-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-0601 JPCERT/CC 2010-02-17 <<< JPCERT/CC WEEKLY REPORT 2010-02-17 >>> ―――――――――――――――――――――――――――――――――――――― ■02/07(日)〜02/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年2月 Microsoft セキュリティ情報について 【2】Adobe の複数の製品に脆弱性 【3】Google Chrome に複数の脆弱性 【4】Cisco IronPort Encryption Appliance に複数の脆弱性 【5】Panda Security ActiveScan にデジタル署名を検証しない問題 【今週のひとくちメモ】Microsoft Windows 製品のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr100601.html https://www.jpcert.or.jp/wr/2010/wr100601.xml ============================================================================ 【1】2010年2月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-040A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-040A.html US-CERT Cyber Security Alert SA10-040A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-040A.html DOE-CIRC Technical Bulletin T-305 Microsoft PowerPoint OEPlaceholderAtom Invalid Array Indexing Vulnerability http://www.doecirc.energy.gov/bulletins/t-305.shtml 概要 Microsoft Windows、Windows Server、Internet Explorer、Office な どの製品および関連コンポーネントには、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 詳細については、マイクロソフトが提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2010-02-03【2】で紹介した問題に 対する解決策も含まれています。 関連文書 (日本語) 2010 年 2 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx Japan Vulnerability Notes JVNTA10-040A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-040A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-003,004,005,006,007,008,009,010,011,012,013,014,015) http://www.npa.go.jp/cyberpolice/topics/?seq=1718 JPCERT/CC Alert 2010-02-10 JPCERT-AT-2010-0006 2010年2月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100006.txt JPCERT/CC WEEKLY REPORT 2010-02-03 【2】Windows カーネルに脆弱性 https://www.jpcert.or.jp/wr/2010/wr100401.html#2 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletins for Acrobat, Reader, and Flash Player http://www.us-cert.gov/current/archive/2010/02/12/archive.html#adobe_releases_security_bulletins_fo 概要 Adobe Acrobat、Reader、Flash Player には、複数の脆弱性があります。 結果として、遠隔の第三者が不正なクロスドメインリクエストを処理さ せる可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 10.0.42.34 およびそれ以前 - Adobe AIR 1.5.3.9120 およびそれ以前 - Adobe Reader 9.3 およびそれ以前 - Adobe Acrobat 9.3 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Adobe によると、Adobe Reader および Acrobat の修正済みのバージョンは 2010年2月16日に公開され る予定です。詳細については、Adobe が提供する情報を参照してくださ い。 関連文書 (英語) Adobe Security Bulletin APSB10-06 Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb10-06.html Adobe Security Bulletin APSB10-07 Security Advisory for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-07.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 4.0.249.89 http://www.us-cert.gov/current/archive/2010/02/12/archive.html#google_releases_chrome_4_01 概要 Google Chrome には、複数の脆弱性があります。結果として、遠隔の第 三者が機密情報を取得したり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下の通りです。 - Google Chrome 4.0.249.89 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chromium Security Bugs http://sites.google.com/a/chromium.org/dev/Home/chromium-security/chromium-security-bugs Google Google Chrome Releases http://googlechromereleases.blogspot.com/2010/02/stable-channel-update.html 【4】Cisco IronPort Encryption Appliance に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Advisory for IronPort Encryption Appliance http://www.us-cert.gov/current/archive/2010/02/12/archive.html#cisco_releases_bulletin_for_ironport 概要 Cisco IronPort Encryption Appliance には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のファイルにアクセスしたり、任意の コードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Cisco IronPort Encryption Appliance 6.5.2 より前の 6.5 系 - Cisco IronPort Encryption Appliance 6.2.9.1 より前の 6.2 系 - Cisco IronPort PostX MAP 6.2.9.1 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco IronPort Encryption Appliance を更新することで解決します。 関連文書 (英語) Cisco Security Advisory 111491 Multiple Vulnerabilities in Cisco IronPort Encryption Appliance http://www.cisco.com/warp/public/707/cisco-sa-20100210-ironport.shtml Cisco Applied Mitigation Bulletin 111668 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in IronPort Encryption Appliance http://www.cisco.com/warp/public/707/cisco-amb-20100210-ironport.shtml 【5】Panda Security ActiveScan にデジタル署名を検証しない問題 情報源 US-CERT Vulnerability Note VU#869993 Panda Security ActiveScan fails to properly validate downloaded software http://www.kb.cert.org/vuls/id/869993 概要 Panda Security ActiveScan のインストーラコンポーネントには、ダウ ンロードしたソフトウェアコンポーネントのデジタル署名を検証しない 問題があります。結果として、遠隔の第三者が細工した HTML 文書を閲 覧させることでユーザの権限で任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - as2stubie.dll 1.3.3.0 より前のバージョン この問題は、Panda Security が提供する修正済みのバージョンに、 Panda Security ActiveScan を更新することで解決します。 関連文書 (日本語) Panda Security フリーオンラインスキャン(ActiveScan2.0) http://www.ps-japan.co.jp/homeuser/content0001.html Japan Vulnerability Notes JVNVU#869993 Panda Security ActiveScan におけるコンポーネントのデジタル署名を検証しない問題 https://jvn.jp/cert/JVNVU869993/index.html 関連文書 (英語) Panda Security ActiveScan 2.0 http://www.pandasecurity.com/activescan/index/ Panda Security Panda ActiveScan 2.0 - Free Antivirus http://www.pandasecurity.com/homeusers/solutions/activescan/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Microsoft Windows 製品のサポート終了 2010年2月4日、Microsoft Security Response Center Blog の記事に、 サポート終了が近づいている Windows 製品に関する注意が、あらため て掲載されています。これらに該当する Windows のバージョンを利用 している方は、サポート終了前に対応をご検討ください。 - Windows XP Service Pack 2 のサポートは 2010年7月13日で終了しま す。Service Pack 3 あるいは Windows 7 へのアップグレードが推奨 されています。 - Windows Vista 初期版 (RTM) のサポートは 2010年4月13日で終了し ます。Service Pack 2 あるいは Windows 7 へのアップグレードが推 奨されています。 - Windows 2000 の延長サポートは 2010年7月13日で終了します。 参考文献 (日本語) マイクロソフト サポート オンライン サポート ライフサイクル サイト インフォメーション http://support.microsoft.com/lifecycle/ マイクロソフト サポート オンライン Windows 2000 エンド・オブ・サポート ソリューションセンター http://support.microsoft.com/ph/1131 JPCERT/CC WEEKLY REPORT 2009-06-17 【今週のひとくちメモ】Windows 2000 延長サポート期間の終了について https://www.jpcert.or.jp/wr/2009/wr092301.html#Memo 参考文献 (英語) The Microsoft Security Response Center (MSRC) February 2010 Bulletin Release Advance Notification http://blogs.technet.com/msrc/archive/2010/02/04/february-2010-bulletin-release-advance-notification.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLe1GBAAoJEDF9l6Rp7OBIGHcH/jiTQGCNhyBizDHoBJaA1Lr8 exkb8LgQO4AzODm69df7r8zPLvfeduGZxU2qCoNItnvflW/XUAT3brRXNQqOm+gq TijFmYE2yWdYQCJEhuvxdcpQ4vrnkW0RMMvBBoFwVEWPBueAyFs4fQyS5jzDax4j dW6IykNnd8jGBbk5SgCDTfg3NxPiytLaoyhik4J8LDxqlplzz90yQ+yhS+lbd4nV z5PPntlrLCgKCw/dT1MvWIlfeT6fpSkadYsDSYGDmmhvkR9DZQ8bV/6Jc0fboL+v 7JYXWRl6iygnCI0TVCH7IOdQL3elxBMSbvL96YCOYOp2upKw9lPgD8/6HHRu3y8= =CYpf -----END PGP SIGNATURE-----