<<< JPCERT/CC WEEKLY REPORT 2010-08-18 >>>
■08/08(日)〜08/14(土) のセキュリティ関連情報
目 次
【1】2010年8月 Microsoft セキュリティ情報について
【2】Windows サービスの分離機能に脆弱性
【3】Adobe の複数の製品に脆弱性
【4】Apple iOS に複数の脆弱性
【5】Apple QuickTime にバッファオーバーフローの脆弱性
【6】Opera ブラウザに複数の脆弱性
【7】Cisco Wireless Control System に SQL インジェクションの脆弱性
【8】Cisco IOS に脆弱性
【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開
【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中
【今週のひとくちメモ】Thunderbird 3.0 のサポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103101.txt
https://www.jpcert.or.jp/wr/2010/wr103101.xml
【1】2010年8月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA10-222A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-222A.htmlUS-CERT Cyber Security Alert SA10-222A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-222A.htmlDOE-CIRC Technical Bulletin T-413
Microsoft August 2010 Security Bulletin Release
http://www.doecirc.energy.gov/bulletins/t-413.shtml
概要
Microsoft Windows、Office、Internet Explorer、.NET Framework、 Silverlight などの製品および関連コンポーネントには、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。
関連文書 (日本語)
2010 年 8 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspxJapan Vulnerability Notes JVNTA10-222A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA10-222A/index.htmlJapan Vulnerability Notes JVN#86832361
Microsoft Windows におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN86832361/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-046,047,048,049,050,051,052,053,054,055,056,057,058,059,060)
https://www.npa.go.jp/cyberpolice/topics/?seq=4268JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0020
2010年8月 Microsoft セキュリティ情報 (緊急 8件含) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100020.txt
【2】Windows サービスの分離機能に脆弱性
情報源
マイクロソフト セキュリティ アドバイザリ (2264072)
Windows サービスの分離バイパスの使用により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/2264072.mspx
概要
Windows サービスの分離機能には、脆弱性があります。結果として、遠 隔の第三者が権限を昇格する可能性があります。 2010年8月17日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 回避策など、詳細については情報源および関連文書を参照してください。
関連文書 (英語)
Microsoft Support
An update is available for the Windows Telephony Application Programming Interface (TAPI)
http://support.microsoft.com/kb/982316?ln=en
【3】Adobe の複数の製品に脆弱性
情報源
US-CERT Technical Cyber Security Alert TA10-223A
Adobe Flash and AIR Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-223A.htmlUS-CERT Cyber Security Alert SA10-223A
Adobe Flash and AIR Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-223A.htmlUS-CERT Vulnerability Note VU#660993
Adobe Flash 10.1 ActionScript AVM1 ActionPush vulnerability
http://www.kb.cert.org/vuls/id/660993DOE-CIRC Technical Bulletin T-414
Security update available for Adobe Flash Player and Adobe AIR
http://www.doecirc.energy.gov/bulletins/t-414.shtml
概要
Adobe Acrobat、Reader、Flash Player、AIR、ColdFusion、Flash Media Server には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Adobe によると、Adobe Reader および Acrobat の修正済みのバージョンは 2010年8月16日の週に公開 される予定です。 詳細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB10-16
Adobe Flash Player用のセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/859/cpsid_85938.htmlAdobe TechNote APSB10-17
セキュリティ情報の公開 APSB10-17:AcrobatおよびAdobe Reader
http://kb2.adobe.com/jp/cps/858/cpsid_85842.htmlAdobe TechNote APSB10-18
ColdFusion用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/859/cpsid_85933.htmlAdobe TechNote APSB10-19
Flash Media Serverのセキュリティ脆弱性に対処するためのアップデート
http://kb2.adobe.com/jp/cps/859/cpsid_85908.htmlJapan Vulnerability Notes JVNTA10-223A
Adobe Flash および AIR に脆弱性
https://jvn.jp/cert/JVNTA10-223A/index.htmlJapan Vulnerability Notes JVNVU#660993
Adobe Flash の ActionScript の処理に脆弱性
https://jvn.jp/cert/JVNVU660993/index.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=4352JPCERT/CC Alert 2010-08-11 JPCERT-AT-2010-0021
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100021.txt
関連文書 (英語)
Adobe Product Security Incident Response Team (PSIRT) Blog
Prenotification: Out-of-band Security Updates for Adobe Reader and Acrobat
http://blogs.adobe.com/psirt/2010/08/pre-notification-out-of-band-security-updates-for-adobe-reader-and-acrobat.htmlAdobe Product Security Incident Response Team (PSIRT) Blog
Security updates available for Adobe Flash Player, ColdFusion and Flash Media Server
http://blogs.adobe.com/psirt/2010/08/security-updates-available-for-adobe-flash-player-coldfusion-and-flash-media-server.html
【4】Apple iOS に複数の脆弱性
情報源
US-CERT Cyber Security Alert SA10-224A
Apple Updates iOS for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-224A.html
概要
Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 が細工したファイルや Web ページを閲覧させることで任意のコードを 実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS for iPhone 3G 2.0 から 4.0.1 - iOS for iPod touch 2.1 から 4.0 - iOS for iPad 3.2 および 3.2.1 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。
関連文書 (英語)
Apple Support HT4291
About the security content of the iOS 4.0.2 Update for iPhone and iPod touch
http://support.apple.com/kb/HT4291?viewlocale=en_USApple Support HT4292
