<<< JPCERT/CC WEEKLY REPORT 2011-04-20 >>>

■04/10(日)〜04/16(土) のセキュリティ関連情報

目　次

【1】2011年4月 Microsoft セキュリティ情報について

【2】Adobe Flash Player に脆弱性

【3】Apple 製品群に複数の脆弱性

【4】Google Chrome に複数の脆弱性

【5】ヤマハルーターシリーズに脆弱性

【今週のひとくちメモ】Adobe Flash プラグインの更新に注意

【1】2011年4月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-102A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-102A.html

US-CERT Cyber Security Alert SA11-102A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-102A.html

概要

Microsoft Windows、Office、Internet Explorer、Visual Studio など
の製品および関連コンポーネントには複数の脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

本セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2011-
01-13 号で紹介した 4件の脆弱性に対する解決策も含まれます。

関連文書 (日本語)

2011 年 4 月のセキュリティ情報
https://www.microsoft.com/japan/technet/security/bulletin/ms11-apr.mspx

マイクロソフト セキュリティ アドバイザリ (2501584)
Microsoft Office 向けの Microsoft Office ファイル検証機能の公開
http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx

Japan Vulnerability Notes JVNTA11-102A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-102A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性の修正について(MS11-018)
http://www.ipa.go.jp/security/ciadr/vul/20110413-ms11-018.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-018,019,020,021,022,023,024,025,026,027,028,029,030,031,032,033,034)
https://www.npa.go.jp/cyberpolice/topics/?seq=6216

JPCERT/CC Alert 2011-04-13 JPCERT-AT-2011-0008
2011年4月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110008.txt

JPCERT/CC WEEKLY REPORT 2011-01-13 号
【1】Microsoft Windows にバッファオーバーフローの脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#1

JPCERT/CC WEEKLY REPORT 2011-01-13 号
【2】Microsoft Internet Explorer 8 に脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#2

JPCERT/CC WEEKLY REPORT 2011-01-13 号
【3】Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#3

JPCERT/CC WEEKLY REPORT 2011-01-13 号
【4】Microsoft IIS FTP サーバに脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#4

【2】Adobe Flash Player に脆弱性

情報源

US-CERT Vulnerability Note VU#230057
Adobe Flash Player contains unspecified code execution vulnerability
http://www.kb.cert.org/vuls/id/230057

概要

Adobe Flash Player には、脆弱性があります。結果として、遠隔の第三
者が細工した Flash コンテンツを閲覧させることで任意のコードを実行
する可能性があります。なお、本脆弱性を使用した攻撃活動が確認され
ています。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 10.2.153.1 およびそれ以前の Windows 版、
  Macintosh 版、Linux 版、Solaris 版
- Adobe Flash Player 10.2.154.25 およびそれ以前の Google Chrome 版
- Adobe Flash Player 10.2.156.12 およびそれ以前の Android 版
- Adobe Reader X (10.0.2) およびそれ以前の 10.x, 9.x の Windows 
  版、Macintosh 版に同梱の Authplay.dll コンポーネント
- Adobe Acrobat X (10.0.2) およびそれ以前の 10.x, 9.x の Windows 
  版、Macintosh 版に同梱の Authplay.dll コンポーネント

なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を受
ける可能性があります。

ただし、以下の製品は影響を受けないとのことです。

- UNIX 版 Adobe Reader 9.x
- Android 版 Adobe Reader
- Adobe Reader 8.x
- Adobe Acrobat 8.x

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。なお、Windows、Macintosh 版の Adobe
Acrobat X (10.0.2) 以前の 10.x および 9.x、Macintosh 版の Adobe
Reader X (10.0.1)、および Windows、Macintosh 版の Adobe Reader
9.4.3 以前の 9.x のアップデートは 2011年4月25日の週が終わるまでに、
また、Windows 版の Adobe Reader X のアップデートは、2011年6月14日
に公開予定とのことです。

詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe TechNote APSA11-02
APSA11-02 : Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/898/cpsid_89871.html

Adobe TechNote APSB11-07
APSB11-07: Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/899/cpsid_89964.html

Japan Vulnerability Notes JVNVU#230057
Adobe Flash Player に脆弱性
https://jvn.jp/cert/JVNVU230057/index.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6248

【3】Apple 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Security Updates
http://www.us-cert.gov/current/archive/2011/04/15/archive.html#apple_releases_safari_5_05

