<<< JPCERT/CC WEEKLY REPORT 2013-12-18 >>>

■12/08(日)〜12/14(土) のセキュリティ関連情報

目　次

【1】Microsoft 製品の複数の脆弱性に対するアップデート

【2】Adobe の複数の製品に脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】サイボウズ デヂエにクロスサイトスクリプティングの脆弱性

【5】SketchUp Viewer にバッファオーバフローの脆弱性

【6】Juniper ScreenOS にサービス運用妨害 (DoS) の脆弱性

【7】制御システムセキュリティカンファレンス 2014開催のご案内

【今週のひとくちメモ】ICANN Study on Whois Misuse コメント募集中

【1】Microsoft 製品の複数の脆弱性に対するアップデート

情報源

US-CERT Current Activity
Microsoft Releases December 2013 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2013/12/10/Microsoft-Releases-December-2013-Security-Bulletin

概要

Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Office
- Internet Explorer
- Microsoft Lync
- Microsoft Exchange
- Microsoft SharePoint
- Microsoft 開発者ツール

この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで
解決します。なお、この更新には、 JPCERT/CC REPORT 2013-11-13 号【1】で
紹介した問題に対する修正も含まれています。詳細については、Microsoft が
提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2013 年 12 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-dec

マイクロソフト株式会社
2013 年 12 月のセキュリティ情報 (月例) - MS13-096～MS13-106
http://blogs.technet.com/b/jpsecurity/archive/2013/12/11/3617449.aspx

JPCERT/CC Alert 2013-12-11
2013年12月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130047.html

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates for Adobe Flash Player
https://www.us-cert.gov/ncas/current-activity/2013/12/11/Adobe-Releases-Security-Updates-Adobe-Flash-Player

US-CERT Current Activity
Adobe Releases Security Update for Adobe Shockwave Player
https://www.us-cert.gov/ncas/current-activity/2013/12/11/Adobe-Releases-Security-Update-Adobe-Shockwave-Player

概要

Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Adobe Flash Player
- Adobe Shockwave Player

この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Adobe が提供する情報を参照して下さ
い。

関連文書 (日本語)

JPCERT/CC Alert 2013-12-11
Adobe Flash Player の脆弱性 (APSB13-28) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130048.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Multiple Updates
https://www.us-cert.gov/ncas/current-activity/2013/12/11/Mozilla-Releases-Multiple-Updates

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となるバージョンは以下の通りです。

- Firefox 26 より前のバージョン
- Firefox ESR 24.2 より前のバージョン
- Thunderbird 24.2 より前のバージョン
- SeaMonkey 2.23 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

【4】サイボウズ デヂエにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#21336955
サイボウズ デヂエにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21336955/index.html

概要

サイボウズ デヂエには、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、当該製品にログインしているユーザのブラウザ
上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ デヂエ 8.0.7 およびそれ以前
- サイボウズ Office plus デヂエ 8.0.7 およびそれ以前
- サイボウズ デヂエ 8.0.7 for ASP およびそれ以前

この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ デヂエ
を更新することで解決します。詳細については、サイボウズが提供する情報を
参照して下さい。

関連文書 (日本語)

サイボウズ株式会社
「キャンセルする」ボタンのクリック時にスクリプトを実行できる脆弱性【CY13-012-001】
http://cs.cybozu.co.jp/information/20131209up11.php

【5】SketchUp Viewer にバッファオーバフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#586958
SketchUp Viewer buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/586958

概要

SketchUp Viewer には、バッファオーバフローの脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SketchUp Viewer バージョン 13.0.4124

2013年12月17日現在、対策方法はありません。以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。

- Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99123384
SketchUp Viewer にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU99123384/index.html

【6】Juniper ScreenOS にサービス運用妨害 (DoS) の脆弱性

情報源

Japan Vulnerability Notes JVN#28436508
Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN28436508/index.html

概要

Juniper Networks の ScreenOS には、サービス運用妨害 (DoS) の脆弱性があ
ります。結果として、遠隔の第三者が細工したパケットを送信することで、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- ScreenOS バージョン 6.3
- ScreenOS バージョン 6.2
- ScreenOS バージョン 5.4 (NS 5GT のみ)

この問題は、Juniper Networks が提供する情報をもとに、Ping of Death
Screen を有効にすることで解決します。詳細については、Juniper Networks
が提供する情報を参照して下さい。

関連文書 (英語)

Juniper Networks
2013-12 Security Bulletin: NetScreen Firewall: Crafted packet can cause denial of service (CVE-2013-6958)
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10604

【7】制御システムセキュリティカンファレンス 2014開催のご案内

情報源

JPCERT/CC
制御システムセキュリティカンファレンス 2014開催のご案内
https://www.jpcert.or.jp/event/ics-conference2014.html

概要

2014年2月5日、経済産業省と JPCERT/CC の主催で、制御システムセキュリティ
カンファレンス 2014 が開催されます。第6回となる本年は、国内の動向を紹
介するセッションとともに、台湾やオーストラリアなど海外における取り組み
を紹介するセッションも企画されています。

＜開催概要＞

日　　時　2014年2月5日(水）10時開始 (9:30受付開始)
会　　場　コクヨホール
　　　　　東京都港区港南1-8-35
　　　　　https://www.kokuyo.co.jp/showroom/hall/access/

対 象 者  制御システム関係者（ユーザ企業・事業者、システムインテグレー
          タ・ エンジニアリング会社、製品開発者、研究者）
参加費用  無料
定　　員  300名

申し込み方法　申し込みフォームに必要事項をご記入の上、
              csc-regist@e-side.co.jp までメールにてお申し込みください。
              先着順にて受け付け、定員になり次第締切りとなります。

■今週のひとくちメモ

○ICANN Study on Whois Misuse コメント募集中

ICANN は、gTLD の whois 情報の誤用や悪用に関する調査報告書を公開し、内
容についてコメントを募集しています。

この報告書では、gTLD の whois サービスで公開されている登録情報について、
スパムやフィッシングなどに使われた事例の調査や、whois に登録したダミー
情報が、どの程度スパムに使われるかを調査した結果などをまとめており、今
後の GNSO (Generic Names Supporting Organization) におけるポリシー策定
の議論に役立てられる予定です。

コメント募集期間は 2013年12月27日までとなっています。

参考文献 (日本語)

JPCERT/CC ひとくちメモ
ICANN、"Initial Report from the EWG on gTLD Directory Services" を公開
https://www.jpcert.or.jp/tips/2013/wr132701.html

参考文献 (英語)

ICANN
Study on Whois Misuse
http://www.icann.org/en/news/public-comment/whois-misuse-27nov13-en.htm

ICANN Generic Names Supporting Organization
Current Information About GNSO-Approved gTLD Whois Studies
http://gnso.icann.org/en/group-activities/other/whois/studies

■JPCERT/CC からのお願い