JPCERT-WR-2011-0101
2011-01-13
2010-12-19
2011-01-08
Microsoft Windows にバッファオーバーフローの脆弱性
Microsoft Windows には、サムネイル画像の処理に起因するバッファオー
バーフローの脆弱性があります。結果として、遠隔の第三者が細工した
サムネイル画像を解析させることでユーザの権限で任意のコードを実行
する可能性があります。
2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策として、マイクロソフトは「Fix it」を公開しています。詳細に
ついては、マイクロソフトが提供する情報を参照してください。
マイクロソフト セキュリティ アドバイザリ (2490606)
Graphics Rendering Engine の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2490606.mspx
マイクロソフト サポート オンライン
Graphics Rendering Engine の脆弱性により、リモートでコードが実行される可能性がある
http://support.microsoft.com/kb/2490606
Japan Vulnerability Notes JVNVU#106516
Microsoft Windows にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU106516/index.html
Microsoft Internet Explorer 8 に脆弱性
Microsoft Internet Explorer 8 には、解放済みメモリを使用する脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザをクラッ
シュさせたり、ユーザの権限で任意のコードを実行したりする可能性が
あります。
対象となるバージョンは以下の通りです。
- Microsoft Internet Explorer 8
2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策として、Enhanced Mitigation Experience Toolkit (EMET) を利
用するなどの方法があります。詳細については、マイクロソフトが提供
する情報を参照してください。
Japan Vulnerability Notes JVNVU#427980
Microsoft Internet Explorer 8 における解放済みメモリを使用する脆弱性
https://jvn.jp/cert/JVNVU427980/index.html
Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性
Microsoft WMI Administrative Tools には脆弱性があります。結果と
して、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザ
の権限で任意のコードを実行する可能性があります。
対象となる製品は以下の通りです。
- Microsoft WMI Administrative Tools
2011年1月12日現在、この問題に対する解決策は提供されていません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。
Japan Vulnerability Notes JVNVU#725596
Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性
https://jvn.jp/cert/JVNVU725596/index.html
Microsoft IIS FTP サーバに脆弱性
Microsoft IIS FTP サーバには、脆弱性があります。結果として、遠隔
の第三者が細工したリクエストを処理させることで、サービス運用妨害
(DoS) 攻撃を行う可能性があります。なお、本脆弱性を使用した攻撃コー
ドが公開されています。
対象となるバージョンは以下の通りです。
- Microsoft IIS FTP 7.5
2011年1月12日現在、この問題に対する解決策は提供されていません。
回避策としては、アクセスを制限するなどの方法があります。
Japan Vulnerability Notes JVNVU#842372
Microsoft IIS FTP サーバにメモリ破損の脆弱性
https://jvn.jp/cert/JVNVU842372/index.html
Microsoft TechNet Blogs - Security Research & Defense
Assessing an IIS FTP 7.5 Unauthenticated Denial of Service Vulnerability
http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx
Mac OS X に脆弱性
Mac OS X および Mac OS X Server には、脆弱性があります。結果とし
て、遠隔の第三者が中間者攻撃 (man-in-the-middle attack) により、
任意のコードを実行したり、サービス運用妨害(DoS) 攻撃を行ったりす
る可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Apple Mac OS X 10.6 から 10.6.5 まで
- Apple Mac OS X Server 10.6 から 10.6.5 まで
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。
Japan Vulnerability Notes JVNVU#316308
Apple Mac OS X における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU316308/index.html
Apple Support HT4498
About the security content of Mac OS X v10.6.6
http://support.apple.com/kb/HT4498?viewlocale=en_US
Apple Mailing Lists
APPLE-SA-2011-01-06-1 Mac OS X v10.6.6
http://lists.apple.com/archives/security-announce/2011/Jan/msg00000.html
WordPress に脆弱性
WordPress には、HTML の処理に起因する脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- WordPress 3.0.4 より前のバージョン
この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。
WordPress ブログ
WordPress 3.0.4 日本語版
http://ja.wordpress.org/2010/12/30/wordpress-304-ja/
WordPress ブログ
3.0.4 重要なセキュリティアップデート
http://ja.wordpress.org/2010/12/30/3-0-4-update/
WordPress News
3.0.4 Important Security Update
http://wordpress.org/news/2010/12/3-0-4-update/
WordPress Codex
Version 3.0.4
http://codex.wordpress.org/Version_3.0.4
PolyVision RoomWizard に脆弱性
PolyVision RoomWizard の管理者インターフェースには、Sync
Connector が使う Active Directory のパスワードが漏えいする脆弱性
があります。結果として、遠隔の第三者が Active Directory の認証情
報を取得したり、本製品の設定を変更したりする可能性があります。
対象となるバージョンは以下の通りです。
- PolyVision RoomWizard ファームウェア 3.2.3
この問題は、ベンダが提供する修正済みのバージョンに RoomWizard の
ファームウェアを更新することで解決します。詳細については、ベンダ
が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#870601
PolyVision RoomWizard に脆弱性
https://jvn.jp/cert/JVNVU870601/
Steelcase
RoomWizard System Downloads
http://steelcase.polyvision.com/support/downloads-roomwiz.asp
C/C++ セキュアコーディングセミナー 2011@札幌 および @東京 part6 参加者募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。
札幌を会場として 1月27日(木)、28日(金)に開催する 2日間コースのセ
ミナーでは、ひきつづき参加者を募集しています。受講料は無料です。
皆様のご参加をお待ちしています。
また、東京を会場にしたセミナーは、part6 <ROSE> の募集を開始し
ました。こちらもふるってご参加ください。
C/C++ セキュアコーディングセミナー2011@札幌
[日時] part1 <セキュアコーディング概論・文字列>
2011年01月27日(木)
09:30 - 受付開始
10:00 - 12:00 セキュアコーディング概論
13:00 - 15:00 文字列
15:15 - 17:15 演習(文字列)
part2 <整数・コードレビュー>
2011年01月28日(金)
09:10 - 受付開始
09:30 - 12:00 整数
13:00 - 15:00 演習(整数)
15:15 - 17:15 コードレビュー
[会場] ACU 1605中研修室
札幌市中央区北4西5 アスティ45
(MAP) http://www.acu-h.jp/koutsu_access/index.php
[定員] 50名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者等
C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>
[日時]
2011年02月24日(木) 13:30 - 18:15 (受付13:00-)
2011年03月03日(木) 13:30 - 18:15 (受付13:00-)
(両日とも同じ内容です。どちらか片方へご参加ください)
[会場] JPCERTコーディネーションセンター会議室
東京都千代田区神田錦町3-17 廣瀬ビル 11階
(MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif
[定員] 20名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者、等
JPCERT/CC
C/C++ セキュアコーディングセミナー 2011 @ 札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP-application.html
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
Thunderbird 3.0 のサポート終了
Thunderbird 3.0 のサポートは 2010年12月で終了しています。2010年
12月にリリースされた Thunderbird 3.0.11 が最後のバージョンとなり
ます。
Thunderbird 3.1 へ移行していないユーザは、使用するアドオンの対応
状況や他アプリケーションとの連携などの確認を行い、早めに
Thunderbird 3.1 へ移行してください。
Thunderbird
旧バージョンのダウンロード
http://mozilla.jp/thunderbird/download/older/
JPCERT/CC WEEKLY REPORT 2010-08-18
【今週のひとくちメモ】Thunderbird 3.0 のサポート終了
https://www.jpcert.or.jp/wr/2010/wr103101.html#Memo