JPCERT コーディネーションセンター

Weekly Report 2012-12-19号

JPCERT-WR-2012-4901
JPCERT/CC
2012-12-19

<<< JPCERT/CC WEEKLY REPORT 2012-12-19 >>>

■12/09(日)〜12/15(土) のセキュリティ関連情報

目 次

【1】Microsoft の複数の製品に脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】Adobe ColdFusion に脆弱性

【4】Welcart に複数の脆弱性

【今週のひとくちメモ】D.ROOT-SERVERS.NET の IP アドレス更新

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr124901.txt
https://www.jpcert.or.jp/wr/2012/wr124901.xml

【1】Microsoft の複数の製品に脆弱性

情報源

US-CERT Alert (TA12-346A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-346A.html

概要

Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、システムやファイルに不正にアクセスしたりする
可能性があります。

対象となるバージョンは以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft サーバー ソフトウェア

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
用することで解決します。詳細については、Microsoft が提供する情報を参照
して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA12-346A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-346A/index.html

マイクロソフト株式会社
2012 年 12 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-dec

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-077,078,079,080,081,082,083)
http://www.npa.go.jp/cyberpolice/topics/?seq=10515

JPCERT/CC Alert 2012-12-12 JPCERT-AT-2012-0038
2012年12月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120038.html

【2】Adobe Flash Player に複数の脆弱性

情報源

JC3 Bulletin
V-046: Adobe Flash Player Bugs Let Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-046-adobe-flash-player-bugs-let-remote-users-execute-arbitrary-code

概要

Adobe の Flash Player には、複数の脆弱性があります。結果として、第三者
が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Windows 版 Flash Player 11.5.502.110 およびそれ以前
- Macintosh 版 Flash Player 11.5.502.110 およびそれ以前
- Linux 版 Flash Player 11.2.202.251 およびそれ以前
- Android 4.x 版 Flash Player 11.1.115.27 およびそれ以前
- Android 3.x/2.x 版 Flash Player 11.1.111.24 およびそれ以前
- Windows、Macintosh 版 Adobe AIR 3.5.0.600 およびそれ以前
- Adobe AIR 3.5.0.600 SDK (AIR for iOS を含む) およびそれ以前
- Android 版 Adobe AIR 3.5.0.600 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
更新することで解決します。詳細については、Adobe が提供する情報を参照し
て下さい。

関連文書 (日本語)

Adobe
Flash Player Help / APSB12-27: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq11281733.html

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=10517

独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB12-27)(CVE-2012-5676等)
http://www.ipa.go.jp/security/ciadr/vul/20121212-adobeflashplayer.html

JPCERT/CC Alert 2012-12-12 JPCERT-AT-2012-0037
Adobe Flash Player の脆弱性 (APSB12-27) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120037.html

【3】Adobe ColdFusion に脆弱性

情報源

JC3 Bulletin
V-045: Adobe ColdFusion Lets Local Users Bypass Sandbox Restrictions
http://energy.gov/cio/articles/v-045-adobe-coldfusion-lets-local-users-bypass-sandbox-restrictions

概要

Adobe の ColdFusion には脆弱性があります。結果として、サンドボックスに
よる制限を回避される可能性があります。

対象となるバージョンは以下の通りです。

- Windows、Macintosh、UNIX 用 ColdFusion のバージョン 10、9.0.2、9.0.1、9.0

この問題は、Adobe が提供する更新プログラムを ColdFusion に適用すること
で解決します。詳細については、Adobe が提供する情報を参照して下さい。

関連文書 (日本語)

Adobe
ColdFusion Help / セキュリティアップデート:ColdFusion 10 以前用のホットフィックス公開(日本語抄訳)
http://helpx.adobe.com/jp/coldfusion/kb/cq11281739.html

【4】Welcart に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#18731696
Welcart におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN18731696/index.html

Japan Vulnerability Notes JVN#53269985
Welcart におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN53269985/index.html

概要

Welcart には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Welcart 1.2.1 およびそれ以前のバージョン

この問題は、コルネ株式会社が提供する修正済みのバージョンに Welcart を更
新することで解決します。詳細については、コルネ株式会社が提供する情報を
参照して下さい。

関連文書 (日本語)

Welcart コミュニティ (コルネ株式会社)
Welcartにおける脆弱性のご報告
http://www.welcart.com/community/archives/4524

■今週のひとくちメモ

○D.ROOT-SERVERS.NET の IP アドレス更新

DNS ルートサーバのひとつである D.ROOT-SERVERS.NET のIP アドレスが
2013年1月3日に変更される予定です。

DNS サーバを管理している方は、ルートヒントファイルの更新に備えて、設定
内容や更新作業について確認しておくことをおすすめします。

参考文献 (日本語)

JPRS
D.root-servers.netのIPアドレス変更について
http://jprs.jp/tech/notice/2012-12-18-d-root-ip-address-change.html

参考文献 (英語)

ICANN Blog
Advisory - D-root is changing its IPv4 address on 3 January 2013
http://blog.icann.org/2012/12/d-root/

d.root-servers.net
D-Root is Changing its IPv4 Address on 3 January 2013
http://d.root-servers.org/renumber.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter