2011年03月03日(木) 13:30 - 18:15 (受付13:00-)
         (両日とも同じ内容です。どちらか片方へご参加ください)

  [会場] JPCERTコーディネーションセンター会議室
         東京都千代田区神田錦町3-17 廣瀬ビル 11階
         (MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif

  [定員] 20名／回
         (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
         ジェクトマネージャ、コードレビュアー、品質管理担当者、
         プログラマ・エンジニアの教育担当者、等

■今週のひとくちメモ

○Thunderbird 3.0 のサポート終了

Thunderbird 3.0 のサポートは 2010年12月で終了しています。2010年
12月にリリースされた Thunderbird 3.0.11 が最後のバージョンとなり
ます。

Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応
状況や他アプリケーションとの連携などの確認を行い、早めに
Thunderbird 3.1 へ移行してください。

参考文献 (日本語)

Thunderbird
旧バージョンのダウンロード
http://mozilla.jp/thunderbird/download/older/

JPCERT/CC WEEKLY REPORT 2010-08-18
【今週のひとくちメモ】Thunderbird 3.0 のサポート終了
https://www.jpcert.or.jp/wr/2010/wr103101.html#Memo

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2011-01-13号

<<< JPCERT/CC WEEKLY REPORT 2011-01-13 >>>

■12/19(日)〜01/08(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Thunderbird 3.0 のサポート終了

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次