<<< JPCERT/CC WEEKLY REPORT 2011-02-16 >>>

■02/06(日)〜02/12(土) のセキュリティ関連情報

目　次

【1】2011年2月 Microsoft セキュリティ情報について

【2】Adobe の複数の製品に脆弱性

【3】Oracle Java に脆弱性

【4】Google Chrome に複数の脆弱性

【5】RealNetworks RealPlayer に脆弱性

【6】電子メールセキュリティーセミナー in 熊本

【7】C/C++ セキュアコーディングセミナー 2010＠東京 part6 (3月3日) 参加者募集中

【今週のひとくちメモ】Windows 7 SP1 および 2008 R2 SP1 のリリースについて

【1】2011年2月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-039A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-039A.html

US-CERT Cyber Security Alert SA11-039A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-039A.html

概要

Microsoft Windows、Internet Explorer、Office などの製品および関
連コンポーネントには複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。

本セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT
2010-12-22 号【2】で紹介した「Microsoft Internet Explorer に脆弱
性」に対する解決策も含まれます。

マイクロソフトは、この脆弱性の回避策として「Fix it」を適用してい
る場合には、その「Fix it」をアンインストールしてセキュリティ更新
プログラムを適用することを推奨しています。

関連文書 (日本語)

2011 年 2 月のセキュリティ情報
https://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspx

マイクロソフト セキュリティ アドバイザリー
Internet Explorer の脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/2488013/ja-jp

Japan Vulnerability Notes JVNTA11-039A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-039A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性の修正について(MS11-003)
http://www.ipa.go.jp/security/ciadr/vul/20110209-ms11-003.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-003,004,005,006,007,008,009,010,011,012,013,014)
https://www.npa.go.jp/cyberpolice/topics/?seq=5686

JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0003
2011年2月 Microsoft セキュリティ情報（緊急 3件含）に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110003.txt

JPCERT/CC WEEKLY REPORT 2010-12-22 号
【2】Microsoft Internet Explorer に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104901.html#2

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Vulnerability Note VU#812969
Adobe Flash memory corruption vulnerability
http://www.kb.cert.org/vuls/id/812969

US-CERT Vulnerability Note VU#189929
Adobe Shockwave 11.5.9.615 contains multiple memory corruption vulnerabilities
http://www.kb.cert.org/vuls/id/189929

概要

Adobe Acrobat、Reader、Flash Player、Shockwave、ColdFusion には、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウ
ザ上で任意のスクリプトを実行したりする可能性があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。なお、Adobe によると、UNIX 版 Adobe 
Reader の修正済みのバージョンは 2011年2月28日の週に公開される予
定です。

詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe TechNote APSB11-01
APSB11-01:Shockwave Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/891/cpsid_89114.html

Adobe TechNote APSB11-02
APSB11-02:Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/891/cpsid_89115.html

Adobe TechNote APSB11-03
APSB11-03：Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/890/cpsid_89065.html

Adobe TechNote APSB11-04
APSB11-04:ColdFusion用セキュリティアップデート
http://kb2.adobe.com/jp/cps/891/cpsid_89127.html

Japan Vulnerability Notes JVNVU#812969
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU812969/index.html

Japan Vulnerability Notes JVNVU#189929
Adobe Shockwave Player に複数の脆弱性
https://jvn.jp/cert/JVNVU189929/index.html

JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0004
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110004.txt

JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0005
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110005.txt

【3】Oracle Java に脆弱性

情報源

US-CERT Current Activity Archive
Oracle Releases Security Alert for Java Runtime Environment
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#oracle_releases_security_alert_for1

概要

Oracle Java には、脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本脆弱
性を使用した攻撃コードが公開されています。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 23 およびそれ以前
- JDK/JRE 5.0 Update 27 およびそれ以前
- SDK/JRE 1.4.2_29 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす
でにサポートが終了しています。最新の Java SE またはサポートのあ
る製品への移行をお勧めします。

関連文書 (英語)

