JPCERT-WR-2010-4501
2010-11-25
2010-11-14
2010-11-20
「Adobe Flash に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2010-11-04 号【2】で紹介した「Adobe
Flash に脆弱性」に関する追加情報です。
Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを公
開しました。なお、UNIX 版 Adobe Reader の修正済みのバージョンは
2010年11月30日に公開される予定です。詳細については Adobe が提供
する情報を参照してください。
Adobe Technote
APSB10-28: Acrobat および Adobe Reader に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/880/cpsid_88012.html
独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Reader および Acrobat の脆弱性(APSB10-28)について
http://www.ipa.go.jp/security/ciadr/vul/20101117-adobe.html
@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=5216
JPCERT/CC Alert 2010-11-17 JPCERT-AT-2010-0031
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100031.txt
JPCERT/CC WEEKLY REPORT 2010-11-04 号
【2】Adobe Flash に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104201.html#2
Adobe Security Bulletin APSB10-28
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-28.html
Adobe Product Security Incident Response Team (PSIRT) Blog
Security updates released for Adobe Reader and Acrobat (APSB10-28)
http://blogs.adobe.com/psirt/2010/11/security-updates-released-for-adobe-reader-and-acrobat-apsb10-28.html
Apple Safari に複数の脆弱性
Apple Safari には、複数の脆弱性があります。結果として、遠隔の第
三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を
行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Apple Safari 5.0.3 より前のバージョン
- Apple Safari (Mac OS X 版) 4.1.3 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに Safari を更新
することで解決します。詳細については、Apple が提供する情報を参照
してください。
Japan Vulnerability Notes JVNVU#387412
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU387412/index.html
Apple サポートダウンロード
Safari 5.0.3
http://support.apple.com/kb/DL1070?viewlocale=ja_JP
Apple サポートダウンロード
Safari 4.1.3 for Tiger
http://support.apple.com/kb/DL1069?viewlocale=ja_JP
Apple Support HT4455
About the security content of Safari 5.0.3 and Safari 4.1.3
http://support.apple.com/kb/HT4455?viewlocale=en_US
Apple Mailing Lists
APPLE-SA-2010-11-18-1 Safari 5.0.3 and Safari 4.1.3
http://lists.apple.com/archives/security-announce/2010/Nov/msg00002.html
OpenSSL にバッファオーバーフローの脆弱性
OpenSSL には、バッファオーバーフローの脆弱性があります。結果とし
て、マルチスレッド機能とキャッシュ機能を有効にしている TLS サー
バを使用している場合、遠隔の第三者が細工したデータを処理させるこ
とで、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 0.9.8f から 0.9.8o、1.0.0、1.0.0a
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。
OpenSSL Security Advisory [16 November 2010]
TLS extension parsing race condition
http://openssl.org/news/secadv_20101116.txt
Red Hat Security Advisory RHSA-2010:0888-1
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2010-0888.html
PGP Desktop にデータインジェクションの脆弱性
シマンテックが提供する PGP Desktop には、データインジェクション
の脆弱性があります。結果として、遠隔の第三者が細工したメッセージ
を PGP 署名された正規メッセージとして表示させる可能性があります。
対象となるバージョンは以下の通りです。
- PGP Desktop 10.0.3 およびそれ以前
- PGP Desktop 10.1.0
この問題は、シマンテックが提供する修正済みのバージョンに PGP
Desktop を更新することで解決します。詳細については、シマンテック
が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#300785
PGP Desktop にデータインジェクションの脆弱性
https://jvn.jp/cert/JVNVU300785/index.html
Symantec Security Advisory SYM10-012
Security Advisories Relating to Symantec Products - PGP Desktop Unsigned Data Insertion
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20101118_00
Eric R. Verheul
Pretty Good Piggy-backing - Parsing vulnerabilities in PGP Desktop
http://www.cs.ru.nl/E.Verheul/papers/Govcert/Pretty%20Good%20Piggybagging%20v1.0.pdf
C/C++ セキュアコーディングセミナー 2010 @東京 part5 参加者募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。
東京を会場にしたセミナーでは、12月に開催する part5 の参加者を募
集中です。part5 でとりあげるトピックは書式指定文字列です。皆様の
ご参加をお待ちしています。
[日時] part5 <書式指定文字列>
2010年12月15日(水)
13:00 - 受付開始
13:30 - 16:00 書式指定文字列 - 講義
16:00 - 18:15 書式指定文字列 - 演習
[会場] 株式会社インターネットイニシアティブ大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
(MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif
[定員] 70名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者など
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
Adobe Reader のサポート期間に注意
Adobe が提供する Adobe Reader 8.x のサポート期間は 2011年の11月
までの予定です。サポート期間終了後は、セキュリティアップデートな
どのソフトウエアの修正は提供されません。Adobe Reader 8.x を利用
している方は、計画的な移行をお勧めします。
また、2010年11月に Adobe から新しいバージョン Adobe Reader X が
公開されました。このバージョンでは、保護モード (サンドボックス機
能) が実装されています。近年多発している PDF 経由の攻撃の影響を
軽減することが期待できます。
アップデート時に、今まで無効にしていた JavaScript 実行機能やマル
チメディア関連機能などが有効と設定される場合があります。アップデー
ト作業時には、各種設定項目の再確認を忘れないようにしましょう。
Adobe Secure Software Engineering Team (ASSET) Blog
Adobe Reader X is Here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html
Adobe products and Enterprise Technical Support
periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86