<<< JPCERT/CC WEEKLY REPORT 2013-11-20 >>>

■11/10(日)〜11/16(土) のセキュリティ関連情報

目　次

【1】Microsoft 製品の複数の脆弱性に対するアップデート

【2】Adobe の複数の製品に脆弱性

【3】一太郎シリーズに脆弱性

【4】EMC Documentum にクロスサイトスクリプティングの脆弱性

【5】フィッシング対策セミナー2013 開催のお知らせ

【今週のひとくちメモ】EMET 4.1 リリース

【1】Microsoft 製品の複数の脆弱性に対するアップデート

情報源

US-CERT Alert (TA13-317A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/ncas/alerts/TA13-317A

概要

Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Office
- Internet Explorer

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで
解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2013 年 11 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov

マイクロソフト株式会社
2013 年 11 月のセキュリティ情報 (月例) - MS13-088 ～ MS13-095
http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610237.aspx

独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(11月)
http://www.ipa.go.jp/security/ciadr/vul/20131113-ms.html

警察庁@Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-088,089,090,091,092,093,094,095)
http://www.npa.go.jp/cyberpolice/topics/?seq=12595

JPCERT/CC Alert 2013-11-13
2013年11月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130045.html

Japan Vulnerability Notes JVNTA13-317A
Microsoft 製品の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-317A/index.html

関連文書 (英語)

Microsoft Security TechCenter
Microsoft Security Bulletin Summary for November 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Adobe Flash Player
https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Updates-Adobe-Flash-Player

US-CERT Current Activity
Adobe Releases Security Update for Adobe ColdFusion
https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Update-Adobe-ColdFusion

概要

Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Adobe Flash Player
- Adobe ColdFusion

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

関連文書 (日本語)

Adobe
APSB13-26: Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq11111654.html

Adobe
APSB13-27: ColdFusion に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/coldfusion/kb/cq11111652.html

JPCERT/CC Alert 2013-11-13
Adobe Flash Player の脆弱性 (APSB13-26) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130046.html

【3】一太郎シリーズに脆弱性

情報源

Japan Vulnerability Notes JVN#44999463
一太郎シリーズにおいて任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN44999463/index.html

概要

一太郎シリーズには、脆弱性があります。結果として、遠隔の第三者が細工し
たファイルをユーザに開かせることで任意のコードを実行する可能性がありま
す。

対象となるバージョンは以下の通りです。

- 一太郎2013 玄
- 一太郎2013 玄 体験版
- 一太郎2012 承
- 一太郎2011 創 / 一太郎2011
- 一太郎Pro 2
- 一太郎Pro 2 体験版
- 一太郎Pro
- 一太郎Government 7
- 一太郎Government 6
- 一太郎2010
- 一太郎ガバメント2010
- 一太郎2009、一太郎ガバメント2009
- 一太郎2008、一太郎ガバメント2008
- 一太郎2007、一太郎ガバメント2007
- 一太郎2006、一太郎ガバメント2006
- 一太郎ポータブル with oreplug
- 一太郎ビューア

この問題は、ジャストシステムが提供する修正済みのバージョンに一太郎を更
新することで解決します。詳細については、ジャストシステムが提供する情報
を参照して下さい。

関連文書 (日本語)

ジャストシステム
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js13003.html

警察庁@Police
ジャストシステム社製品の脆弱性について
http://www.npa.go.jp/cyberpolice/topics/?seq=12597

IPA 独立行政法人情報処理推進機構
「一太郎」シリーズにおいて任意のコードが実行される脆弱性対策について(JVN#44999463)
https://www.ipa.go.jp/security/ciadr/vul/20131112-jvn.html

【4】EMC Documentum にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#466876
EMC Documentum Product Suite version 6.7 contains a DOM based cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/466876

概要

EMC Documentum には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- EMC Documentum Webtop 6.7 SP2 P07 より前のバージョン
- EMC Documentum WDK 6.7 SP2 P07 より前のバージョン
- EMC Documentum Taskspace 6.7 SP2 P07 より前のバージョン
- EMC Documentum Records Manager 6.7 SP2 P07 より前のバージョン
- EMC Documentum Web Publisher 6.5 SP7 より前のバージョン
- EMC Documentum Digital Asset Manager 6.5 SP6 より前のバージョン
- EMC Documentum Administrator 6.7 SP2 P07 より前のバージョン
- EMC Documentum Capital Projects 1.8 P01 より前のバージョン

この問題は、EMC が提供する修正済みのバージョンに EMC Documentum を更新
することで解決します。詳細については、EMC が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95124340
EMC Documentum にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU95124340/index.html

関連文書 (英語)

SecurityFocus
ESA-2013-070: EMC Documentum Cross Site Scripting Vulnerability
http://www.securityfocus.com/archive/1/529620/30/0/threaded

【5】フィッシング対策セミナー2013 開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー2013
https://www.antiphishing.jp/news/event/antiphishing_seminar2013.html

概要

フィッシング対策協議会は、日本国内におけるフィッシング詐欺被害の抑制を
目的として、「フィッシング対策セミナー2013」を開催します。今回は、三菱
東京UFJ銀行や警察庁、日本マイクロソフトなどの方々が、それぞれの組織にお
けるフィッシング対策や対応について講演されます。

参加費は無料です。ただし、事前に参加申込みが必要となります。受付は
2013年12月9日(月) までですが、満席になり次第受付終了となりますので、ご
了承ください。

日時および場所：
    2013年12月17日（火）13:30-17:15 (12:45開場)
    トッパン・フォームズ株式会社 1F
    〒105-8311 東京都港区東新橋1-7-3
    http://www.mapion.co.jp/m/35.6596666666667_139.762402777778_10/

関連文書 (日本語)

フィッシング対策協議会
https://www.antiphishing.jp/

■今週のひとくちメモ

○EMET 4.1 リリース

2013年11月13日、Microsoft は、Windows 上で動作するアプリケーションの脆
弱性の影響を緩和するためのツール (Enhanced Mitigation Experience
Toolkit: 以下 EMET) の新バージョン EMET 4.1 をリリースしました。

EMET 4.1 では、既定のプロファイルの構成内容の変更や、マルチユーザ環境
でのイベントログ機能の強化が行われています。

参考文献 (日本語)

Microsoft
EMET 4.1 を公開 〜 構成ファイルや管理機能の強化
http://blogs.technet.com/b/jpsecurity/archive/2013/11/15/3611107.aspx

参考文献 (英語)

Microsoft Security Research & Defense
Introducing Enhanced Mitigation Experience Toolkit (EMET) 4.1
http://blogs.technet.com/b/srd/archive/2013/11/12/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx

■JPCERT/CC からのお願い