JPCERT-WR-2008-4501
2008-11-19
2008-11-09
2008-11-15
2008年11月 Microsoft セキュリティ情報について
Microsoft Windows、Microsoft Office、および Microsoft XML コアサー
ビスには、複数の脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする
可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
2008 年 11 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx
マイクロソフト セキュリティ情報 MS08-068 - 重要
SMB の脆弱性により、リモートでコードが実行される (957097)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-068.mspx
マイクロソフト セキュリティ情報 MS08-069 - 緊急
Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-069.mspx
Japan Vulnerability Notes JVNTA08-316A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-316A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-068,069)
http://www.cyberpolice.go.jp/important/2008/20081112_120103.html
JPCERT/CC Alert 2008-11-12
2008年11月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080021.txt
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで、任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃やクロスサイトスクリプティング攻撃を行ったりするなどの
可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.4
- Firefox 2.0.0.18
- SeaMonkey 1.1.13
なお、2008年11月18日現在、Thunderbird の修正プログラムは提供され
ていません。詳細については、OS のベンダや配布元が提供する情報を
参照してください。
また、Firefox 2.0.0.x のサポートについては、2008年12月中旬までの
予定です。Firefox 2.0.0.x ユーザは、この機会に Firefox 3 へ移行
することをおすすめします。
Japan Vulnerability Notes JVNTA08-319A
Mozilla 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-319A/index.html
Mozilla Japan
Firefox 2 リリースノート - Firefox 2.0.0.18 の新機能と改良点
http://mozilla.jp/firefox/2.0.0.18/releasenotes/
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.4 - 2008/11/12 リリース
http://mozilla.jp/firefox/3.0.4/releasenotes/
Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
SeaMonkey Project
SeaMonkey 1.1.13
http://www.seamonkey-project.org/releases/seamonkey1.1.13/
Red Hat Security Advisory RHSA-2008:0978-6
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0978.html
Red Hat Security Advisory RHSA-2008:0977-6
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0977.html
Safari に複数の脆弱性
Safari には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
する可能性があります。
対象となるバージョンは以下の通りです。
- Safari 3.1.1 for Windows
- Safari 3.1.1 for Mac OS X
この問題は、Apple が提供する修正済みのバージョン Safari 3.2 に更
新することで解決します。なお、本リリースで詐欺サイトを警告する機
能や EV SSL 対応などのセキュリティ機能の改善も行われました。
Apple ダウンロード
Safari 3.2
http://www.apple.com/jp/safari/download/
トレンドマイクロ ServerProtect に複数の脆弱性
トレンドマイクロ ServerProtect には、複数の脆弱性があります。結
果として、遠隔の第三者が ServerProtect のアカウントまたは管理者
の権限で任意のコマンドを実行したり、機密情報を取得したりする可能
性があります。
対象となるバージョンは以下の通りです。
- Trend Micro ServerProtect 5.58 および 5.7
2008年11月18日現在、トレンドマイクロからは ServerProtect の修正
プログラムが提供されておりますが、その修正が完全ではないとの報告
もあります。詳細については、今後トレンドマイクロが提供する情報を
参照してください。
トレンドマイクロ
ServerProtect for WindowsNT/NetWare
http://www.trendmicro.co.jp/download/product.asp?productid=17
無線 LAN のセキュリティ
WPA と WPA2 はそれぞれ暗号化と認証の機能を有しています。WPA 対応
機器では TKIP (RC4) が使用可能であること、WPA2 対応機器では、よ
り暗号強度の高い CCMP (AES) が使用可能であることとされています。
ただし、WPA2 対応機器であってもほとんどの場合、既存の機器との後
方互換性のため、TKIP (RC4) にも対応しています。
例えば、WPA 対応機器と WPA2 対応機器が混在している場合、WPA2 対
応機器を使用しているからといって、必ずしも CCMP (AES) を使ってい
るとは限りません。WPA2 対応機器のみで構成されるネットワークでは
CCMP (AES) のみを使う設定にする事を推奨します。
JPCERT/CC REPORT 2007-08-29
【今週のひとくちメモ】無線 LAN のセキュリティ (WEP、WPA、WPA2)
http://www.jpcert.or.jp/wr/2007/wr073301.html#Memo