Oracle Technology Network
Oracle Security Alert for CVE-2010-4476
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html

The Oracle Global Product Security Blog
Security Alert For CVE-2010-4476 Released
http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.html

Oracle Technology Network
Critical Patch Updates and Security Alerts
http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Red Hat Security Advisory RHSA-2011:0214-1
Moderate: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2011-0214.html

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 9.0.597.95
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#google_releases_chrome_9_01

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 9.0.597.94 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google
Chrome を更新することで解決します。

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_08.html

【5】RealNetworks RealPlayer に脆弱性

情報源

US-CERT Current Activity Archive
RealNetworks, Inc. Releases Security Updates for RealPlayer
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#realnetworks_inc_releases_security_updates

概要

RealNetworks RealPlayer には、脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

この問題は、RealNetworks が提供する修正済みのバージョンに
RealPlayer を更新することで解決します。詳細については、
RealNetworks が提供する情報を参照してください。

関連文書 (日本語)

RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/02082011_player/ja/

【6】電子メールセキュリティーセミナー in 熊本

情報源

IAJapan 迷惑メール対策委員会
電子メールセキュリティーセミナー in 熊本
https://www.iajapan.org/anti_spam/event/2011/kumamoto0308/index.html

概要

3月8日、財団法人インターネット協会迷惑メール対策委員会の「電子メー
ルセキュリティーセミナー in 熊本」が開催されます。迷惑メール対策
の基礎編と最新の技術動向に加え、フィッシング対策を含めて、電子メー
ルを利用する上でのセキュリティ全般について紹介します。

JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、
2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ
ンについて紹介します。

参加費は無料です。参加申し込みは 3月4日までとなっていますので、お
早めにお申し込みください。

【7】C/C++ セキュアコーディングセミナー 2010＠東京 part6 (3月3日) 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

「C/C++ セキュアコーディングセミナー2010＠東京 part6 ＜ROSE＞」は、
同一内容にて 2月24日と 3月3日の 2回開催します。part6 では、ソース
コード解析プラットフォーム ROSE を使って開発された CERT C セキュ
アコーディングルールのチェッカーを紹介するとともに、実機を使った
ハンズオンを実施します。参加の際には VMware あるいは VirtualBox
をインストールしたノート PC をご持参ください。

2月24日の回には、すでに定員を越える申し込みをいただいていますが、
3月3日の回については、ひきつづき参加申し込み受付中です。

C/C++ セキュアコーディングセミナー2010＠東京 part6 ＜ROSE＞
  [日時]
         2011年02月24日(木) 13:30 - 18:15 (受付13:00-)
         2011年03月03日(木) 13:30 - 18:15 (受付13:00-)

  [会場] JPCERTコーディネーションセンター会議室
         東京都千代田区神田錦町3-17 廣瀬ビル 11階
         (MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif

  [定員] 20名／回
         (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
         ジェクトマネージャ、コードレビュアー、品質管理担当者、
         プログラマ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html

■今週のひとくちメモ

○Windows 7 SP1 および 2008 R2 SP1 のリリースについて

マイクロソフトより、Windows 7 SP1 および 2008 SP1 のリリースに関
する案内が出ています。Windows Update などでこれまでに提供された更
新プログラムが含まれているほか、2008 R2 では機能追加も行われます。

また、Windows Update および Auto Update からの SP1 のダウンロード
を一時的に防止する Service Pack Blocker Tool Kit も用意されており、
Windows 7 SP1 および Windows Server 2008 R2 SP1 のブロックができ
ます。

利用環境での動作検証や適用計画などの準備を進めてください。

参考文献 (日本語)

Microsoft
Microsoft Windows 7 Service Pack 1
http://www.microsoft.com/japan/windows/windows-7/sp1/default.mspx

Microsoft
Windows Server 2008 R2 Service Pack 1 および Windows 7 Service Pack 1 に関して
http://www.microsoft.com/japan/windowsserver2008/sp1.mspx

■JPCERT/CC からのお願い