-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-0601 JPCERT/CC 2011-02-16 <<< JPCERT/CC WEEKLY REPORT 2011-02-16 >>> ―――――――――――――――――――――――――――――――――――――― ■02/06(日)〜02/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年2月 Microsoft セキュリティ情報について 【2】Adobe の複数の製品に脆弱性 【3】Oracle Java に脆弱性 【4】Google Chrome に複数の脆弱性 【5】RealNetworks RealPlayer に脆弱性 【6】電子メールセキュリティーセミナー in 熊本 【7】C/C++ セキュアコーディングセミナー 2010@東京 part6 (3月3日) 参加者募集中 【今週のひとくちメモ】Windows 7 SP1 および 2008 R2 SP1 のリリースについて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr110601.html https://www.jpcert.or.jp/wr/2011/wr110601.xml ============================================================================ 【1】2011年2月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA11-039A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA11-039A.html US-CERT Cyber Security Alert SA11-039A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA11-039A.html 概要 Microsoft Windows、Internet Explorer、Office などの製品および関 連コンポーネントには複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。 本セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2010-12-22 号【2】で紹介した「Microsoft Internet Explorer に脆弱 性」に対する解決策も含まれます。 マイクロソフトは、この脆弱性の回避策として「Fix it」を適用してい る場合には、その「Fix it」をアンインストールしてセキュリティ更新 プログラムを適用することを推奨しています。 関連文書 (日本語) 2011 年 2 月のセキュリティ情報 https://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspx マイクロソフト セキュリティ アドバイザリー Internet Explorer の脆弱性により、リモートでコードが実行される http://support.microsoft.com/kb/2488013/ja-jp Japan Vulnerability Notes JVNTA11-039A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA11-039A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Internet Explorer の脆弱性の修正について(MS11-003) http://www.ipa.go.jp/security/ciadr/vul/20110209-ms11-003.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS11-003,004,005,006,007,008,009,010,011,012,013,014) https://www.npa.go.jp/cyberpolice/topics/?seq=5686 JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0003 2011年2月 Microsoft セキュリティ情報(緊急 3件含)に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110003.txt JPCERT/CC WEEKLY REPORT 2010-12-22 号 【2】Microsoft Internet Explorer に脆弱性 https://www.jpcert.or.jp/wr/2010/wr104901.html#2 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Vulnerability Note VU#812969 Adobe Flash memory corruption vulnerability http://www.kb.cert.org/vuls/id/812969 US-CERT Vulnerability Note VU#189929 Adobe Shockwave 11.5.9.615 contains multiple memory corruption vulnerabilities http://www.kb.cert.org/vuls/id/189929 概要 Adobe Acrobat、Reader、Flash Player、Shockwave、ColdFusion には、 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウ ザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Adobe によると、UNIX 版 Adobe Reader の修正済みのバージョンは 2011年2月28日の週に公開される予 定です。 詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB11-01 APSB11-01:Shockwave Player 用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/891/cpsid_89114.html Adobe TechNote APSB11-02 APSB11-02:Flash Player 用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/891/cpsid_89115.html Adobe TechNote APSB11-03 APSB11-03:Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/890/cpsid_89065.html Adobe TechNote APSB11-04 APSB11-04:ColdFusion用セキュリティアップデート http://kb2.adobe.com/jp/cps/891/cpsid_89127.html Japan Vulnerability Notes JVNVU#812969 Adobe Flash に脆弱性 https://jvn.jp/cert/JVNVU812969/index.html Japan Vulnerability Notes JVNVU#189929 Adobe Shockwave Player に複数の脆弱性 https://jvn.jp/cert/JVNVU189929/index.html JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0004 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110004.txt JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0005 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110005.txt 【3】Oracle Java に脆弱性 情報源 US-CERT Current Activity Archive Oracle Releases Security Alert for Java Runtime Environment http://www.us-cert.gov/current/archive/2011/02/11/archive.html#oracle_releases_security_alert_for1 概要 Oracle Java には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本脆弱 性を使用した攻撃コードが公開されています。