<<< JPCERT/CC WEEKLY REPORT 2010-10-27 >>>
■10/17(日)〜10/23(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
【3】Java for Mac OS X に複数の脆弱性
【4】Google Chrome に複数の脆弱性
【5】Adobe Shockwave Player に脆弱性
【6】RealNetworks RealPlayer に複数の脆弱性
【7】Internet Week 2010 のお知らせ
【8】フィッシング対策セミナー開催のお知らせ
【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 参加者募集中
【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第9版
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104101.txt
https://www.jpcert.or.jp/wr/2010/wr104101.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.11
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#mozilla_releases_firefox_3_64
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、機密情報を取得したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.6.10 およびそれ以前 - Firefox 3.5.13 およびそれ以前 - Thunderbird 3.1.4 およびそれ以前 - Thunderbird 3.0.8 およびそれ以前 - SeaMonkey 2.0.8 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 3.6.11 - 2010/10/19 リリース
http://mozilla.jp/firefox/3.6.11/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.11 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.11Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.14 - 2010/10/19 リリース
http://mozilla.jp/firefox/3.5.14/releasenotes/Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.14 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.14Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.5 - 2010/10/19 リリース
http://mozilla.jp/thunderbird/3.1.5/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.5 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.5Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.9 - 2010/10/19 リリース
http://mozilla.jp/thunderbird/3.0.9/releasenotes/Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.9SeaMonkey Project
SeaMonkey 2.0.9
http://www.seamonkey.jp/ja/releases/seamonkey2.0.9/SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.9
関連文書 (英語)
SeaMonkey Project
SeaMonkey 2.0.9
http://www.seamonkey-project.org/releases/seamonkey2.0.9/Red Hat Security Advisory RHSA-2010:0782-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0782.htmlRed Hat Security Advisory RHSA-2010:0781-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0781.html
【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
情報源
Japan Vulnerability Notes JVN#85599999
Explzh における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN85599999/index.htmlJapan Vulnerability Notes JVN#68536660
Archive Decoder における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN68536660/index.htmlJapan Vulnerability Notes JVN#71138390
Apsaly における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN71138390/index.htmlJapan Vulnerability Notes JVN#48097065
TeraPad における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN48097065/index.htmlJapan Vulnerability Notes JVN#89272705
Sleipnir および Grani における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN89272705/index.htmlJapan Vulnerability Notes JVN#50610528
Sleipnir および Grani における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN50610528/index.htmlJapan Vulnerability Notes JVN#07497935
複数の Yokka 提供製品における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN07497935/index.html
概要
JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 以下の各ソフトウエアには、DLL もしくは実行ファイル読み込み時の検 索パスの問題に起因する脆弱性があります。結果として、遠隔の第三者 がプログラムを実行している権限で、任意のコードを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - Explzh Ver.5.67 およびそれ以前 - Archive Decoder Ver.1.23 およびそれ以前 - Apsaly Version 3.70 およびそれ以前 - TeraPad Ver.0.93 およびそれ以前 - Sleipnir 2.9.4 およびそれ以前 - Grani 4.3 およびそれ以前 - NoEditor ver1.33.1.1 およびそれ以前 - OuiEditor ver1.6.1.1 およびそれ以前 - UnEditor ver1.10.1.2 およびそれ以前 - DeuxEditor ver1.7.1.2 およびそれ以前 - SQLEditorXP ver3.14.1.2 およびそれ以前 - SQLEditorTE ver1.9.1.3 およびそれ以前 - SQLEditor8 ver3.8.1.2 およびそれ以前 - SQLEditorClassic ver1.8.1.3 およびそれ以前 この問題は、開発元が提供する修正済みのバージョンに各ソフトウエア を更新することで解決します。
関連文書 (日本語)
pon software
Explzh、Archive decoder における実行ファイル読み込みに関する脆弱性
http://www.ponsoftware.com/archiver/bug.htm#load_exe渡辺 正彦
Apsalyテキストエディタ
http://www.venus.dti.ne.jp/mw31/apsaly/index.html寺尾 進
TeraPad
http://www5f.biglobe.ne.jp/~t-susumu/library/tpad.html独立行政法人 情報処理推進機構 セキュリティセンター
「TeraPad」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20101021_2.htmlフェンリル株式会社
【Sleipnir】Sleipnir 2.9.5 をリリースいたしました!
