-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-1201
                                                                   JPCERT/CC
                                                                  2011-03-30

            <<< JPCERT/CC WEEKLY REPORT 2011-03-30 >>>

――――――――――――――――――――――――――――――――――――――
■03/20(日)〜03/26(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】「Adobe Flash に脆弱性」に関する追加情報
【2】Mac OS X に複数の脆弱性
【3】不正な SSL デジタル証明書の発行の問題
【4】Google Chrome に複数の脆弱性
【5】Picasa における実行ファイル読み込みに関する脆弱性
【6】OpenSLP に脆弱性
【7】Foolabs Xpdf に脆弱性
【今週のひとくちメモ】日本標準時の標準電波送信所の停波について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr111201.html
        https://www.jpcert.or.jp/wr/2011/wr111201.xml
============================================================================


【1】「Adobe Flash に脆弱性」に関する追加情報

    情報源
      US-CERT Current Activity Archive
      Adobe Releases Flash Player Update
      http://www.us-cert.gov/current/archive/2011/03/25/archive.html#adobe_releases_flash_player_update

      US-CERT Current Activity Archive
      Adobe Releases Security Updates for Reader and Acrobat
      http://www.us-cert.gov/current/archive/2011/03/25/archive.html#adobe_releases_security_updates_for7

    概要
      JPCERT/CC WEEKLY REPORT 2011-03-24 号【1】で紹介した「Adobe 
      Flash に脆弱性」に関する追加情報です。

      Adobe は、Flash Player、AIR、Reader および Acrobat の修正済みのバー
      ジョンを公開しました。なお、Adobe によると、Adobe Reader X につい
      ては、保護モードによって、本脆弱性の影響は軽減されており、修正は
      2011年6月14日にリリースされる予定です。詳細については Adobe が提
      供する情報を参照してください。

    関連文書 (日本語)
      Adobe Technote
      APSB11-05: Adobe Flash Player用セキュリティアップデート公開
      http://kb2.adobe.com/jp/cps/895/cpsid_89522.html

      Adobe Technote
      APSB11-06：Adobe Reader および Acrobat に関するセキュリティアップデート公開
      http://kb2.adobe.com/jp/cps/895/cpsid_89579.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      Adobe Flash Player および Flash を扱う製品の脆弱性(APSA11-01)について
      http://www.ipa.go.jp/security/ciadr/vul/20110322-adobe.html

      @police
      アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
      https://www.npa.go.jp/cyberpolice/topics/?seq=6059

      @police
      アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
      https://www.npa.go.jp/cyberpolice/topics/?seq=6061

      JPCERT/CC Alert 2011-03-22 JPCERT-AT-2011-0007
      Adobe Flash Player および Adobe Reader / Acrobatの脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2011/at110007.txt

      JPCERT/CC WEEKLY REPORT 2011-03-24 号
      【1】Adobe Flash に脆弱性
      https://www.jpcert.or.jp/wr/2011/wr111101.html#1

    関連文書 (英語)
      Adobe Security bulletin APSB11-05
      Security update available for Adobe Flash Player
      http://www.adobe.com/support/security/bulletins/apsb11-05.html

      Adobe Security bulletin APSB11-06
      Security updates available for Adobe Reader and Acrobat
      http://www.adobe.com/support/security/bulletins/apsb11-06.html

【2】Mac OS X に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Apple Releases Security Updates
      http://www.us-cert.gov/current/archive/2011/03/25/archive.html#apple_releases_security_updates4

    概要
      Mac OS X および Mac OS X Server には、複数の脆弱性があります。結
      果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨
      害 (DoS) 攻撃を行ったりする可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Apple Mac OS X 10.6 から 10.6.6 まで
      - Apple Mac OS X Server 10.6 から 10.6.6 まで
      - Apple Mac OS X v10.5.8
      - Apple Mac OS X Server v10.5.8

      この問題は、Apple が提供する修正済みのバージョンに、該当する製品
      を更新することで解決します。詳細については Apple が提供する情報
      を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#636925
      Apple Mac OS X における複数の脆弱性に対するアップデート
      https://jvn.jp/cert/JVNVU636925/index.html

      Apple Support HT4581
      Mac OS X v10.6.7 のセキュリティコンテンツおよびセキュリティアップデート 2011-001 について
      http://support.apple.com/kb/HT4581?viewlocale=ja_JP

【3】不正な SSL デジタル証明書の発行の問題

    情報源
      US-CERT Current Activity Archive
      Fraudulent SSL Certificates
      http://www.us-cert.gov/current/archive/2011/03/25/archive.html#fradulent_ssl_certificates

    概要
      不正に SSL デジタル証明書が発行されたことが報告されています。い
      くつかの有名サイトの SSL デジタル証明書が発行されており、信頼し
      ている Web サイトなどが不正になりすまされる可能性があります。

      なお、SSL デジタル証明書の発行元は、すでにこれらの証明書を失効さ
      せています。マイクロソフト、Mozilla などは、不正な SSL デジタル証
      明書を検出する機能を実装して対応を行っています。

      影響を軽減するためにも、アップデートを適用してください。
      		

    関連文書 (日本語)
      マイクロソフト セキュリティ アドバイザリ (2524375)
      不正なデジタル証明書により、なりすましが行われる
      http://www.microsoft.com/japan/technet/security/advisory/2524375.mspx

      Mozilla Foundation セキュリティアドバイザリ 2011-11
      HTTPS 証明書ブラックリストの更新
      http://www.mozilla-japan.org/security/announce/2011/mfsa2011-11.html

