<<< JPCERT/CC WEEKLY REPORT 2010-11-10 >>>
■10/31(日)〜11/06(土) のセキュリティ関連情報
目 次
【1】Microsoft Internet Explorer に脆弱性
【2】「Adobe Flash に脆弱性」に関する追加情報
【3】一太郎シリーズ製品に複数の脆弱性
【4】Google Chrome に複数の脆弱性
【5】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
【6】Attachmate Reflection for the Web にクロスサイトスクリプティングの脆弱性
【7】フィッシング対策セミナー開催のお知らせ
【今週のひとくちメモ】夏時間 (Daylight Saving Time)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104301.txt
https://www.jpcert.or.jp/wr/2010/wr104301.xml
【1】Microsoft Internet Explorer に脆弱性
情報源
US-CERT Vulnerability Note VU#899748
Microsoft Internet Explorer invalid flag reference vulnerability
http://www.kb.cert.org/vuls/id/899748DOE-CIRC Technical Bulletin T-483
Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.doecirc.energy.gov/bulletins/t-483.shtml
概要
Microsoft Internet Explorer には、無効なフラグ参照に起因する脆弱 性があります。結果として、遠隔の第三者が細工した HTML 文書をユー ザに閲覧させることで、ユーザの権限で任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 2010年11月9日現在、この問題に対する解決策は提供されていません。 回避策などの詳細については、マイクロソフトが提供する情報を参照し てください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (2458511)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2458511.mspxJapan Vulnerability Notes JVNVU#899748
Microsoft Internet Explorer における無効なフラグ参照に起因する脆弱性
https://jvn.jp/cert/JVNVU899748/index.html
関連文書 (英語)
Microsoft Security Advisory
Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2458511/en-us
【2】「Adobe Flash に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Security Update for Flash Player
http://www.us-cert.gov/current/archive/2010/11/05/archive.html#adobe_releases_security_update_for4DOE-CIRC Technical Bulletin T-486
Adobe Flash Player Flaws Lets Remote Users Execute Arbitrary Code Code
http://www.doecirc.energy.gov/bulletins/t-486.shtml
概要
JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe Flash に脆弱性」に関する追加情報です。 Adobe は解決策として Adobe Flash Player のセキュリティアップデー トを公開しました。なお、Adobe Reader および Acrobat の修正済みの バージョンは 2010年11月15日の週に公開される予定です。詳細につい ては Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB10-26
Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/878/cpsid_87813.html独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Flash Player の脆弱性(APSB10-26)について
http://www.ipa.go.jp/security/ciadr/vul/20101105-adobe.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=5033JPCERT/CC Alert 2010-11-05 号 JPCERT-AT-2010-0029
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100029.txtJPCERT/CC WEEKLY REPORT 2010-11-04 号
【2】Adobe Flash に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104201.html#2
関連文書 (英語)
Adobe Security Bulletin APSB10-26
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-26.htmlAdobe Product Security Incident Response Team (PSIRT) Blog
Security update available for Adobe Flash Player (APSB10-26)
http://blogs.adobe.com/psirt/2010/11/security-update-available-for-adobe-flash-player-apsb10-26.html
【3】一太郎シリーズ製品に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#01948274
一太郎シリーズにおける任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN01948274/index.htmlJapan Vulnerability Notes JVN#19173793
一太郎シリーズにおける任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN19173793/index.html
概要
一太郎シリーズ製品には、複数の脆弱性があります。結果として、遠隔 の第三者が細工したファイルを開かせたり、ブラウザで閲覧させたりす ることで任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - 一太郎 - 一太郎ガバメント この問題は、ジャストシステムが提供する修正済みのバージョンに、該 当する製品を更新することで解決します。詳細については、ジャストシ ステムが提供する情報を参照してください。
関連文書 (日本語)
ジャストシステム セキュリティ情報
[JS10003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js10003.html独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20101104_2.html@police
ジャストシステム社ワープロソフト一太郎の脆弱性について
http://www.npa.go.jp/cyberpolice/topics/?seq=5031
【4】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 7.0.517.44
http://www.us-cert.gov/current/archive/2010/11/05/archive.html#google_releases_chrome_7_01
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 7.0.517.44 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2010/11/stable-channel-update.html
【5】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
情報源
Japan Vulnerability Notes JVN#27868039
GVim における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN27868039/index.html
概要
JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 以下のソフトウエアには、DLL 読み込み時の検索パスの問題に起因する 脆弱性があります。結果として、遠隔の第三者がプログラムを実行して いる権限で、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - GVim 7.3.034 より前のバージョン この問題は、開発元が提供する修正済みのバージョンにソフトウエアを 更新することで解決します。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
関連文書 (英語)
Vim online
Vim 7.3 released!
