<<< JPCERT/CC WEEKLY REPORT 2010-08-25 >>>
■08/15(日)〜08/21(土) のセキュリティ関連情報
目 次
【1】「Adobe の複数の製品に脆弱性」に関する追加情報
【2】Google Chrome に複数の脆弱性
【3】VLC Media Player に脆弱性
【4】Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性
【5】Winny に複数の脆弱性
【今週のひとくちメモ】ソフトウエアのアップデートを再確認しましょう
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103201.txt
https://www.jpcert.or.jp/wr/2010/wr103201.xml
【1】「Adobe の複数の製品に脆弱性」に関する追加情報
情報源
US-CERT Technical Cyber Security Alert TA10-231A
Adobe Reader and Acrobat Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-231A.htmlUS-CERT Cyber Security Alert SA10-231A
Adobe Reader and Acrobat Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-231A.htmlDOE-CIRC Technical Bulletin T-418
Adobe Acrobat and Reader Font Parsing Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-418.shtml
概要
JPCERT/CC WEEKLY REPORT 2010-08-18 号【3】で紹介した「Adobe の複 数の製品に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを 2010年8月19日に公開しました。詳細については、Adobe が提供する情 報を参照してください。
関連文書 (日本語)
Adobe TechNote
セキュリティアップデータの公開 APSB10-17:AcrobatおよびAdobe Reader
http://kb2.adobe.com/jp/cps/858/cpsid_85842.htmlJapan Vulnerability Notes JVNTA10-231A
Adobe Reader および Acrobat における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA10-231A/index.html@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=4519JPCERT/CC Alert 2010-08-20 JPCERT-AT-2010-0022
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100022.txtJPCERT/CC WEEKLY REPORT 2010-08-18 号
【3】Adobe の複数の製品に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103101.html#3
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 5.0.375.127
http://www.us-cert.gov/current/archive/2010/08/20/archive.html#google_releases_chrome_5_06
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 5.0.375.127 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/08/stable-channel-update_19.html
【3】VLC Media Player に脆弱性
情報源
US-CERT Current Activity Archive
VideoLAN Releases a Security Advisory for VLC Media Player
http://www.us-cert.gov/current/archive/2010/08/20/archive.html#videolan_releases_a_security_update
概要
VLC Media Player には、脆弱性があります。結果として、遠隔の第三 者が細工したファイルを再生させることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - VLC Media Player 0.9.0 から 1.1.2 まで この問題は、配布元が提供する修正済みのバージョンに VLC Media Player を更新することで解決します。
関連文書 (英語)
VideoLAN Project
Security Advisory 1004
http://www.videolan.org/security/sa1004.html
【4】Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#320233
Wyse ThinOS LPD service buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/320233
概要
Wyse ThinOS の LPD サービスには、バッファオーバーフローの脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Wyse ThinOS 6.5 より前のバージョン この問題は、ベンダが提供する修正済みのバージョンに Wyse ThinOS を更新することで解決します。
関連文書 (日本語)
Wyse Technology
Wyse Thin OS (WTOS) とは
http://www.wyse.co.jp/products/software/os/index.aspJapan Vulnerability Notes JVNVU#320233
Wyse ThinOS LPD サービスにバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU320233/index.html
関連文書 (英語)
Wyse Technology
Wyse ThinOS
http://www.wyse.com/products/software/os/index.asp
【5】Winny に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#54336184
Winny における BBS 情報の処理に関する脆弱性
https://jvn.jp/jp/JVN54336184/index.htmlJapan Vulnerability Notes JVN#25393522
Winny におけるノード情報の処理に関する脆弱性
https://jvn.jp/jp/JVN25393522/index.htmlJapan Vulnerability Notes JVN#21471805
Winny におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN21471805/index.htmlJapan Vulnerability Notes JVN#91740962
Winny におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN91740962/index.html
概要
Winny には、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、Distributed Denial of Service (DDoS) 攻 撃に使用したりする可能性があります。 対象となるバージョンは以下の通りです。 - Winny 2.0b7.1 およびそれ以前 2010年8月24日現在、この問題に対する解決策は提供されていません。 Winny の使用を停止してください。
■今週のひとくちメモ
○ソフトウエアのアップデートを再確認しましょう
多くの人が夏休みで職場を離れているこの 1、2ヶ月の間にも、様々な ソフトウエアベンダが脆弱性の修正を行なっています。Microsoft Update や Apple のセキュリティアップデート以外に、Adobe Flash な どの Web ブラウザプラグインや Adobe Reader などのアプリケーショ ンのアップデートがリリースされています。 夏休み中に公開されたアップデートについて、適用し忘れているものが ないか、確認してください。 バージョンアップの自動確認と通知を行う機能を実装したアプリケーショ ンが増えています。これらのアプリケーションの通知を見逃すことのな いようご注意ください。また、Flash プラグインのように手動でバージョ ンアップを確認する必要があるものについては、セキュリティ情報サー ビスを活用するなどして、適切なタイミングでアップデートするように 心掛けましょう。
参考文献 (日本語)
JPCERT/CC
注意喚起
https://www.jpcert.or.jp/at/Japan Vulnerability Notes
脆弱性レポート 一覧
https://jvn.jp/report/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/