    関連文書 (英語)
      Comodo blogs - IT Security - Data Security
      The Recent RA Compromise
      http://blogs.comodo.com/it-security/data-security/the-recent-ra-compromise/

      Comodo Incident Report
      Report of incident on 15-MAR-2011
      http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

      Mozilla Security Blog
      Firefox Blocking Fraudulent Certificates
      http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/

【4】Google Chrome に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Google Releases Chrome 10.0.648.204
      http://www.us-cert.gov/current/archive/2011/03/25/archive.html#google_releases_chrome_10_03

    概要
      Google Chrome には、複数の脆弱性があります。対象となるバージョン
      は以下の通りです。

      - Google Chrome 10.0.648.204 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに、Google
      Chrome を更新することで解決します。

    関連文書 (英語)
      Google Chrome Releases
      Stable Channel Update
      http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html

【5】Picasa における実行ファイル読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#99977321
      Picasa における実行ファイル読み込みに関する脆弱性
      https://jvn.jp/jp/JVN99977321/index.html

    概要
      Picasa には、実行ファイル読み込み時の検索パスの問題に起因する脆
      弱性があります。結果として、遠隔の第三者が細工した実行ファイルを
      読み込ませることで、プログラムを実行している権限で任意のコードを
      実行する可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Picasa 3.8 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに Picasa を更
      新することで解決します。

    関連文書 (日本語)
      Google
      Picasa
      http://picasa.google.com/

      JPCERT/CC WEEKLY REPORT 2010-09-01 号
      【1】Windows プログラムの DLL 読み込み処理に脆弱性
      https://www.jpcert.or.jp/wr/2010/wr103301.html#1

【6】OpenSLP に脆弱性

    情報源
      US-CERT Vulnerability Note VU#393783
      OpenSLP denial of service vulnerability
      http://www.kb.cert.org/vuls/id/393783

    概要
      OpenSLP には、脆弱性があります。結果として、遠隔の第三者が細工し
      た SLP パケットを処理させることでサービス運用妨害 (DoS) 攻撃を行
      う可能性があります。

      対象となるバージョンは以下の通りです。

      - OpenSLP Revision 1646 およびそれ以前

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに OpenSLP を更新することで解決します。詳細については、
      各ベンダや配布元が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#393783
      OpenSLP にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU393783/index.html

    関連文書 (英語)
      SCM Repositories - openslp
      http://openslp.svn.sourceforge.net/viewvc/openslp/trunk/openslp/common/slp_v2message.c?view=log&pathrev=1647

      VMware Security Advisories VMSA-2011-0004
      VMware ESX/ESXi SLPD denial of service vulnerability and ESX third party updates for Service Console packages bind, pam, and rpm
      http://www.vmware.com/security/advisories/VMSA-2011-0004.html

      Novell Common Vulnerabilities and Exposures
      CVE-2010-3609
      http://support.novell.com/security/cve/CVE-2010-3609.html

【7】Foolabs Xpdf に脆弱性

    情報源
      US-CERT Vulnerability Note VU#376500
      Foolabs Xpdf contains a denial of service vulnerability
      http://www.kb.cert.org/vuls/id/376500

    概要
      Foolabs Xpdf には、フォントの解析に起因する脆弱性があります。結果
      として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任意
      のコードを実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Foolabs Xpdf 3.02pl5 およびそれ以前

      対策として、開発元は t1lib ライブラリを使用せず Xpdf をビルドする
      方法を推奨しています。詳細については、開発元の情報を参照してくだ
      さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#376500
      Foolabs Xpdf にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU376500/index.html

    関連文書 (英語)
      Foolabs
      Xpdf Download
      http://www.foolabs.com/xpdf/download.html

      Foolabs
      Xpdf About
      http://www.foolabs.com/xpdf/about.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本標準時の標準電波送信所の停波について

      日本国内に標準時を送信する電波送信所は、福島県の「おおたかどや山
      標準電波送信所」と佐賀県の「はがね山標準電波送信所」があります。
      このうち、おおたかどや山標準電波送信所は、東北地方太平洋沖地震の
      影響により、3月12日以降、停波しています。

      標準時電波を使った時刻調整を行っているシステムを利用している場合、
      時刻の誤差を確認することをお勧めします。

    参考文献 (日本語)
      日本標準時（JST）プロジェクト
      標準電波（電波時計）の運用状況
      http://jjy.nict.go.jp/jjy/index.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJNkoPrAAoJEDF9l6Rp7OBIkQ8H/iPRh4rTJ0FroT/zybXnQSIQ
cRwDSpgiCeNAH7/mm0DxE4S5WoPS5g8WQZbipguMw1rgLBLBQO+07GcvY9PQOaNw
UVfY/SLtSITbzBhmjvLS5ukE9QO7yGDJM8b9IX5UMP0+LeQEqWFf+F8ajwPL+0Q2
FSMj67BNDa++io0SJ0jxEPaRlc9EFdAh4a5UvK0I/Fekxydbv8SIHBvE7n6fqq4X
5T22qRhbZ9m2r8VuKsxrUQsHI9ul8lXz3M9aY4K8VgUipJ26dzEGm3v+zFYQ7Cpy
xO4CzEXI16j4XS6bNnq2CDPvgoWuvtSvsDBJJR2fIFZxVq1W0xqsMpigB+WpnWQ=
=sTYr
-----END PGP SIGNATURE-----