JPCERT コーディネーションセンター

Weekly Report 2015-02-18号

JPCERT-WR-2015-0701
JPCERT/CC
2015-02-18

<<< JPCERT/CC WEEKLY REPORT 2015-02-18 >>>

■02/08(日)〜02/14(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】Henry Spencer regular expressions (regex) ライブラリにヒープオーバーフローの脆弱性

【今週のひとくちメモ】JNSA「2013年 情報セキュリティインシデントに関する調査報告書」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2015/wr150701.txt
https://www.jpcert.or.jp/wr/2015/wr150701.xml

【1】複数の Microsoft 製品に脆弱性

情報源

US-CERT Current Activity
Microsoft Releases February 2015 Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2015/02/10/Microsoft-Releases-February-2015-Security-Bulletin

概要

複数の Microsoft 製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft サーバー ソフトウェア

この問題は、Microsoft Update 等を用いて、更新プログラムを適用すること
で解決します。詳細については、Microsoft が提供する情報を参照して下さい。

関連文書 (日本語)

マイクロソフト株式会社
2015 年 2 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-feb

JPCERT/CC Alert 2015-02-12
2015年2月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2015/at150006.html

JVNVU#91424035
Microsoft Windows グループ ポリシーに脆弱性
https://jvn.jp/vu/JVNVU91424035/

関連文書 (英語)

US-CERT Current Activity
Microsoft Releases Critical Security Update for Internet Explorer
https://www.us-cert.gov/ncas/current-activity/2015/02/10/Microsoft-Releases-Critical-Security-Update-Internet-Explorer

【2】Henry Spencer regular expressions (regex) ライブラリにヒープオーバーフローの脆弱性

情報源

CERT/CC Vulnerability Note VU#695940
Henry Spencer regular expressions (regex) library contains a heap overflow vulnerability
https://www.kb.cert.org/vuls/id/695940

概要

Henry Spencer regular expressions (regex) ライブラリには、ヒープオーバー
フローの脆弱性があります。結果として、第三者が任意のコードを実行する可
能性があります。

対象となる製品は以下の通りです。

- Henry Spencer regular expressions (regex) 

32 ビット版以外のオペレーティングシステムを使用している場合、影響を受
けないとのことです。

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージ
ョンに Henry Spencer regular expressions (regex) を更新することで解決
します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (日本語)

JVNVU#92987253
Henry Spencer の正規表現 (regex) ライブラリにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU92987253/

関連文書 (英語)

GUIDO VRANKEN
Full disclosure: heap overflow in H. Spencer’s regex library on 32 bit systems
https://guidovranken.wordpress.com/2015/02/04/full-disclosure-heap-overflow-in-h-spencers-regex-library-on-32-bit-systems/

■今週のひとくちメモ

○JNSA「2013年 情報セキュリティインシデントに関する調査報告書」を公開

2015年1月8日、「2013年 情報セキュリティインシデントに関する調査報告書」
の改訂版 (Ver1.1) が公開されました。収集した情報をもとに、漏えいした人
数、組織の業種、原因、経路などの分類・評価を行っており、独自の算定式
(JOモデル) を用いて、想定損害賠償額も算出しています。内容をご確認のう
え、活用してみてはいかがでしょうか。

参考文献 (日本語)

日本ネットワークセキュリティ協会
2013年 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter