<<< JPCERT/CC WEEKLY REPORT 2013-04-17 >>>
■04/07(日)〜04/13(土) のセキュリティ関連情報
目 次
【1】Microsoft の複数の製品に脆弱性
【2】Adobe の複数の製品に脆弱性
【3】Plesk Panel に権限昇格の脆弱性
【4】IBM の Tivoli System Automation Application Manager に複数の脆弱性
【5】Sleipnir for Windows にアドレスバー偽装の脆弱性
【6】Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性
【今週のひとくちメモ】JNSA、「スマートフォン利用ガイドライン」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr131501.txt
https://www.jpcert.or.jp/wr/2013/wr131501.xml
【1】Microsoft の複数の製品に脆弱性
情報源
US-CERT Alert (TA13-100A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/ncas/alerts/TA13-100A
概要
Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア - Microsoft セキュリティ ソフトウェア この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。なお、MS13-036 には、特定の条件下で Windows や アプリケーションが正しく動作しないという問題が確認されています。 MS13-036 については適用せず、またインストールした場合は削除することをお すすめします。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA13-100A
Microsoft 製品の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-100A/index.htmlマイクロソフト株式会社
2013 年 4 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Apr日本のセキュリティチーム
2013 年 4 月のセキュリティ情報 (月例) - MS13-028 〜 MS13-036
http://blogs.technet.com/b/jpsecurity/archive/2013/04/10/3564488.aspx日本のセキュリティチーム
MS13-036 2823324 適用後の問題について
http://blogs.technet.com/b/jpsecurity/archive/2013/04/12/3566398.aspx警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-028,029,030,031,032,033,034,035,036)
http://www.npa.go.jp/cyberpolice/topics/?seq=11222
【2】Adobe の複数の製品に脆弱性
情報源
Adobe Security Bulletin
Security update: Hotfix available for ColdFusion
http://www.adobe.com/support/security/bulletins/apsb13-10.htmlAdobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-11.htmlAdobe Security Bulletin
Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb13-12.html
概要
Adobe 複数の製品には脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - ColdFusion - Adobe Flash Player - Adobe AIR - Adobe Shockwave Player この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobe
APSB13-10: ColdFusion に関するホットフィックス公開
http://helpx.adobe.com/jp/coldfusion/kb/cq04091725.htmlAdobe
Flash Player Help / APSB13-11: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq04091730.htmlAdobe
Shockwave Player Help / APSB13-12: Adobe Shockwave Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/shockwave/kb/cq04091726.htmlJPCERT/CC Alert 2013-04-10
Adobe Flash Player の脆弱性 (APSB13-11) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130020.html
【3】Plesk Panel に権限昇格の脆弱性
情報源
US-CERT Vulnerability Note VU#310500
Plesk Panel 11.0.9 privilege escalation vulnerabilities
http://www.kb.cert.org/vuls/id/310500
概要
Parallels が提供する Plesk Panel には、権限昇格の脆弱性があります。結果 として、システムにログイン可能なユーザが、root 権限で任意のコードを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Parallels Plesk Panel 11.x for Linux - Parallels Plesk Panel 10.x for Linux - Parallels Plesk Panel 9.x for Linux/Unix この問題は、Parallels が提供するセキュリティアップデートを Plesk Panel に適用することで解決します。詳細については、Parallels が提供する情報を 参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94324985
Plesk Panel に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU94324985/index.htmlParallels
脆弱性に関する問題 VU#310500、CVE-2013-0132、CVE-2013-0133
http://kb.parallels.com/jp/115942/
【4】IBM の Tivoli System Automation Application Manager に複数の脆弱性
情報源
JC3 Bulletin
V-132: IBM Tivoli System Automation Application Manager Multiple Vulnerabilities
http://energy.gov/cio/articles/v-132-ibm-tivoli-system-automation-application-manager-multiple-vulnerabilities
概要
IBM の Tivoli System Automation Application Manager には、複数の脆弱性 があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行っ たり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - IBM Tivoli System Automation Application Manager バージョン 3.1、3.2、3.2.1 および 3.2.2 この問題は、IBM が提供する修正済みのバージョンに Tivoli System Automation Application Manager を更新することで解決します。詳細について は、IBM が提供する情報を参照して下さい。
関連文書 (英語)
IBM Security Bulletin
Tivoli System Automation Application Manager 3.2.2
http://www-01.ibm.com/support/docview.wss?uid=swg21633991IBM Security Bulletin
Tivoli System Automation Application Mgr 3.2.2 (WAS)
http://www-01.ibm.com/support/docview.wss?uid=swg21633992
【5】Sleipnir for Windows にアドレスバー偽装の脆弱性
情報源
Japan Vulnerability Notes JVN#65034198
Sleipnir for Windows におけるアドレスバー偽装の脆弱性
https://jvn.jp/jp/JVN65034198/index.html
概要
Sleipnir for Windows には、アドレスバー偽装の脆弱性があります。結果とし て、SSL が使用されていないページを SSL が使用されているページであると、 ユーザが誤認する可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir 4 for Windows 4.0.0.4000 およびそれ以前 この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir for Windows を更新することで解決します。詳細については、フェンリルが提供す る情報を参照して下さい。
【6】Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性
情報源
Japan Vulnerability Notes JVN#02895867
Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性
https://jvn.jp/jp/JVN02895867/index.html
概要
Sleipnir Mobile for Android には、脆弱性があります。結果として、第三者 が細工した Web ページにアクセスさせることで、当該ブラウザでログイン済み のサイトの情報を窃取する可能性などがあります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.8.0 およびそれ以前のバージョン - Sleipnir Mobile for Android Black Edition 2.8.0 およびそれ以前のバージョン この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile を更新することで解決します。詳細については、フェンリルが提供する情報を 参照して下さい。
■今週のひとくちメモ
○JNSA、「スマートフォン利用ガイドライン」を公開
JNSA のスマートフォン活用セキュリティガイドライン策定 WG が「スマートフォ ンの安全な利活用のすすめ〜 スマートフォン利用ガイドライン 〜」を公開し ました。 このドキュメントでは、スマートフォンの現状の課題を整理し、システム管理 者やユーザが実施すべきセキュリティ対策を紹介しています。
参考文献 (日本語)
JNSA
スマートフォンの安全な利活用のすすめ
http://www.jnsa.org/result/2012/surv_smap.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
