<<< JPCERT/CC WEEKLY REPORT 2012-01-18 >>>

■01/08(日)〜01/14(土) のセキュリティ関連情報

目　次

【1】2012年1月 Microsoft セキュリティ情報について

【2】Adobe Reader および Acrobat に脆弱性

【3】Cogent DataHub に複数の脆弱性

【4】制御システムセキュリティカンファレンス 2012 のお知らせ

【5】SecurityDay 2012 のお知らせ

【今週のひとくちメモ】Firefox/Thunderbird の法人向け延長サポート版について

【1】2012年1月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA12-010A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-010A.html

US-CERT Cyber Security Alert SA12-010A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA12-010A.html

概要

Microsoft Windows、Microsoft 開発者用ツールなどには、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行したり、
システムやファイルに不正にアクセスしたりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。なお、今回のセキュリティ更新プロ
グラムには、JPCERT/CC WEEKLY REPORT 2011-10-05 号【3】「SSL 3.0
とTLS 1.0 の CBC モードに選択平文攻撃の脆弱性」で紹介した脆弱性に
対する修正も含まれます。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2012 年 1 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jan

Microsoft TechNet Blogs > 日本のセキュリティチーム
2012 年 1 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/01/11/3474813.aspx

マイクロソフト セキュリティ アドバイザリ (2588513)
SSL/TLS の脆弱性により、情報漏えいが起こる
http://technet.microsoft.com/ja-jp/security/advisory/2588513

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-001,002,003,004,005,006,007)
https://www.npa.go.jp/cyberpolice/topics/?seq=8370

Japan Vulnerability Notes JVNTA12-010A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-010A/index.html

JPCERT/CC Alert 2012-01-11 JPCERT-AT-2012-0002
2012年1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120002.html

JPCERT/CC WEEKLY REPORT 2011-10-05 JPCERT-WR-2011-3801
【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性
http://www.jpcert.or.jp/wr/2011/wr113801.html#3

関連文書 (英語)

Microsoft Security Research & Defense
Assessing risk for the January 2012 security updates
http://blogs.technet.com/b/srd/archive/2012/01/10/assessing-risk-for-the-january-2012-security-updates.aspx

Microsoft Security Research & Defense
More information on the impact of MS12-001
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-the-impact-of-ms12-001.aspx

Microsoft Security Research & Defense
More information on MS12-004
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-ms12-004.aspx

【2】Adobe Reader および Acrobat に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Reader and Acrobat
http://www.us-cert.gov/current/archive/2012/01/12/archive.html#adobe_releases_security_advisory_for10

JC3-CIRC Technical Bulletin U-079
Adobe Acrobat/Reader Multiple Bugs Let Remote Users Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/u-079.shtml

概要

Adobe Acrobat、Reader には、複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF ファイルをユーザに開かせることで
Adobe Acrobat や Reader を不正終了させたり、任意のコードを実行し
たりする可能性があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。

なお、今回のバージョンには JPCERT/CC WEEKLY REPORT 2011-12-14 号
【1】「Adobe Reader および Acrobat に脆弱性」で紹介した脆弱性に
対する修正も含まれています。
		

関連文書 (日本語)

@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8372

JPCERT/CC WEEKLY REPORT 2011-12-14 号
【1】Adobe Reader および Acrobat に脆弱性
https://www.jpcert.or.jp/wr/2011/wr114801.html#1

JPCERT/CC WEEKLY REPORT 2011-12-21 号
【2】「Adobe Reader および Acrobat に脆弱性」に関する追加情報
https://www.jpcert.or.jp/wr/2011/wr114901.html#2

JPCERT/CC Alert 2012-01-11 JPCERT-AT-2012-0003
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120003.html

Adobe Security bulletin APSB12-01
Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/928/cpsid_92823.html

関連文書 (英語)

Adobe Security bulletin APSB12-01
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb12-01.html

【3】Cogent DataHub に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#12983784
Cogent DataHub におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12983784/index.html

Japan Vulnerability Notes JVN#63249231
Cogent DataHub における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN63249231/index.html

概要

Cogent DataHub には、複数の脆弱性があります。結果として、遠隔の第
三者が HTTP レスポンス分割攻撃を行ったり、ユーザのブラウザ上で任
意のスクリプトを実行したり、偽の情報を表示したりする可能性があり
ます。

対象となる製品およびバージョンは以下の通りです。

- Cogent DataHub V7.1.2 およびそれ以前
- OPC DataHub V6.4.20 およびそれ以前
- Cascade DataHub V6.4.20 およびそれ以前

この問題は、Cogent Real-Time Systems が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。
		

関連文書 (英語)

Cogent Real-Time Systems
Release Notes
http://www.cogentdatahub.com/ReleaseNotes.html

【4】制御システムセキュリティカンファレンス 2012 のお知らせ

情報源

制御システムセキュリティカンファレンス 2012
https://www.jpcert.or.jp/event/ics-conference2012.html

概要

2012年2月3日(金) に「制御システムセキュリティカンファレンス 2012」
を開催いたします。会場は品川コクヨホールです。

第4回目となる今回は、「After Stuxnet」のテーマのもと、さまざまな
立場から、制御システムへの脅威に対する具体的な取組みについて紹介
いたします。

制御システムに関係する皆様のご参加を広くお待ちしております。
		

【5】SecurityDay 2012 のお知らせ

情報源

SecurityDay 2012
http://securityday.jp/

概要

2012年2月6日(月)に「SecurityDay 2012」を開催いたします。会場は株
式会社インターネットイニシアティブ大会議室です。

2010年までは、大きなテーマを設定しパネルディスカッションという形
式で開催していましたが、今回の「SecurityDay 2012」では各講演者が
直近のインターネットで起きた問題をテーマとし、それぞれ議論を行う
形式を予定しています。 

ぜひご意見をお持ちの多くの方々にご参加頂き、熱い議論をしたい！と
思います。みなさまのご参加をお待ちしております。
		

関連文書 (英語)

参加申し込みフォーム
https://www.jnsa.org/seminar/securityday/SD12entry.html

プログラム
http://securityday.jp/?program

■今週のひとくちメモ

○Firefox/Thunderbird の法人向け延長サポート版について

JPCERT/CC WEEKLY REPORT 2011-11-16 号で紹介した Firefox の法人向
けサポート版の提供が決定しました。Mozilla は、Firefox および
Thunderbird の法人向け延長サポート版 (ESR) について、メジャーアッ
プデートを年一回行う計画であると発表しました。

参考文献 (日本語)

Mozilla Japan ブログ
Firefox/Thunderbird 延長サポート版の提供が決定しました
http://mozilla.jp/blog/entry/7684/

JPCERT/CC WEEKLY REPORT 2011-11-16
【今週のひとくちメモ】Firefox の法人向け延長サポート版について
http://www.jpcert.or.jp/wr/2011/wr114401.html#Memo

参考文献 (英語)

The Mozilla Blog
Delivering a Mozilla Firefox Extended Support Release
http://blog.mozilla.com/blog/2012/01/10/delivering-a-mozilla-firefox-extended-support-release/

The Thunderbird Blog
The Plan for the Mozilla Thunderbird Extended Support Release
https://blog.mozilla.com/thunderbird/2012/01/12/the-plan-for-a-mozilla-thunderbird-extended-support-release/

■JPCERT/CC からのお願い