<<< JPCERT/CC WEEKLY REPORT 2010-11-25 >>>
■11/14(日)〜11/20(土) のセキュリティ関連情報
目 次
【1】「Adobe Flash に脆弱性」に関する追加情報
【2】Apple Safari に複数の脆弱性
【3】OpenSSL にバッファオーバーフローの脆弱性
【4】PGP Desktop にデータインジェクションの脆弱性
【5】C/C++ セキュアコーディングセミナー 2010 @東京 part5 参加者募集中
【今週のひとくちメモ】Adobe Reader のサポート期間に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104501.txt
https://www.jpcert.or.jp/wr/2010/wr104501.xml
【1】「Adobe Flash に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Security Updates for Reader and Acrobat
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#adobe_releases_security_updates_for6
概要
JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe Flash に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを公 開しました。なお、UNIX 版 Adobe Reader の修正済みのバージョンは 2010年11月30日に公開される予定です。詳細については Adobe が提供 する情報を参照してください。
関連文書 (日本語)
Adobe Technote
APSB10-28: Acrobat および Adobe Reader に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/880/cpsid_88012.html独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Reader および Acrobat の脆弱性(APSB10-28)について
http://www.ipa.go.jp/security/ciadr/vul/20101117-adobe.html@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=5216JPCERT/CC Alert 2010-11-17 JPCERT-AT-2010-0031
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100031.txtJPCERT/CC WEEKLY REPORT 2010-11-04 号
【2】Adobe Flash に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104201.html#2
関連文書 (英語)
Adobe Security Bulletin APSB10-28
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-28.htmlAdobe Product Security Incident Response Team (PSIRT) Blog
Security updates released for Adobe Reader and Acrobat (APSB10-28)
http://blogs.adobe.com/psirt/2010/11/security-updates-released-for-adobe-reader-and-acrobat-apsb10-28.html
【2】Apple Safari に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Safari 5.0.3 and 4.1.3
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#apple_releases_safari_5_03
概要
Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Apple Safari 5.0.3 より前のバージョン - Apple Safari (Mac OS X 版) 4.1.3 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#387412
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU387412/index.htmlApple サポートダウンロード
Safari 5.0.3
http://support.apple.com/kb/DL1070?viewlocale=ja_JPApple サポートダウンロード
Safari 4.1.3 for Tiger
http://support.apple.com/kb/DL1069?viewlocale=ja_JP
関連文書 (英語)
Apple Support HT4455
About the security content of Safari 5.0.3 and Safari 4.1.3
http://support.apple.com/kb/HT4455?viewlocale=en_USApple Mailing Lists
APPLE-SA-2010-11-18-1 Safari 5.0.3 and Safari 4.1.3
http://lists.apple.com/archives/security-announce/2010/Nov/msg00002.html
【3】OpenSSL にバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity Archive
OpenSSL Releases OpenSSL 1.0.0b
http://www.us-cert.gov/current/archive/2010/11/19/archive.html#openssl_releases_openssl_1_0
概要
OpenSSL には、バッファオーバーフローの脆弱性があります。結果とし て、マルチスレッド機能とキャッシュ機能を有効にしている TLS サー バを使用している場合、遠隔の第三者が細工したデータを処理させるこ とで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8f から 0.9.8o、1.0.0、1.0.0a この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。詳細について は、ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
OpenSSL Security Advisory [16 November 2010]
TLS extension parsing race condition
http://openssl.org/news/secadv_20101116.txtRed Hat Security Advisory RHSA-2010:0888-1
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2010-0888.html
【4】PGP Desktop にデータインジェクションの脆弱性
情報源
US-CERT Vulnerability Note VU#300785
PGP Desktop unsigned data injection vulnerability
http://www.kb.cert.org/vuls/id/300785
概要
シマンテックが提供する PGP Desktop には、データインジェクション の脆弱性があります。結果として、遠隔の第三者が細工したメッセージ を PGP 署名された正規メッセージとして表示させる可能性があります。 対象となるバージョンは以下の通りです。 - PGP Desktop 10.0.3 およびそれ以前 - PGP Desktop 10.1.0 この問題は、シマンテックが提供する修正済みのバージョンに PGP Desktop を更新することで解決します。詳細については、シマンテック が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#300785
PGP Desktop にデータインジェクションの脆弱性
https://jvn.jp/cert/JVNVU300785/index.html
関連文書 (英語)
Symantec Security Advisory SYM10-012
Security Advisories Relating to Symantec Products - PGP Desktop Unsigned Data Insertion
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20101118_00Eric R. Verheul
Pretty Good Piggy-backing - Parsing vulnerabilities in PGP Desktop
http://www.cs.ru.nl/E.Verheul/papers/Govcert/Pretty%20Good%20Piggybagging%20v1.0.pdf
【5】C/C++ セキュアコーディングセミナー 2010 @東京 part5 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナーでは、12月に開催する part5 の参加者を募 集中です。part5 でとりあげるトピックは書式指定文字列です。皆様の ご参加をお待ちしています。 [日時] part5 <書式指定文字列> 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者など
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○Adobe Reader のサポート期間に注意
Adobe が提供する Adobe Reader 8.x のサポート期間は 2011年の11月 までの予定です。サポート期間終了後は、セキュリティアップデートな どのソフトウエアの修正は提供されません。Adobe Reader 8.x を利用 している方は、計画的な移行をお勧めします。 また、2010年11月に Adobe から新しいバージョン Adobe Reader X が 公開されました。このバージョンでは、保護モード (サンドボックス機 能) が実装されています。近年多発している PDF 経由の攻撃の影響を 軽減することが期待できます。 アップデート時に、今まで無効にしていた JavaScript 実行機能やマル チメディア関連機能などが有効と設定される場合があります。アップデー ト作業時には、各種設定項目の再確認を忘れないようにしましょう。
参考文献 (英語)
Adobe Secure Software Engineering Team (ASSET) Blog
Adobe Reader X is Here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.htmlAdobe products and Enterprise Technical Support
periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/