http://www.vim.org/vim_announce
Vim 7.3 released!
https://groups.google.com/group/vim_announce/browse_thread/thread/66c02efd1523554b
【6】Attachmate Reflection for the Web にクロスサイトスクリプティングの脆弱性
情報源
Vulnerability Note VU#889047
Attachmate Reflection for the Web cross site scripting vulnerability
http://www.kb.cert.org/vuls/id/889047
概要
Attachmate Reflection for the Web には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Reflection for the Web 2008 R2 ビルド 10.1.569 およびそれ以前 - Reflection for the Web 2008 R1 - Reflection for the Web 9.6 およびそれ以前 この問題は、Attachmate が提供する修正済みのバージョンに Reflection for the Web を更新することで解決します。詳細について は、Attachmate が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#889047
Attachmate Reflection for the Web におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU889047/index.html
関連文書 (英語)
Attachmate Technical Note 1704
Security Updates and Reflection for the Web
http://support.attachmate.com/techdocs/1704.html
【7】フィッシング対策セミナー開催のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー
http://www.antiphishing.jp/news/event/post_34.html
概要
日本においてもフィッシング詐欺事例の増加が報告されてきており、顧 客保護の観点からインターネット関連事業者、金融機関は、自社の顧客 に対するフィッシング行為が行われていないか、十分に注意を払う必要 があります。フィッシング対策協議会では、フィッシングの危険性や対 策について広く周知する事で、被害の抑制や対策の実施に繋げる事を目 的とした、フィッシング対策セミナーを東京・大阪・福岡の 3会場で開 催する事となりました。 日時および場所: 東京会場 2010年11月17日(水)13:30-17:00 (開場13:00) TKP大手町カンファレンスセンター WESTホールA http://tkpotemachi.net/access/ 大阪会場 2010年11月18日(木)13:30-17:00 (開場13:00) TKP新大阪会議室 Room1 http://www.kashikaigishitsu.net/search/map/15/ 福岡(博多)会場 2010年11月19日(金)13:30-17:00 (開場13:00) アーバンプレムコンファレンス コンファレンス ルームA http://www.ohi-kaigi.com/urbanprem_accessmap.html 【お申込に関して】 参加費 :無料(ただし、事前に参加申込みが必要) 受付締切 :2010年11月15日(月)(満席になり次第受付終了) 参加申込先 :E-mail:ap-seminar@mri.co.jp 参加申込方法:参加を希望される会場(東京/大阪/福岡)、会社名、所属、役 職、氏名をメールにてご連絡ください。
関連文書 (日本語)
フィッシング対策協議会
http://www.antiphishing.jp/
■今週のひとくちメモ
○夏時間 (Daylight Saving Time)
世界のいくつかの国や地域では、夏時間 (Daylight Saving Time) の制 度を導入しています。ヨーロッパの多くの国では、3月最後の日曜日か ら 10月最後の日曜日までを夏時間としています。また米国では、3月の 第2日曜日から 11月の第1日曜日までを夏時間としています。 今年は、特定のスマートフォンで夏時間移行の処理が正しく動作せず、 一時間遅くアラームが鳴るという報道もありました。 コンピュータシステムの時計はログの記録の時刻情報をはじめ、さまざ まな場面で重要な役割を果たします。この機会に、お使いのシステムの 時刻情報の管理体制やタイムゾーンの設定が正しく行なわれているかを 確認することをお勧めします。
参考文献 (英語)
SANS Internet Storm Center
Change your clocks?
http://isc.sans.edu/diary.html?storyid=9898SANS Internet Storm Center
DST to EST error summary
http://isc.sans.edu/diary.html?storyid=9904
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/