About the security content of the iOS 3.2.2 Update for iPad
http://support.apple.com/kb/HT4292?viewlocale=en_USApple Mailing Lists
APPLE-SA-2010-08-11-1 iOS 4.0.2 Update for iPhone and iPod touch
http://lists.apple.com/archives/security-announce/2010/Aug/msg00000.htmlApple Mailing Lists
APPLE-SA-2010-08-11-2 iOS 3.2.2 Update for iPad
http://lists.apple.com/archives/security-announce/2010/Aug/msg00001.html
【5】Apple QuickTime にバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases QuickTime 7.6.7
http://www.us-cert.gov/current/archive/2010/08/13/archive.html#apple_releases_quicktime_7_61
概要
Apple QuickTime には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が細工した動画ファイルを閲覧させることで 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime (Windows) 7.6.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、QuickTime を 更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#693335
Apple Quicktime に脆弱性
https://jvn.jp/cert/JVNVU693335/index.html
関連文書 (英語)
Apple Support HT4290
About the security content of QuickTime 7.6.7
http://support.apple.com/kb/HT4290?viewlocale=en_USApple Mailing Lists
APPLE-SA-2010-08-12-1 QuickTime 7.6.7
http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html
【6】Opera ブラウザに複数の脆弱性
情報源
Opera Software
Opera 10.61 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1061/
概要
Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が細工した Web ページをユーザに閲覧させるなどの方法により任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Opera 10.60 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ ザを更新することで解決します。
関連文書 (日本語)
Opera Software
ウェブブラウザ Opera 10
http://jp.opera.com/browser/
【7】Cisco Wireless Control System に SQL インジェクションの脆弱性
情報源
DOE-CIRC Technical Bulletin T-415
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.doecirc.energy.gov/bulletins/t-415.shtml
概要
Cisco Wireless Control System (WCS) には、SQL インジェクションの 脆弱性があります。結果として、認証済みのユーザが許可されていない 任意の操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Wireless Control System (WCS) 6.0.196.0 より前のバージョ ン この問題は、Cisco が提供する修正済みのバージョンに、Cisco Wireless Control System (WCS) を更新することで解決します。詳細に ついては Cisco が提供する情報を参照してください。
関連文書 (日本語)
Cisco Security Advisory 112096
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/JP/support/public/ht/security/109/1090796/cisco-sa-20100811-wcs-j.shtml
関連文書 (英語)
Cisco Security Advisory 112096
SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4091e.shtmlCisco Applied Mitigation Bulletin 112098
Identifying and Mitigating Exploitation of the SQL Injection Vulnerability in Cisco Wireless Control System
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b40920.html
【8】Cisco IOS に脆弱性
情報源
US-CERT Current Activity Archive
Cisco IOS Software Vulnerability
http://www.us-cert.gov/current/archive/2010/08/13/archive.html#cisco_ios_software_vulnerability
概要
Cisco IOS には、脆弱性があります。結果として、遠隔の第三者が細工 したパケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となるバージョンは以下の通りです。 - Cisco IOS Software 15.1(2)T この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を 更新することで解決します。詳細については、Cisco が提供する情報を 参照してください。
関連文書 (英語)
Cisco Security Advisory 112099
Cisco IOS Software TCP Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4095e.shtmlCisco Applied Mitigation Bulletin 112101
Identifying and Mitigating Exploitation of the Cisco IOS Software TCP Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b4095d.html
【9】JPCERT/CC フィールドレポート 「海外セキュリティ関連機関・組織の動向」を公開
情報源
JPCERT/CC
海外セキュリティ関連機関・組織の動向
http://www.jpcert.or.jp/magazine/security/field.html
概要
「JPCERT/CC フィールドレポート」は、海外のセキュリティ関連機関・ 組織との連携活動、海外のセキュリティ動向、国内外の専門家へのイン タビューや、JPCERT/CC が主催するイベント、JPCERT/CC のアナリスト が各所で行った講演のレポートなどを紹介していく予定です。 第一回目は、2000年に設立された、タイの科学技術省 (Ministry of Science and Technology) の管轄する National CSIRT である ThaiCERT のエンジニア キティサック・ジラワンナクール氏に、タイの セキュリティ事情・対策についてインタビューし、紹介しています。
【10】C/C++ セキュアコーディングセミナー 2010 @名古屋 ひきつづき参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @名古屋 のご案内
https://www.jpcert.or.jp/event/securecoding-NGY-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない 安全なプログラムをコーディングする具体的なテクニックとノウハウを学 んでいただく「C/C++ セキュアコーディングセミナー」を開催しています。 「C/C++ セキュアコーディングセミナー2010@名古屋」は、東海地区の プログラム開発者の皆様に受講いただけるよう、名古屋を会場として 9月2日、3日の 2日間コースで開催します。受講料は無料です。ふるっ てご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年9月2日(木) 9:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 <整数・コードレビュー> 2010年9月3日(金) 9:10 - 受付開始 9:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] 名駅ABCビル第3会議室 愛知県名古屋市中村区椿町16-23 [定員] 50名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 名古屋 お申し込み
https://www.jpcert.or.jp/event/securecoding-NGY-application.html
■今週のひとくちメモ
○Thunderbird 3.0 のサポート終了
Thunderbird 3.0 のサポートは 2010年12月で終了する予定です。 Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応 状況や他アプリケーションとの連携などの確認を行い、早めに Thunderbird 3.1 へ移行することをお勧めします。 なお、Thuderbird 2 のサポートは 2010年6月で終了しています。
参考文献 (日本語)
Mozilla Japan ブログ
Thunderbird 3.1.2 を公開しました
http://mozilla.jp/blog/entry/5809/
参考文献 (英語)
Mozilla Thunderbird
旧バージョンのダウンロード
http://mozilla.jp/thunderbird/download/older/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/