JPCERT コーディネーションセンター

Weekly Report 2013-02-27号

JPCERT-WR-2013-0801
JPCERT/CC
2013-02-27

<<< JPCERT/CC WEEKLY REPORT 2013-02-27 >>>

■02/17(日)〜02/23(土) のセキュリティ関連情報

目 次

【1】「Adobe Acrobat および Reader に脆弱性」に関する追加情報

【2】Oracle Java に複数の脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】Symantec PGP Desktop にバッファオーバーフローの脆弱性

【5】NEC Universal RAID Utility にアクセス制限不備の脆弱性

【今週のひとくちメモ】Java 6 のサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130801.txt
https://www.jpcert.or.jp/wr/2013/wr130801.xml

【1】「Adobe Acrobat および Reader に脆弱性」に関する追加情報

情報源

Adobe Security Bulltin
Security updates available for Adobe Reader and Acrobat
https://www.adobe.com/support/security/bulletins/apsb13-07.html

概要

JPCERT/CC WEEKLY REPORT 2013-02-20 号【2】で紹介した「Adobe Acrobat お
よび Reader に脆弱性」に関する追加情報です。

Adobe Reader および Acrobat の修正済みのバージョンが公開されまし
た。詳細については Adobe が提供する情報を参照してください。

関連文書 (日本語)

Adobe
Acrobat Help / APSB13-07:Adobe Reader および Acrobat に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/acrobat/kb/cq02200108.html

JPCERT/CC WEEKLY REPORT 2013-02-20 号
【2】Adobe Acrobat および Reader に脆弱性
https://www.jpcert.or.jp/wr/2013/wr130701.html#2

【2】Oracle Java に複数の脆弱性

情報源

JC3 Bulletin
V-095: Oracle Java Flaws Let Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-095-oracle-java-flaws-let-remote-users-execute-arbitrary-code

概要

Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- JDK and JRE 7 Update 13 およびそれ以前
- JDK and JRE 6 Update 39 およびそれ以前
- JDK and JRE 5.0 Update 39 およびそれ以前
- SDK and JRE 1.4.2_41 およびそれ以前

この問題は、Oracle が提供する修正済みのバージョンに Java を更新すること
で解決します。詳細については、Oracle が提供する情報を参照して下さい。

関連文書 (日本語)

独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2013-1487等)
http://www.ipa.go.jp/security/ciadr/vul/20130220-jre.html

Japan Vulnerability Notes JVNTA13-051A
Oracle Java に複数の脆弱性(緊急)
https://jvn.jp/cert/JVNTA13-051A/index.html

JPCERT/CC Alert 2013-02-20 JPCERT-AT-2013-0011
2013年2月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130011.html

関連文書 (英語)

Oracle
Updated Release of the February 2013 Oracle Java SE Critical Patch Update
http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html

US-CERT Alert (TA13-051A)
Oracle Java Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA13-051A.html

【3】Mozilla 製品群に複数の脆弱性

情報源

JC3 Bulletin
V-096: Mozilla Thunderbird / SeaMonkey Multiple Vulnerabilities
http://energy.gov/cio/articles/v-096-mozilla-thunderbird-seamonkey-multiple-vulnerabilities

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 19.0 より前のバージョン
- Firefox ESR 17.0.3 より前のバージョン
- Thunderbird 17.0.3 より前のバージョン
- Thunderbird ESR 17.0.3 より前のバージョン
- SeaMonkey 2.16 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

関連文書 (日本語)

Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)

mozilla
Mozilla Foundation Security Advisory 2013-21
http://www.mozilla.org/security/announce/2013/mfsa2013-21.html

【4】Symantec PGP Desktop にバッファオーバーフローの脆弱性

情報源

JC3 Bulletin
V-093: Symantec PGP Desktop Buffer Overflows Let Local Users Gain Elevated Privileges
http://energy.gov/cio/articles/v-093-symantec-pgp-desktop-buffer-overflows-let-local-users-gain-elevated-privileges

概要

Symantec PGP Desktop には、バッファオーバーフローの脆弱性があります。結
果として、ユーザが権限を昇格したり、任意のコードを実行したりする可能性
があります。

対象となるバージョンは以下の通りです。

- Symantec PGP Desktop 10.2.x、10.1.x および 10.0.x
- Symantec Encryption Desktop 10.3.0

この問題は、Symantec が提供する更新プログラムを該当する製品に適用するこ
とで解決します。詳細については、Symantec が提供する情報を参照して下さい。

関連文書 (英語)

Symantec
Security Advisories Relating to Symantec Products - Symantec Encryption Desktop Local Access Elevation of Privilege
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20130213_00

【5】NEC Universal RAID Utility にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#75585394
NEC Universal RAID Utility におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN75585394/index.html

概要

NEC が提供する Universal RAID Utility には、アクセス制限不備の脆弱性が
あります。結果として、遠隔の第三者が、当該製品で管理しているハードディ
スクに対して、任意の操作を実行する可能性があります。

対象となるバージョンは以下の通りです。

- Universal RAID Utility Ver1.40 (Windows版) Rev 680 およびそれ以前
- Universal RAID Utility Ver2.31 (Windows/Linux/VMware ESX版) Rev 1492 およびそれ以前
- Universal RAID Utility Ver2.5 (Windows/Linux/VMware ESX版) Rev 2244 およびそれ以前

この問題は、NEC が提供する修正済みのバージョンに Universal RAID
Utility を更新することで解決します。詳細については、NEC が提供する情報
を参照して下さい。

関連文書 (日本語)

独立行政法人情報処理推進機構 (IPA)
NEC Universal RAID Utility におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000012.html

日本電気株式会社
Universal RAID Utilityにおけるアクセス制限不備の脆弱性
http://jpn.nec.com/security-info/secinfo/nv13-004.html

■今週のひとくちメモ

○Java 6 のサポート終了

Java 6 は 2013年 2月にリリースされた Update をもってサポートを終了する
予定です。

Java の環境を利用している方は、速やかに Java 7 の最新版にアップデートを
行いましょう。また、必要に応じて Web ブラウザからの利用を無効にする設定
を行うことをおすすめします。

参考文献 (日本語)

JPCERT/CC WEEKLY REPORT 2013-01-17
【今週のひとくちメモ】Java 7 のコントロールパネル
https://www.jpcert.or.jp/wr/2013/wr130201.html#Memo

Oracle Technology Network
Oracle Java SEサポートロードマップ
http://www.oracle.com/technetwork/java/eol-135779-ja.html#Interfaces

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter