-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-4101 JPCERT/CC 2010-10-27 <<< JPCERT/CC WEEKLY REPORT 2010-10-27 >>> ―――――――――――――――――――――――――――――――――――――― ■10/17(日)〜10/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 【3】Java for Mac OS X に複数の脆弱性 【4】Google Chrome に複数の脆弱性 【5】Adobe Shockwave Player に脆弱性 【6】RealNetworks RealPlayer に複数の脆弱性 【7】Internet Week 2010 のお知らせ 【8】フィッシング対策セミナー開催のお知らせ 【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 参加者募集中 【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第9版 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr104101.html https://www.jpcert.or.jp/wr/2010/wr104101.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 3.6.11 http://www.us-cert.gov/current/archive/2010/10/21/archive.html#mozilla_releases_firefox_3_64 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、機密情報を取得したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.6.10 およびそれ以前 - Firefox 3.5.13 およびそれ以前 - Thunderbird 3.1.4 およびそれ以前 - Thunderbird 3.0.8 およびそれ以前 - SeaMonkey 2.0.8 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 3.6.11 - 2010/10/19 リリース http://mozilla.jp/firefox/3.6.11/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.11 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.11 Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.14 - 2010/10/19 リリース http://mozilla.jp/firefox/3.5.14/releasenotes/ Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.14 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.14 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.5 - 2010/10/19 リリース http://mozilla.jp/thunderbird/3.1.5/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.5 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.5 Mozilla Japan Thunderbird リリースノート - バージョン 3.0.9 - 2010/10/19 リリース http://mozilla.jp/thunderbird/3.0.9/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ Thunderbird 3.0.9 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.9 SeaMonkey Project SeaMonkey 2.0.9 http://www.seamonkey.jp/ja/releases/seamonkey2.0.9/ SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.9 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.9 関連文書 (英語) SeaMonkey Project SeaMonkey 2.0.9 http://www.seamonkey-project.org/releases/seamonkey2.0.9/ Red Hat Security Advisory RHSA-2010:0782-1 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2010-0782.html Red Hat Security Advisory RHSA-2010:0781-1 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2010-0781.html 【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 情報源 Japan Vulnerability Notes JVN#85599999 Explzh における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN85599999/index.html Japan Vulnerability Notes JVN#68536660 Archive Decoder における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN68536660/index.html Japan Vulnerability Notes JVN#71138390 Apsaly における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN71138390/index.html Japan Vulnerability Notes JVN#48097065 TeraPad における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN48097065/index.html Japan Vulnerability Notes JVN#89272705 Sleipnir および Grani における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN89272705/index.html Japan Vulnerability Notes JVN#50610528 Sleipnir および Grani における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN50610528/index.html Japan Vulnerability Notes JVN#07497935 複数の Yokka 提供製品における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN07497935/index.html 概要 JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 以下の各ソフトウエアには、DLL もしくは実行ファイル読み込み時の検 索パスの問題に起因する脆弱性があります。結果として、遠隔の第三者 がプログラムを実行している権限で、任意のコードを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - Explzh Ver.5.67 およびそれ以前 - Archive Decoder Ver.1.23 およびそれ以前 - Apsaly Version 3.70 およびそれ以前 - TeraPad Ver.0.93 およびそれ以前 - Sleipnir 2.9.4 およびそれ以前 - Grani 4.3 およびそれ以前 - NoEditor ver1.33.1.1 およびそれ以前 - OuiEditor ver1.6.1.1 およびそれ以前 - UnEditor ver1.10.1.2 およびそれ以前 - DeuxEditor ver1.7.1.2 およびそれ以前 - SQLEditorXP ver3.14.1.2 およびそれ以前 - SQLEditorTE ver1.9.1.3 およびそれ以前 - SQLEditor8 ver3.8.1.2 およびそれ以前 - SQLEditorClassic ver1.8.1.3 およびそれ以前 この問題は、開発元が提供する修正済みのバージョンに各ソフトウエア を更新することで解決します。 関連文書 (日本語) pon software Explzh、Archive decoder における実行ファイル読み込みに関する脆弱性 http://www.ponsoftware.com/archiver/bug.htm#load_exe 渡辺 正彦 Apsalyテキストエディタ http://www.venus.dti.ne.jp/mw31/apsaly/index.html 寺尾 進 TeraPad http://www5f.biglobe.ne.jp/~t-susumu/library/tpad.html 独立行政法人 情報処理推進機構 セキュリティセンター 「TeraPad」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20101021_2.html フェンリル株式会社 【Sleipnir】Sleipnir 2.9.5 をリリースいたしました! http://www.fenrir.co.jp/blog/2010/10/sleipnirsleipnir_295.html 独立行政法人 情報処理推進機構 セキュリティセンター 「Sleipnir」および「Grani」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20101022.html YokkaSoft YokkaSoft webpage http://www.yokkasoft.net/ JPCERT/CC WEEKLY REPORT 2010-09-01 号 【1】Windows プログラムの DLL 読み込み処理に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103301.html#1 【3】Java for Mac OS X に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Java for Mac OS X 10.5 Update 8 and Java for Mac OS X 10.6 Update 3 http://www.us-cert.gov/current/archive/2010/10/21/archive.html#apple_releases_java_for_mac DOE-CIRC Technical Bulletin T-472 Mac OS X Java Command Injection Flaw in updateSharingD Lets Local Users Gain Elevated Privileges http://www.doecirc.energy.gov/bulletins/t-472.shtml 概要 Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が細工した Java アプレットまたは Java アプリケーションを 実行させることで権限を昇格したり、任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Java for Mac OS X 10.6 Update 3 より前のバージョン - Java for Mac OS X 10.5 Update 8 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、Java for Mac OS X を更新することで解決します。詳細については Apple が提供する 情報を参照してください。 関連文書 (日本語) Apple Support HT4296 Java for Mac OS X 10.5 Update 8 について http://support.apple.com/kb/HT4296?viewlocale=ja_JP Apple Support HT4297 Java for Mac OS X 10.6 Update 3 について http://support.apple.com/kb/HT4297?viewlocale=ja_JP Japan Vulnerability Notes JVNVU#490671 Java for MacOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU490671/index.html 関連文書 (英語) Apple Mailing Lists APPLE-SA-2010-10-20-2 Java for Mac OS X 10.5 Update 8 http://lists.apple.com/archives/security-announce/2010/Oct/msg00001.html Apple Mailing Lists APPLE-SA-2010-10-20-1 Java for Mac OS X 10.6 Update 3 http://lists.apple.com/archives/security-announce/2010/Oct/msg00000.html 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 7.0.517.41 http://www.us-cert.gov/current/archive/2010/10/21/archive.html#google_releases_chrome_7_0 DOE-CIRC Technical Bulletin T-471 Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code http://www.doecirc.energy.gov/bulletins/t-471.shtml 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 7.0.517.41 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/10/stable-channel-update.html 【5】Adobe Shockwave Player に脆弱性 情報源 US-CERT Vulnerability Note VU#402231 Adobe Shockwave Player Director file rcsL chunk parsing vulnerability http://www.kb.cert.org/vuls/id/402231 概要 Adobe Shockwave Player には脆弱性があります。結果として遠隔の第 三者が細工したコンテンツを閲覧させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 なお、本脆弱性を使用した攻撃コードが公開されています。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.8.612 およびそれ以前 2010年10月26日現在、この問題に対する解決策は提供されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#402231 Adobe Shockwave Player に脆弱性 http://jvn.jp/cert/JVNVU402231/index.html Adobe TechNote APSA10-04 Shockwave Player に関するセキュリティ情報 http://kb2.adobe.com/jp/cps/876/cpsid_87604.html マイクロソフト サポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja 関連文書 (英語) Adobe Security Bulletin APSA10-04 Security Advisory for Adobe Shockwave Player http://www.adobe.com/support/security/advisories/apsa10-04.html 【6】RealNetworks RealPlayer に複数の脆弱性 情報源 US-CERT Current Activity Archive RealNetworks Releases Security Update for RealPlayer Vulnerabilities http://www.us-cert.gov/current/archive/2010/10/21/archive.html#realnetworks_releases_security_update_for DOE-CIRC Technical Bulletin T-467 RealPlayer Bugs Let Remote Users Execute Arbitrary Code http://www.doecirc.energy.gov/bulletins/t-467.shtml 概要 RealNetworks RealPlayer には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意 のコードを実行する可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。詳細については、RealNetworks が提供する情報を参照してください。 関連文書 (日本語) RealNetworks RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/10152010_player/ja/ 【7】Internet Week 2010 のお知らせ 情報源 Internet Week 2010 https://internetweek.jp/ 概要 2010年11月24日(水)より26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 一日目の午後に行われるセッション S4 では、「あなたの会社の情報セ キュリティ対応体制は大丈夫? 〜CSIRT入門〜」と題し、情報セキュリ ティ対応体制の中核となるべきシーサート (CSIRT) の必要性・実例・ 構築ノウハウなどをご紹介します。 関連文書 (日本語) Internet Week 2010 - 参加申込 https://internetweek.jp/apply/ Internet Week 2010 S4: あなたの会社の情報セキュリティ対応体制は大丈夫? 〜CSIRT入門〜 https://internetweek.jp/program/s4/ JPCERT コーディネーションセンター イベント情報 Internet Week 2010 https://www.jpcert.or.jp/event/internetweek2010.html 【8】フィッシング対策セミナー開催のお知らせ 情報源 フィッシング対策協議会 フィッシング対策セミナー http://www.antiphishing.jp/news/event/post_34.html 概要 日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所: 東京会場 2010年11月17日(水)13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日(木)13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡(博多)会場 2010年11月19日(金)13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 :無料(ただし、事前に参加申込みが必要) 受付締切 :2010年11月15日(月)(満席になり次第受付終了) 参加申込先 :E-mail:ap-seminar@mri.co.jp 参加申込方法:参加を希望される会場(東京/大阪/福岡)、会社名、所属、役 職、氏名をメールにてご連絡ください。 関連文書 (日本語) フィッシング対策協議会 http://www.antiphishing.jp/ 【9】C/C++ セキュアコーディングセミナー 2010 @東京 part4 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナーでは、11月に開催する part4 の参加者を募集 しています。part4 でとりあげるトピックは「動的メモリ管理」です。 皆様のご参加をお待ちしています。 [日時] part4 <動的メモリ管理> 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者など 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトセキュリティインテリジェンスレポート 第9版 マイクロソフトは、2010年上半期の脆弱性やマルウエア動向についてま とめた、マイクロソフトセキュリティインテリジェンスレポートを公開 しました。セキュリティインテリジェンスレポートは、半年ごとに公開 されており、今回は第9版の公開となります。 今回のレポートでは、特にボットネットとその傾向について報告されて います。マイクロソフトが提供する「悪意のあるソフトウェアの削除ツー ル」による駆除情報では、他の国や地域と比較して日本の 1台あたりの ボットの感染率は低くなっています。 また、オペレーティングシステムごとの感染率など、システム管理者に とっても有益な情報が掲載されています。 レポート全文は英語のみでの公開となっていますが、要約版については 日本語でも提供されています。 参考文献 (日本語) マイクロソフト セキュリティ ホーム マイクロソフト セキュリティ インテリジェンス レポート http://www.microsoft.com/japan/security/contents/sir.mspx 参考文献 (英語) Microsoft Malware Protection Center http://www.microsoft.com/security/portal/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMx3zJAAoJEDF9l6Rp7OBIXjkIAJv1oMUEDTTPe07fq4lzHAaZ LrxleS6/ZvocVshZFTM2szG+HOGwOicQeumqg1wmE0anBtw6SPZQG9YbZRfR99UU frAGz2cDBHG6vg89GEyLe0lpQb7KsvIbcSAY3AOoBB8vUIY2K9dztNgqkcb7UQrj Jrc2YILQEIm5gjtQ5k5phaeRl5GO27oDbiWegjjehKAcgOKl3cnN1YyTtdVw96cR u1RHjTncQxpxG4JNmL2SGuHOqiVsDtfKP5maMzQQeizyjuAujX993R2clwuAAt6I a4eXCPpkmHQ7QUfw17Uzh0Ah+0zLGctfese3XJ/ExjmmeHqK+alpTGEO8zxXL6g= =/oqA -----END PGP SIGNATURE-----