<<< JPCERT/CC WEEKLY REPORT 2012-02-22 >>>

■02/12(日)〜02/18(土) のセキュリティ関連情報

目　次

【1】2012年2月 Microsoft セキュリティ情報について

【2】Oracle Java に複数の脆弱性

【3】Adobe Flash Player に複数の脆弱性

【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性

【5】Mozilla 製品群に脆弱性

【6】Google Chrome に脆弱性

【7】ALFTP における実行ファイル読み込みに関する脆弱性

【8】cforms II にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Windows 家庭向け製品サポート延長について

【1】2012年2月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA12-045A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-045A.html

概要

Microsoft Windows、Office、Internet Explorer、.NET Framework、および
Silverlight などには、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、システムやファイルに不正にアクセスしたりす
る可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2012 年 2 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb

Microsoft TechNet Blogs > 日本のセキュリティチーム
2012 年 2 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/02/15/3480979.aspx

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-008,009,010,011,012,013,014,015,016)
https://www.npa.go.jp/cyberpolice/topics/?seq=8610

Japan Vulnerability Notes JVNTA12-045A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-045A/index.html

JPCERT/CC Alert 2012-02-15 JPCERT-AT-2012-0005
2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120005.html

関連文書 (英語)

Microsoft Security Research & Defense
Assessing risk for the February 2012 security updates
http://blogs.technet.com/b/srd/archive/2012/02/14/assessing-risk-for-the-february-2012-security-updates.aspx

Microsoft Security Research & Defense
MS12-013: More information about the msvcrt.dll issue
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-013-more-information-about-the-msvcrt-dll-issue.aspx

Microsoft Security Research & Defense
MS12-014: Indeo, a blast from the past
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-014-indeo-a-blast-from-the-past.aspx

【2】Oracle Java に複数の脆弱性

情報源

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for February 2012
http://www.us-cert.gov/current/#oracle_releases_critical_patch_update17

概要

Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 7 Update 2 およびそれ以前
- JDK/JRE 6 Update 30 およびそれ以前
- JDK/JRE 5.0 Update 33 およびそれ以前
- SDK/JRE 1.4.2_35 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。

なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。最新の Java SE またはサポートのある製品への移行をお
勧めします。
		

関連文書 (英語)

Oracle
Oracle Java SE Critical Patch Update Advisory - February 2012
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

The Oracle Software Security Assurance Blog
February 2012 Critical Patch Update for Java SE Released
https://blogs.oracle.com/security/entry/february_2012_critical_patch_update

Red Hat Security Advisory RHSA-2012:0135-1
Critical: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2012-0135.html

【3】Adobe Flash Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/#adobe_releases_security_advisory_for12

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、
ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。なお、Adobe によると、本脆弱
性を使用した攻撃活動が確認されています。

対象となる製品およびバージョンは以下の通りです。

- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 
  11.1.102.55 およびそれ以前
- Android 4.x 版 Adobe Flash Player 11.1.112.61 およびそれ以前
- Android 2.x、3.x 版 Adobe Flash Player 11.1.111.5 およびそれ以
  前

この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
してください。
		

関連文書 (日本語)

Adobe セキュリティ情報
APSB12-03: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93112.html

@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8630

JPCERT/CC Alert 2012-02-16 JPCERT-AT-2012-0006
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120006.html

関連文書 (英語)

Adobe - Security Bulletins
APSB12-03: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-03.html

【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Bulletins for Adobe Shockwave Player and RoboHelp
http://www.us-cert.gov/current/#adobe_releases_security_advisory_for11

概要

Adobe Shockwave Player および RoboHelp には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Windows および Macintosh 版 Adobe Shockwave Player 11.6.3.633 
  およびそれ以前
- Windows 版 RoboHelp 9 (または 8) for Word

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。詳細については、Adobe が提供する情報を参照してく
ださい。
		

関連文書 (日本語)

Adobe セキュリティ情報
APSB12-02：Adobe Shockwave Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93105.html

Adobe セキュリティ情報
APSB12-04： RoboHelp for Word に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93106.html

関連文書 (英語)

Adobe - Security Bulletins APSB12-02
Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb12-02.html

Adobe - Security Bulletins APSB12-04
Security update available for RoboHelp for Word
http://www.adobe.com/support/security/bulletins/apsb12-04.html

【5】Mozilla 製品群に脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 10.0.1
http://www.us-cert.gov/current/#mozilla_releases_firefox_10_0

概要

Mozilla 製品群には、脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 10 およびそれ以前
- Thunderbird 10 およびそれ以前
- SeaMonkey 2.7 およびそれ以前

その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ
ります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。
		

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/firefox/10.0.2/releasenotes/

Firefox セキュリティアドバイザリ
Firefox 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10.0.2

Mozilla Japan
Thunderbird リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/thunderbird/10.0.2/releasenotes/

Thunderbird セキュリティアドバイザリ
Thunderbird 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10.0.2

SeaMonkey セキュリティアドバイザリ
SeaMonkey 2.7.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7.2

関連文書 (英語)

SeaMonkey Project
SeaMonkey 2.7.2 Release Notes
http://www.seamonkey-project.org/releases/seamonkey2.7/

【6】Google Chrome に脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 17.0.963.56
http://www.us-cert.gov/current/#google_releases_chrome_17_01

概要

Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで
す。

- Google Chrome 17.0.963.56 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome を更
新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Chrome Stable Update
http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html

【7】ALFTP における実行ファイル読み込みに関する脆弱性

情報源

Japan Vulnerability Notes JVN#85695061
ALFTP における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN85695061/index.html

概要

ESTsoft Japan の ALFTP には、ファイルの読み込み処理に問題があります。結
果として、遠隔の第三者が細工した実行ファイルを読み込ませることで、プロ
グラムを実行している権限で任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- ALFTP 5.30.0.1 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに ALFTP を更新すること
で解決します。
		

関連文書 (日本語)

ESTsoft Japan
ALFTP における実行ファイル読み込みに関する脆弱性
http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=141

JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1

【8】cforms II にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#35256978
cforms II におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN35256978/index.html

概要

delicious days の WordPress 用プラグイン cforms II には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブ
ラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- cforms II v13.1 およびそれ以前

この問題は、delicious days が提供する修正済みのバージョンに cforms II
を更新することで解決します。
		

関連文書 (英語)

delicious days cforms II User Forum
cforms Version History - VERSION 13.2 ANNOUNCEMENT
http://www.deliciousdays.com/cforms-forum/?forum=2&topic=2&page=1

■今週のひとくちメモ

○Windows 家庭向け製品サポート延長について

JPCERT/CC WEEKLY REPORT 2012-02-15 号で、Microsoft Windows Vista 家庭向
け製品のサポート終了をお伝えしましたが、2012年2月19日に日本マイクロソフ
トから、Windows Vista および Windows 7 の家庭用向け製品に関して 5 年の
延長サポートを提供すると発表されました。

参考文献 (日本語)

TechNet Blogs > 日本のセキュリティチーム
Windows Vista/Windows 7 コンシューマー用製品も延長サポートを決定、セキュリティ更新プログラムを継続提供
http://blogs.technet.com/b/jpsecurity/archive/2012/02/20/3481871.aspx

JPCERT/CC WEEKLY REPORT 2012-02-15
【今週のひとくちメモ】Windows Vista 家庭向け製品サポート終了
http://www.jpcert.or.jp/wr/2012/wr120601.html#Memo

■JPCERT/CC からのお願い