<<< JPCERT/CC WEEKLY REPORT 2013-06-19 >>>

■06/09(日)〜06/15(土) のセキュリティ関連情報

目　次

【1】Microsoft の複数の製品に脆弱性

【2】Adobe Flash Player に複数の脆弱性

【3】RSA Authentication Manager に脆弱性

【4】HP の Insight Diagnostics に複数の脆弱性

【5】HP System Management Homepage に脆弱性

【6】Orchard にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】「フィッシングレポート2013」公開

【1】Microsoft の複数の製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases June 2013 Security Bulletin
http://www.us-cert.gov/ncas/current-activity/2013/06/11/Microsoft-Releases-June-2013-Security-Bulletin

概要

Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
用することで解決します。詳細については、Microsoft が提供する情報を参照
して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2013 年 6 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-jun

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-047,048,049,050,051)
http://www.npa.go.jp/cyberpolice/topics/?seq=11684

独立行政法人情報処理推進機構（IPA）
Microsoft 製品の脆弱性対策について(6月)
http://www.ipa.go.jp/security/ciadr/vul/20130612-ms.html

JPCERT/CC Alert 2013-06-12
2013年6月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130028.html

関連文書 (英語)

US-CERT Alert (TA13-168A)
Microsoft Updates for Multiple Vulnerabilities
https://www.us-cert.gov/ncas/alerts/TA13-168A

【2】Adobe Flash Player に複数の脆弱性

情報源

Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-16.html

概要

Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が、任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Adobe Flash Player
- Adobe AIR

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

関連文書 (日本語)

Adobe
APSB13-16: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq06101845.html

警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=11678

独立行政法人情報処理推進機構（IPA）
Adobe Flash Player の脆弱性対策について(APSB13-16)(CVE-2013-3343)
http://www.ipa.go.jp/security/ciadr/vul/20130612-adobeflashplayer.html

JPCERT/CC Alert 2013-06-12
Adobe Flash Player の脆弱性 (APSB13-16) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130029.html

【3】RSA Authentication Manager に脆弱性

情報源

JC3 Bulletin
V-174: RSA Authentication Manager Writes Operating System, SNMP, and HTTP Plug-in Proxy Passwords in Clear Text to Log Files
http://energy.gov/cio/articles/v-174-rsa-authentication-manager-writes-operating-system-snmp-and-http-plug-proxy

概要

RSA Authentication Manager には、脆弱性があります。結果として、ローカル
ユーザが、パスワードを取得する可能性があります。

対象となるバージョンは以下の通りです。

- RSA Authentication Manager 8.0

この問題は、RSA が提供する更新プログラムを RSA Authenticaion Manager
に適用することで解決します。詳細については、RSA が提供する情報を参照
して下さい。

関連文書 (英語)

RSA
Security, Compliance, and Risk-Management Solutions
http://www.emc.com/domains/rsa/index.htm

【4】HP の Insight Diagnostics に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#324668
HP Insight Diagnostics 9.4.0.4710 multiple vulnerabilities
http://www.kb.cert.org/vuls/id/324668

概要

HP の Insight Diagnostics には、複数の脆弱性があります。結果として、ユー
ザが管理者権限で任意のコマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- HP Insight Diagnostics 9.4.0.4710

これ以前のバージョンもこの脆弱性の影響を受ける可能性があります。

2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること
で本脆弱性の影響を軽減することが可能です。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92198165
HP Insight Diagnostics に複数の脆弱性
https://jvn.jp/cert/JVNVU92198165/index.html

関連文書 (英語)

HP Business Support Center
HP Insight Diagnostics Software
http://h20000.www2.hp.com/bizsupport/TechSupport/Home.jsp?lang=en&cc=us&prodTypeId=18964&prodSeriesId=460016

【5】HP System Management Homepage に脆弱性

情報源

US-CERT Vulnerability Note VU#735364
HP System Management Homepage contains a command injection vulnerability
http://www.kb.cert.org/vuls/id/735364

概要

HP System Management Homepage には脆弱性があります。結果として、ユーザ
が管理者権限で任意のコマンドを実行する可能性があります。

対象となる製品は以下の通りです。

- HP System Management Homepage

2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること
で本脆弱性の影響を軽減することが可能です。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95659777
HP System Management Homepage に OS コマンドインジェクションの脆弱性
https://jvn.jp/cert/JVNVU95659777/index.html

【6】Orchard にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#53622030
Orchard におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53622030/index.html

概要

Orchard には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性
があります。

対象となるバージョンは以下の通りです。

- Orchard 1.6.1 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに Orchard を更新するこ
とで解決します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (英語)

Orchard
Security patch recommended for all versions of Orchard
http://docs.orchardproject.net/Documentation/Patch-4-30-2013

■今週のひとくちメモ

○「フィッシングレポート2013」公開

フィッシング対策協議会は 2012年のフィッシング事例についてまとめた「フィッ
シングレポート2013」を公開しました。最近の傾向として、フィッシングのター
ゲットが固定化されつつあることや、フィッシング手口の巧妙化などが挙げら
れており、主要な手口についても解説されています。

また、以前より公開されていた事業者向けおよび利用者向けのフィッシング対
策ガイドラインが、2013年版として更新されています。

参考文献 (日本語)

フィッシング対策協議会
「フィッシングレポート2013」公開のお知らせ
https://www.antiphishing.jp/news/info/press_phishing_report2013.html

フィッシング対策協議会
資料公開: フィッシング対策ガイドラインの改訂について
https://www.antiphishing.jp/news/info/guideline2013.html

■JPCERT/CC からのお願い