概要

Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
り、機密情報を取得したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple iOS 4.3.2 より前のバージョン
- iPhone 4 (CDMA) 向けの Apple iOS 4.2.5 から 4.2.6 まで
- Apple Safari 5.0.5 より前のバージョン
- Apple Mac OS X v10.6.7
- Apple Mac OS X Server v10.6.7
- Apple Mac OS X v10.5.8
- Apple Mac OS X Server v10.5.8

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
		

関連文書 (日本語)

Apple Download
セキュリティアップデート 2011-002 (Leopard デスクトップシステム用)
http://support.apple.com/kb/DL1374?viewlocale=ja_JP

Apple Download
セキュリティアップデート 2011-002 (Snow Leopard デスクトップおよびサーバシステム用)
http://support.apple.com/kb/DL1376?viewlocale=ja_JP

Apple Download
セキュリティアップデート 2011-002 (Leopard サーバシステム用)
http://support.apple.com/kb/DL1375?viewlocale=ja_JP

Apple Download
iOS 4.3.2 ソフトウェア・アップデート
http://support.apple.com/kb/DL1358?viewlocale=ja_JP

Apple Download
Safari 5.0.5
http://support.apple.com/kb/DL1070?viewlocale=ja_JP

Japan Vulnerability Notes JVNVU#805814
Apple iOS 4.3 系における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU805814/index.html

Japan Vulnerability Notes JVNVU#597782
Apple iOS 4.2 系における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU597782/index.html

Japan Vulnerability Notes JVNVU#658892
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU658892/index.html

Japan Vulnerability Notes JVNVU#314158
Apple Mac OS X における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU314158/index.html

関連文書 (英語)

Apple Support HT4606
About the security content of iOS 4.3.2 Software Update
http://support.apple.com/kb/HT4606?viewlocale=en_US

Apple Support HT4607
About the security content of iOS 4.2.7 Software Update for iPhone
http://support.apple.com/kb/HT4607?viewlocale=en_US

Apple Support HT4596
About the security content of Safari 5.0.5
http://support.apple.com/kb/HT4596?viewlocale=en_US

Apple Support HT4608
About Security Update 2011-002
http://support.apple.com/kb/HT4608?viewlocale=en_US

【4】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 10.0.648.205
http://www.us-cert.gov/current/archive/2011/04/15/archive.html#google_releases_chrome_10_04

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 10.0.648.205 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに、Google
Chrome を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/04/stable-channel-update.html

【5】ヤマハルーターシリーズに脆弱性

情報源

Japan Vulnerability Notes JVN#55714408
ヤマハルーターシリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN55714408/index.html

概要

ヤマハルーターシリーズには、IP パケットの処理に起因する脆弱性があ
ります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行
う可能性があります。

対象となる機種は多岐にわたります。詳細については、ベンダの情報を
参照してください。

この問題は、ベンダが提供する修正済みのバージョンにファームウェア
を更新することで解決します。なお、本脆弱性への対策を行ったファー
ムウェアは順次リリースされるとのことです。

関連文書 (日本語)

ヤマハルーターシリーズのセキュリティに関するFAQ
IPの実装におけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html

独立行政法人 情報処理推進機構 セキュリティセンター
「ヤマハルーターシリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/about/press/20110411.html

■今週のひとくちメモ

○Adobe Flash プラグインの更新に注意

Adobe Flash は、Word や Excel などのドキュメントに埋め込むことが
可能です。このような Windows のアプリケーションでは Internet
Explorer (IE) のプラグインを利用して Flash を表示しています。
 
デフォルト Web ブラウザとして Firefox や Chrome、Opera などを使用
して、正しく Flash プラグインを更新していても、IE 用の Flash プラ
グインは別途更新が必要です。IE 用のプラグインの更新を怠っていると、
Flash コンテンツを埋め込んだドキュメントを使った攻撃の影響を受け
ます。実際に JPCERT/CC では、細工された Flash コンテンツを Excel
や Word ファイルに埋め込んだ攻撃が行われていることを確認していま
す。

 
Flash プラグインの更新作業を適切に行うように注意してください。

参考文献 (日本語)

Adobe Flash Player
Version Information
http://www.adobe.com/jp/software/flash/about/

■JPCERT/CC からのお願い