<<< JPCERT/CC WEEKLY REPORT 2013-10-17 >>>

■10/06(日)〜10/12(土) のセキュリティ関連情報

目　次

【1】Microsoft 製品の複数の脆弱性に対するアップデート

【2】Adobe の複数の製品に脆弱性

【3】GnuPG にサービス運用妨害 (DoS) の脆弱性

【4】無線 LAN アクセスポイント Ruckus Wireless Zoneflex に認証機構が回避される脆弱性

【今週のひとくちメモ】Internet Explorer 11 Blocker Toolkit

【1】Microsoft 製品の複数の脆弱性に対するアップデート

情報源

US-CERT Current Activity
Microsoft Releases October 2013 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2013/10/08/Microsoft-Releases-October-2013-Security-Bulletin

概要

Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、ユーザの情報を取得したりする可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Office
- Microsoft サーバー ソフトウェア
- Internet Explorer
- Microsoft .Net Framework
- Microsoft Silverlight

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
用することで解決します。詳細については、Microsoft が提供する情報を参照
して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2013 年 10 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-oct

JPCERT/CC Alert 2013-10-09
2013年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130041.html

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity
Security Updates Available for Adobe Reader and Acrobat
https://www.us-cert.gov/ncas/current-activity/2013/10/08/Security-Updates-Available-Adobe-Reader-and-Acrobat

概要

Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Adobe Reader
- Adobe Acrobat
- Adobe RoboHelp

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

関連文書 (日本語)

Adobe Acrobat Help
APSB13-25: Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/acrobat/kb/cq10071716.html

Adobe RoboHelp Help
APSB13-24: RoboHelp に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/robohelp/kb/cq10071713.html

JPCERT/CC Alert 2013-10-09
Adobe Reader 及び Acrobat の脆弱性 (APSB13-25) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130042.html

【3】GnuPG にサービス運用妨害 (DoS) の脆弱性

情報源

GnuPG
[Announce] [security fix] GnuPG 2.0.22 released
http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000333.html

GnuPG
[Announce] [security fix] GnuPG 1.4.15 released
http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000334.html

概要

GnuPG には、細工された圧縮データを展開する際に無限ループが発生する脆弱
性があります。結果として、遠隔の第三者が、細工したデータを送りつけるこ
とで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下のとおりです。

- GnuPG 1.4.15 より前のバージョン
- GnuPG 2.0.22 より前のバージョン

この問題は、GnuPG を最新バージョンに更新することで解決します。詳細につ
いては、開発者が提供する情報を参照して下さい。

関連文書 (英語)

Taylor R. Campbell's blag
2013-10-08 On compression in data formats
http://mumble.net/~campbell/blag.txt

【4】無線 LAN アクセスポイント Ruckus Wireless Zoneflex に認証機構が回避される脆弱性

情報源

CERT/CC Vulnerability Note VU#742932
Ruckus Wireless Zoneflex 2942 Wireless Access Point vulnerable to authentication bypass
http://www.kb.cert.org/vuls/id/742932

概要

無線 LAN アクセスポイント Ruckus Wireless Zoneflex には、認証機構が回避
される脆弱性があります。結果として第三者が、デバイスの設定用ウェブペー
ジにアクセスしたり、アクセスポイントを再起動させてサービスの運用を妨害
したりする可能性があります。

対象となるバージョンは以下の通りです。

- Ruckus Wireless Zoneflex 2942 Wireless Access Point
  バージョン 9.6.0.0.267 およびそれ以前のバージョン

2013年10月16日現在、対策方法はありません。以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。

- ネットワークへのアクセスを制限する
- WAN デバイスマネジメントを無効化する

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99397682
無線 LAN アクセスポイント ZoneFlex 2942 に認証回避の脆弱性
https://jvn.jp/cert/JVNVU99397682/index.html

■今週のひとくちメモ

○Internet Explorer 11 Blocker Toolkit

Microsoft は、Windows Update サービスを通じた Internet Explorer 11 の自
動配布を予定しています。これに先だち、Internet Explorer 11 の自動配布を
ブロックする Internet Explorer 11 Blocker Toolkit の提供が開始されまし
た。

業務アプリケーションなどで Internet Explorer を使用している環境において、
自動更新を行いたくない場合、このツールを使って Internet Explorer 11 へ
の自動更新をブロックすることが可能です。

参考文献 (日本語)

Microsoft
Internet Explorer 11 自動配布の無効化ツールキット
http://www.microsoft.com/ja-jp/download/details.aspx?id=40722

■JPCERT/CC からのお願い