<<< JPCERT/CC WEEKLY REPORT 2011-06-15 >>>

■06/05(日)〜06/11(土) のセキュリティ関連情報

目　次

【1】Adobe の複数の製品に脆弱性

【2】Oracle Java に複数の脆弱性

【3】Google Chrome に複数の脆弱性

【4】Cisco IOS に脆弱性

【5】Autonomy KeyView IDOL に複数の脆弱性

【6】HP OpenView Storage Data Protector に脆弱性

【今週のひとくちメモ】Microsoft Standalone System Sweeper のベータ提供

【1】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Update for Flash Player
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_releases_security_update_for7

US-CERT Current Activity Archive
Adobe Prenotification Security Advisory for Adobe Reader and Acrobat
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_prenotification_security_advisory_for1

概要

Adobe Acrobat、Reader、Flash Player には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラ
ウザ上で任意のスクリプトを実行したりする可能性があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。
		

関連文書 (日本語)

Adobe TechNote APSB11-13
APSB11-13: Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/906/cpsid_90656.html

Adobe TechNote APSB11-16
APSB11-16 : Adobe Reader および Acrobat に関するセキュリティ情報の事前通知
http://kb2.adobe.com/jp/cps/907/cpsid_90735.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6605

関連文書 (英語)

Adobe Security bulletin
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-18.html

【2】Oracle Java に複数の脆弱性

情報源

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for June 2011
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#oracle_issues_pre_release_announcement3

DOE-CIRC Technical Bulletin T-641
Oracle Java SE Critical Patch Update Advisory - June 2011
http://www.doecirc.energy.gov/bulletins/t-641.shtml

概要

Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 25 およびそれ以前
- JDK/JRE 5.0 Update 29 およびそれ以前
- SDK/JRE 1.4.2_31 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす
でにサポートが終了しています。最新の Java SE またはサポートのあ
る製品への移行をお勧めします。
		

関連文書 (日本語)

Japan Vulnerability Notes JVN#29212182
Java Web Start におけるポリシーファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN29212182/index.html

Japan Vulnerability Notes JVN#09206238
Java Web Start における設定ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN09206238/index.html

Japan Vulnerability Notes JVN#18680611
Java Web Start における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN18680611/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
「Java Web Start」における3件のセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/about/press/20110610.html

JPCERT/CC Alert 2011-06-08 JPCERT-AT-2011-0015
Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2011/at110015.txt

関連文書 (英語)

Oracle
Oracle Java SE Critical Patch Update Advisory - June 2011
http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html

The Oracle Software Security Assurance Blog
June 2011 Java SE Critical Patch Update Released
http://blogs.oracle.com/security/entry/june_2011_java_se_critical

Red Hat Security Advisory
Critical: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2011-0856.html

【3】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Chrome Releases 12.0.742.91
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#google_chrome_releases_12_0

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 12.0.742.91 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/06/chrome-stable-release.html

【4】Cisco IOS に脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on Cisco RTP Handling
http://www.cert.fi/en/reports/2011/vulnerability237997.html

概要

Cisco IOS には、Real-time Transport Protocol (RTP) パケットの処
理に起因する脆弱性があります。結果として、遠隔の第三者が細工した
パケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能
性があります。

対象となるバージョンは以下の通りです。

- DSPware ファームウェア 9.4.14 を含む Cisco IOS 12.4(15)Tx より
  前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を
更新することで解決します。詳細については、Cisco が提供する情報を
参照してください。
		

関連文書 (英語)

Cisco Security Intelligence Operations
Cisco IOS Real-time Transport Protocol Packet Processing Denial of Service Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=23379

【5】Autonomy KeyView IDOL に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#126159
Autonomy Keyview IDOL contains multiple vulnerabilities in file parsers
http://www.kb.cert.org/vuls/id/126159

概要

Autonomy KeyView IDOL には、ファイルのデコード処理に複数の脆弱性
があります。結果として、遠隔の第三者が細工したファイルを開かせる
ことでサービス運用妨害 (DoS) 攻撃を行ったり、ユーザの権限で任意
のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Autonomy KeyView IDOL 10.13.1 より前のバージョン

この問題は、Autonomy が提供する修正済みのバージョンに Autonomy 
KeyView IDOL を更新することで解決します。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#126159
Autonomy KeyView IDOL に複数の脆弱性
https://jvn.jp/cert/JVNVU126159/index.html

関連文書 (英語)

Autonomy
KeyView IDOL & Connectors
http://www.autonomy.com/content/Products/idol-modules-connectors/index.en.html

Autonomy
Customer Support Site
https://customers.autonomy.com/

【6】HP OpenView Storage Data Protector に脆弱性

情報源

DOE-CIRC Technical Bulletin T-643
HP OpenView Storage Data Protector Unspecified Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-643.shtml

概要

HP OpenView Storage Data Protector には、脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- HP OpenView Storage Data Protector 6.0、6.10、6.11

この問題は、HP が提供するパッチを HP OpenView Storage Data 
Protector に適用することで解決します。詳細については、HP が提供
する情報を参照してください。
		

関連文書 (英語)

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02712867
HPSBMA02631 SSRT100324 rev.1 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02712867

■今週のひとくちメモ

○Microsoft Standalone System Sweeper のベータ提供

マイクロソフトは、CD/DVD や USB メモリから起動してウイルススキャ
ンや削除を行うツール Microsoft Standalone System Sweeper のベータ
提供を行っています。本ツールは PC の起動ディスクの OS に依存せず、
ウイルス感染した PC の復旧作業を行うことができます。

参考文献 (英語)

Microsoft Connect
Microsoft Standalone System Sweeper Beta
https://connect.microsoft.com/systemsweeper

■JPCERT/CC からのお願い