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 23 およびそれ以前 - JDK/JRE 5.0 Update 27 およびそれ以前 - SDK/JRE 1.4.2_29 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。 関連文書 (英語) Oracle Technology Network Oracle Security Alert for CVE-2010-4476 http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html The Oracle Global Product Security Blog Security Alert For CVE-2010-4476 Released http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.html Oracle Technology Network Critical Patch Updates and Security Alerts http://www.oracle.com/technetwork/topics/security/alerts-086861.html Red Hat Security Advisory RHSA-2011:0214-1 Moderate: java-1.6.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2011-0214.html 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 9.0.597.95 http://www.us-cert.gov/current/archive/2011/02/11/archive.html#google_releases_chrome_9_01 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 9.0.597.94 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_08.html 【5】RealNetworks RealPlayer に脆弱性 情報源 US-CERT Current Activity Archive RealNetworks, Inc. Releases Security Updates for RealPlayer http://www.us-cert.gov/current/archive/2011/02/11/archive.html#realnetworks_inc_releases_security_updates 概要 RealNetworks RealPlayer には、脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を更新することで解決します。詳細については、 RealNetworks が提供する情報を参照してください。 関連文書 (日本語) RealNetworks RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/02082011_player/ja/ 【6】電子メールセキュリティーセミナー in 熊本 情報源 IAJapan 迷惑メール対策委員会 電子メールセキュリティーセミナー in 熊本 https://www.iajapan.org/anti_spam/event/2011/kumamoto0308/index.html 概要 3月8日、財団法人インターネット協会迷惑メール対策委員会の「電子メー ルセキュリティーセミナー in 熊本」が開催されます。迷惑メール対策 の基礎編と最新の技術動向に加え、フィッシング対策を含めて、電子メー ルを利用する上でのセキュリティ全般について紹介します。 JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、 2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ ンについて紹介します。 参加費は無料です。参加申し込みは 3月4日までとなっていますので、お 早めにお申し込みください。 【7】C/C++ セキュアコーディングセミナー 2010@東京 part6 (3月3日) 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 「C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>」は、 同一内容にて 2月24日と 3月3日の 2回開催します。part6 では、ソース コード解析プラットフォーム ROSE を使って開発された CERT C セキュ アコーディングルールのチェッカーを紹介するとともに、実機を使った ハンズオンを実施します。参加の際には VMware あるいは VirtualBox をインストールしたノート PC をご持参ください。 2月24日の回には、すでに定員を越える申し込みをいただいていますが、 3月3日の回については、ひきつづき参加申し込み受付中です。 C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE> [日時] 2011年02月24日(木) 13:30 - 18:15 (受付13:00-) 2011年03月03日(木) 13:30 - 18:15 (受付13:00-) [会場] JPCERTコーディネーションセンター会議室 東京都千代田区神田錦町3-17 廣瀬ビル 11階 (MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif [定員] 20名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows 7 SP1 および 2008 R2 SP1 のリリースについて マイクロソフトより、Windows 7 SP1 および 2008 SP1 のリリースに関 する案内が出ています。Windows Update などでこれまでに提供された更 新プログラムが含まれているほか、2008 R2 では機能追加も行われます。 また、Windows Update および Auto Update からの SP1 のダウンロード を一時的に防止する Service Pack Blocker Tool Kit も用意されており、 Windows 7 SP1 および Windows Server 2008 R2 SP1 のブロックができ ます。 利用環境での動作検証や適用計画などの準備を進めてください。 参考文献 (日本語) Microsoft Microsoft Windows 7 Service Pack 1 http://www.microsoft.com/japan/windows/windows-7/sp1/default.mspx Microsoft Windows Server 2008 R2 Service Pack 1 および Windows 7 Service Pack 1 に関して http://www.microsoft.com/japan/windowsserver2008/sp1.mspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJNWyOHAAoJEDF9l6Rp7OBIb4MH/3aXyF0tEXKSv4QGAnRgeJ2q Kez3wYghDhb65wewtgwtQsNbC0Sabd89MPbTS0q9uFkMuxbGp9UFpx56zS9olCRK 9ds5m13UJmLm/2T+q4IQkru2HLhCaR0npbkQqDugN7hHIg8JLLpMhbzsX4vfdX1n FXU7ZQi5R2VXH3QXpML+x/+7FAr51bnmoIgR0BvHbZt8skMAtYfJhU/LUJpkKpPz 1ynltT5jIgFPR/AYPatQVgDqvFjvX73pNg7grbLiDGkcus79yc/wrmb5CHqrsiBL rJqvzscyVac44qAVnmhLBzhUHCtkwjkRb1jTNX20oEopEvxNcOHjqAQyZmZqe+4= =nJ+q -----END PGP SIGNATURE-----