JPCERT コーディネーションセンター

Weekly Report 2011-11-16号

JPCERT-WR-2011-4401
JPCERT/CC
2011-11-16

<<< JPCERT/CC WEEKLY REPORT 2011-11-16 >>>

■11/06(日)〜11/12(土) のセキュリティ関連情報

目 次

【1】2011年11月 Microsoft セキュリティ情報について

【2】Adobe の複数の製品に脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】不正なデジタル証明書による問題

【5】Java for Mac OS X に複数の脆弱性

【6】Apple iOS に脆弱性

【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性

【8】Google Chrome に複数の脆弱性

【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性

【今週のひとくちメモ】Firefox の法人向け延長サポート版について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114401.txt
https://www.jpcert.or.jp/wr/2011/wr114401.xml

【1】2011年11月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-312A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-312A.html

US-CERT Cyber Security Alert SA11-312A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-312A.html

概要

Microsoft Windows および関連コンポーネントには、複数の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2011 年 11 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-nov

Microsoft TechNet Blogs > 日本のセキュリティチーム
2011 年 11 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2011/11/09/3464026.aspx

マイクロソフト セキュリティ アドバイザリ (2269637)
セキュリティで保護されていないライブラリのロードにより、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2269637

Japan Vulnerability Notes JVNTA11-312A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-312A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-083,084,085,086)
https://www.npa.go.jp/cyberpolice/topics/?seq=8026

JPCERT/CC Alert 2011-11-09 JPCERT-AT-2011-0029
2011年11月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110029.html

関連文書 (英語)

Microsoft Security Research & Defense
Assessing the risk of the October 2011 security updates
http://blogs.technet.com/b/srd/archive/2011/10/11/assessing-the-risk-of-the-october-2011-security-updates.aspx

Microsoft Security Research & Defense
Assessing the exploitability of MS11-083
http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx

US-CERT Vulnerability Note VU#675073
Microsoft Windows TrueType font array indexing vulnerability
http://www.kb.cert.org/vuls/id/675073

US-CERT Vulnerability Note VU#951982
Microsoft Windows UDP packet parsing vulnerability
http://www.kb.cert.org/vuls/id/951982

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Adobe Shockwave Player
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_bulletin_for13

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player and Adobe AIR
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_advisory_for8

概要

Adobe の複数の製品には、脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるプラットフォーム、製品およびバージョンは以下の通りです。

- Windows、Macintosh、Linux、Solaris 用の Adobe Flash Player 
  11.0.1.152 およびそれ以前
- Android 用の Adobe Flash Player 11.0.1.153 およびそれ以前
- Windows、Macintosh、Android 用の Adobe AIR 3.0 およびそれ以前
- Windows、Macintosh 用のAdobe Shockwave Player 11.6.1.629 およ
  びそれ以前

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。
		

関連文書 (日本語)

Adobe セキュリティ速報
APSB11-27:Adobe Shockwave Player用セキュリティアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb11-27.html

Adobe セキュリティ情報
APSB-11-28: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/923/cpsid_92374.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8042

JPCERT/CC Alert 2011-11-11 JPCERT-AT-2011-0030
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110030.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 8 and 3.6.24
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#mozilla_releases_firefox_8_and

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性
があります。

対象となる製品は以下の通りです。

- Firefox 8.0 より前のバージョン
- Firefox 3.6.24 より前のバージョン
- Thunderbird 8.0 より前のバージョン
- Thunderbird 3.1.16 より前のバージョン

その他に Mozilla コンポーネントを用いている製品も影響を受ける可能
性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。
		

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 8.0 - 2011/11/08 リリース
http://mozilla.jp/firefox/8.0/releasenotes/

Firefox セキュリティアドバイザリ
Firefox 8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox8

Mozilla Japan
Firefox リリースノート - バージョン 3.6.24 - 2011/11/08 リリース
http://mozilla.jp/firefox/3.6.24/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.24 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.24

Mozilla Japan
Thunderbird リリースノート - バージョン 8.0 - 2011/11/08 リリース
http://mozilla.jp/thunderbird/8.0/releasenotes/

Thunderbird セキュリティアドバイザリ
Thunderbird 8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird8

Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.16 - 2011/11/08 リリース
http://mozilla.jp/thunderbird/3.1.16/releasenotes/

Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.16 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.16

【4】不正なデジタル証明書による問題

情報源

US-CERT Current Activity Archive
Fraudulent Digital Certificates Could Allow Spoofing
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#fraudulent_digital_certificates_could_allow

JC3-CIRC Technical Bulletin U-034
Fraudulent Digital Certificates Could Allow Spoofing
http://www.doecirc.energy.gov/bulletins/u-034.shtml

概要

DigiCert Sdn. Bhd により弱い暗号化キーによるデジタル証明書が発行
されたことが報告されています。結果として、信頼している Web サイ
トなどが不正になりすまされる可能性があります。

この問題は、各ベンダが提供するアップデートを適用して、該当の認証
局の信頼を失効することで解決します。詳細については、各ベンダが提
供する情報を参照してください。
		