http://www.fenrir.co.jp/blog/2010/10/sleipnirsleipnir_295.html独立行政法人 情報処理推進機構 セキュリティセンター
「Sleipnir」および「Grani」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20101022.htmlYokkaSoft
YokkaSoft webpage
http://www.yokkasoft.net/JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
【3】Java for Mac OS X に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Java for Mac OS X 10.5 Update 8 and Java for Mac OS X 10.6 Update 3
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#apple_releases_java_for_macDOE-CIRC Technical Bulletin T-472
Mac OS X Java Command Injection Flaw in updateSharingD Lets Local Users Gain Elevated Privileges
http://www.doecirc.energy.gov/bulletins/t-472.shtml
概要
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が細工した Java アプレットまたは Java アプリケーションを 実行させることで権限を昇格したり、任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Java for Mac OS X 10.6 Update 3 より前のバージョン - Java for Mac OS X 10.5 Update 8 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、Java for Mac OS X を更新することで解決します。詳細については Apple が提供する 情報を参照してください。
関連文書 (日本語)
Apple Support HT4296
Java for Mac OS X 10.5 Update 8 について
http://support.apple.com/kb/HT4296?viewlocale=ja_JPApple Support HT4297
Java for Mac OS X 10.6 Update 3 について
http://support.apple.com/kb/HT4297?viewlocale=ja_JPJapan Vulnerability Notes JVNVU#490671
Java for MacOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU490671/index.html
関連文書 (英語)
Apple Mailing Lists
APPLE-SA-2010-10-20-2 Java for Mac OS X 10.5 Update 8
http://lists.apple.com/archives/security-announce/2010/Oct/msg00001.htmlApple Mailing Lists
APPLE-SA-2010-10-20-1 Java for Mac OS X 10.6 Update 3
http://lists.apple.com/archives/security-announce/2010/Oct/msg00000.html
【4】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 7.0.517.41
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#google_releases_chrome_7_0DOE-CIRC Technical Bulletin T-471
Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code
http://www.doecirc.energy.gov/bulletins/t-471.shtml
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 7.0.517.41 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/10/stable-channel-update.html
【5】Adobe Shockwave Player に脆弱性
情報源
US-CERT Vulnerability Note VU#402231
Adobe Shockwave Player Director file rcsL chunk parsing vulnerability
http://www.kb.cert.org/vuls/id/402231
概要
Adobe Shockwave Player には脆弱性があります。結果として遠隔の第 三者が細工したコンテンツを閲覧させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 なお、本脆弱性を使用した攻撃コードが公開されています。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.8.612 およびそれ以前 2010年10月26日現在、この問題に対する解決策は提供されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#402231
Adobe Shockwave Player に脆弱性
http://jvn.jp/cert/JVNVU402231/index.htmlAdobe TechNote APSA10-04
Shockwave Player に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/876/cpsid_87604.htmlマイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
関連文書 (英語)
Adobe Security Bulletin APSA10-04
Security Advisory for Adobe Shockwave Player
http://www.adobe.com/support/security/advisories/apsa10-04.html
【6】RealNetworks RealPlayer に複数の脆弱性
情報源
US-CERT Current Activity Archive
RealNetworks Releases Security Update for RealPlayer Vulnerabilities
http://www.us-cert.gov/current/archive/2010/10/21/archive.html#realnetworks_releases_security_update_forDOE-CIRC Technical Bulletin T-467
RealPlayer Bugs Let Remote Users Execute Arbitrary Code
http://www.doecirc.energy.gov/bulletins/t-467.shtml
概要
RealNetworks RealPlayer には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意 のコードを実行する可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。詳細については、RealNetworks が提供する情報を参照してください。
関連文書 (日本語)
RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/10152010_player/ja/
【7】Internet Week 2010 のお知らせ
情報源
Internet Week 2010
https://internetweek.jp/
概要
2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 一日目の午後に行われるセッション S4 では、「あなたの会社の情報セ キュリティ対応体制は大丈夫? 〜CSIRT入門〜」と題し、情報セキュリ ティ対応体制の中核となるべきシーサート (CSIRT) の必要性・実例・ 構築ノウハウなどをご紹介します。
関連文書 (日本語)
Internet Week 2010 - 参加申込
https://internetweek.jp/apply/Internet Week 2010
S4: あなたの会社の情報セキュリティ対応体制は大丈夫? 〜CSIRT入門〜
https://internetweek.jp/program/s4/JPCERT コーディネーションセンター イベント情報
Internet Week 2010
https://www.jpcert.or.jp/event/internetweek2010.html
【8】フィッシング対策セミナー開催のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー
http://www.antiphishing.jp/news/event/post_34.html
概要
日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所: 東京会場 2010年11月17日(水)13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日(木)13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡(博多)会場 2010年11月19日(金)13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 :無料(ただし、事前に参加申込みが必要) 受付締切 :2010年11月15日(月)(満席になり次第受付終了) 参加申込先 :E-mail:ap-seminar@mri.co.jp 参加申込方法:参加を希望される会場(東京/大阪/福岡)、会社名、所属、役 職、氏名をメールにてご連絡ください。
関連文書 (日本語)
フィッシング対策協議会
http://www.antiphishing.jp/
【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナーでは、11月に開催する part4 の参加者を募集 しています。part4 でとりあげるトピックは「動的メモリ管理」です。 皆様のご参加をお待ちしています。 [日時] part4 <動的メモリ管理> 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者など
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○マイクロソフトセキュリティインテリジェンスレポート 第9版
マイクロソフトは、2010年上半期の脆弱性やマルウエア動向についてま とめた、マイクロソフトセキュリティインテリジェンスレポートを公開 しました。セキュリティインテリジェンスレポートは、半年ごとに公開 されており、今回は第9版の公開となります。 今回のレポートでは、特にボットネットとその傾向について報告されて います。マイクロソフトが提供する「悪意のあるソフトウェアの削除ツー ル」による駆除情報では、他の国や地域と比較して日本の 1台あたりの ボットの感染率は低くなっています。 また、オペレーティングシステムごとの感染率など、システム管理者に とっても有益な情報が掲載されています。 レポート全文は英語のみでの公開となっていますが、要約版については 日本語でも提供されています。
参考文献 (日本語)
マイクロソフト セキュリティ ホーム
マイクロソフト セキュリティ インテリジェンス レポート
http://www.microsoft.com/japan/security/contents/sir.mspx
参考文献 (英語)
Microsoft
Malware Protection Center
http://www.microsoft.com/security/portal/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/