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (2641690)
不正なデジタル証明書により、なりすましが行われる
http://technet.microsoft.com/ja-jp/security/advisory/2641690

Mozilla Japan ブログ
DigiCert Sdn. Bhd. 社の中間認証局の信頼取り消し
http://mozilla.jp/blog/entry/7445/

関連文書 (英語)

Mozilla Security Blog
Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority
http://blog.mozilla.com/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/

Debian Security Advisory DSA-2343-1
openssl -- CA trust revocation
http://www.debian.org/security/2011/dsa-2343.en.html

Security Advisory RHSA-2011:1444-1
Important: nss security update
https://rhn.redhat.com/errata/RHSA-2011-1444.html

【5】Java for Mac OS X に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#700214
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU700214/index.html

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が細工した Java アプレットまたは Java アプリケーションを
実行させることで任意のコードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Java for Mac OS X 10.7 Update 1 より前のバージョン
- Java for Mac OS X 10.6 Update 6 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Java for Mac 
OS X を更新することで解決します。詳細については Apple が提供する
情報を参照してください。
		

関連文書 (日本語)

Apple Support HT4883
Java for Mac OS X 10.7 Update 1 について
http://support.apple.com/kb/HT4883?viewlocale=ja_JP

Apple Support HT4884
Java for Mac OS X 10.6 Update 6 について
http://support.apple.com/kb/HT4884?viewlocale=ja_JP

Apple Support
Java for Mac OS X 10.7 アップデート 1
http://support.apple.com/kb/DL1421?viewlocale=ja_JP

Apple Support
Java for Mac OS X 10.6 アップデート 6
http://support.apple.com/kb/DL1360?viewlocale=ja_JP

JPCERT/CC WEEKLY REPORT 2011-10-26 JPCERT-WR-2011-4101
【1】2011年10月 Oracle Critical Patch Update について
https://www.jpcert.or.jp/wr/2011/wr114101.html#1

【6】Apple iOS に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iOS 5.0.1
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#apple_released_ios_5_0

概要

Apple iOS には、脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、機密情報を取得したりする可能性があります。

対象となるバージョンは以下の通りです。

- iOS 5.0.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple iOS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#988283
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU988283/index.html

関連文書 (英語)

Apple Support HT5052
About the security content of iOS 5.0.1 Software Update
http://support.apple.com/kb/HT5052?viewlocale=en_US

【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性

情報源

Japan Vulnerability Notes JVNVU#309451
Apple Time Capsule および AirPort Base Station (802.11n) における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU309451/index.html

概要

Apple Time Capsule および AirMac ベースステーション (802.11n) に
は、DHCP サーバからの応答の処理に起因する脆弱性があります。結果と
して、遠隔の第三者が細工した応答を処理させることで任意のコードを
実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Time Capsule および AirMac ベースステーション (802.11n) Firmware 7.6 
  より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
のファームウェアを更新することで解決します。詳細については、
Apple が提供する情報を参照してください。
		

関連文書 (日本語)

JPCERT/CC WEEKLY REPORT 2011-04-13 JPCERT-WR-2011-1401
【1】ISC DHCP クライアントに脆弱性
https://www.jpcert.or.jp/wr/2011/wr111401.html#1

関連文書 (英語)

Apple Support HT5005
About the security content of Time Capsule and AirPort Base Station (802.11n) Firmware 7.6
http://support.apple.com/kb/HT5005

【8】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 15.0.874.120
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#google_releases_chrome_15_01

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 15.0.874.120 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/11/stable-channel-update.html

【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#16901583
茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN16901583/index.html

概要

日本語の形態素解析ソフトウェア、茶筌 (ChaSen) には、文字列の読み
込み処理に起因するバッファオーバーフローの脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- 茶筌 (ChaSen) 2.4 系

2011年11月15日現在、この問題に対する解決策は提供されていません。
回避策としては、同等の機能を持つ他の製品に切り替える、茶筌 (ChaSen) 
version 2.3.3 を使用するなどの方法があります。
		

関連文書 (日本語)

SourceForge.JP
ChaSen legacy
http://sourceforge.jp/projects/chasen-legacy/releases/

■今週のひとくちメモ

○Firefox の法人向け延長サポート版について

Mozilla Firefox は Firefox 4 以降、高速リリースサイクルに移行しま
した。

法人向けサポートのポリシーは提案検討されている段階であり、現在の
Firefox 3.6 のサポートは、暫定的に継続されています。現在提案され
ているポリシー案では、3.6 のサポートは 2012年4月24日までとなって
います。

それ以降の法人向けサポートは 54週単位でのサポートサイクルが提案
されています。

参考文献 (日本語)

Mozilla Japan ブログ
Mozilla 法人ユーザワーキンググループの進捗状況
http://mozilla.jp/blog/entry/7278/

参考文献 (英語)

MozillaWiki
Enterprise/Firefox/ExtendedSupport:Proposal
https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter