JPCERT-WR-2011-1501
2011-04-20
2011-04-10
2011-04-16
2011年4月 Microsoft セキュリティ情報について
Microsoft Windows、Office、Internet Explorer、Visual Studio など
の製品および関連コンポーネントには複数の脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
本セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2011-
01-13 号で紹介した 4件の脆弱性に対する解決策も含まれます。
2011 年 4 月のセキュリティ情報
https://www.microsoft.com/japan/technet/security/bulletin/ms11-apr.mspx
マイクロソフト セキュリティ アドバイザリ (2501584)
Microsoft Office 向けの Microsoft Office ファイル検証機能の公開
http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx
Japan Vulnerability Notes JVNTA11-102A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-102A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性の修正について(MS11-018)
http://www.ipa.go.jp/security/ciadr/vul/20110413-ms11-018.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-018,019,020,021,022,023,024,025,026,027,028,029,030,031,032,033,034)
https://www.npa.go.jp/cyberpolice/topics/?seq=6216
JPCERT/CC Alert 2011-04-13 JPCERT-AT-2011-0008
2011年4月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110008.txt
JPCERT/CC WEEKLY REPORT 2011-01-13 号
【1】Microsoft Windows にバッファオーバーフローの脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#1
JPCERT/CC WEEKLY REPORT 2011-01-13 号
【2】Microsoft Internet Explorer 8 に脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#2
JPCERT/CC WEEKLY REPORT 2011-01-13 号
【3】Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#3
JPCERT/CC WEEKLY REPORT 2011-01-13 号
【4】Microsoft IIS FTP サーバに脆弱性
https://www.jpcert.or.jp/wr/2011/wr110101.html#4
Adobe Flash Player に脆弱性
Adobe Flash Player には、脆弱性があります。結果として、遠隔の第三
者が細工した Flash コンテンツを閲覧させることで任意のコードを実行
する可能性があります。なお、本脆弱性を使用した攻撃活動が確認され
ています。
対象となる製品およびバージョンは以下の通りです。
- Adobe Flash Player 10.2.153.1 およびそれ以前の Windows 版、
Macintosh 版、Linux 版、Solaris 版
- Adobe Flash Player 10.2.154.25 およびそれ以前の Google Chrome 版
- Adobe Flash Player 10.2.156.12 およびそれ以前の Android 版
- Adobe Reader X (10.0.2) およびそれ以前の 10.x, 9.x の Windows
版、Macintosh 版に同梱の Authplay.dll コンポーネント
- Adobe Acrobat X (10.0.2) およびそれ以前の 10.x, 9.x の Windows
版、Macintosh 版に同梱の Authplay.dll コンポーネント
なお、Flash をサポートしている他の Adobe 製品も本脆弱性の影響を受
ける可能性があります。
ただし、以下の製品は影響を受けないとのことです。
- UNIX 版 Adobe Reader 9.x
- Android 版 Adobe Reader
- Adobe Reader 8.x
- Adobe Acrobat 8.x
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。なお、Windows、Macintosh 版の Adobe
Acrobat X (10.0.2) 以前の 10.x および 9.x、Macintosh 版の Adobe
Reader X (10.0.1)、および Windows、Macintosh 版の Adobe Reader
9.4.3 以前の 9.x のアップデートは 2011年4月25日の週が終わるまでに、
また、Windows 版の Adobe Reader X のアップデートは、2011年6月14日
に公開予定とのことです。
詳細については、Adobe が提供する情報を参照してください。
Adobe TechNote APSA11-02
APSA11-02 : Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/898/cpsid_89871.html
Adobe TechNote APSB11-07
APSB11-07: Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/899/cpsid_89964.html
Japan Vulnerability Notes JVNVU#230057
Adobe Flash Player に脆弱性
https://jvn.jp/cert/JVNVU230057/index.html
@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6248
Apple 製品群に複数の脆弱性
Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
り、機密情報を取得したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Apple iOS 4.3.2 より前のバージョン
- iPhone 4 (CDMA) 向けの Apple iOS 4.2.5 から 4.2.6 まで
- Apple Safari 5.0.5 より前のバージョン
- Apple Mac OS X v10.6.7
- Apple Mac OS X Server v10.6.7
- Apple Mac OS X v10.5.8
- Apple Mac OS X Server v10.5.8
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
Apple Download
セキュリティアップデート 2011-002 (Leopard デスクトップシステム用)
http://support.apple.com/kb/DL1374?viewlocale=ja_JP
Apple Download
セキュリティアップデート 2011-002 (Snow Leopard デスクトップおよびサーバシステム用)
http://support.apple.com/kb/DL1376?viewlocale=ja_JP
Apple Download
セキュリティアップデート 2011-002 (Leopard サーバシステム用)
http://support.apple.com/kb/DL1375?viewlocale=ja_JP
Apple Download
iOS 4.3.2 ソフトウェア・アップデート
http://support.apple.com/kb/DL1358?viewlocale=ja_JP
Apple Download
Safari 5.0.5
http://support.apple.com/kb/DL1070?viewlocale=ja_JP
Japan Vulnerability Notes JVNVU#805814
Apple iOS 4.3 系における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU805814/index.html
Japan Vulnerability Notes JVNVU#597782
Apple iOS 4.2 系における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU597782/index.html
Japan Vulnerability Notes JVNVU#658892
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU658892/index.html
Japan Vulnerability Notes JVNVU#314158
Apple Mac OS X における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU314158/index.html
Apple Support HT4606
About the security content of iOS 4.3.2 Software Update
http://support.apple.com/kb/HT4606?viewlocale=en_US
Apple Support HT4607
About the security content of iOS 4.2.7 Software Update for iPhone
http://support.apple.com/kb/HT4607?viewlocale=en_US
Apple Support HT4596
About the security content of Safari 5.0.5
http://support.apple.com/kb/HT4596?viewlocale=en_US
Apple Support HT4608
About Security Update 2011-002
http://support.apple.com/kb/HT4608?viewlocale=en_US
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 10.0.648.205 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに、Google
Chrome を更新することで解決します。
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/04/stable-channel-update.html
ヤマハルーターシリーズに脆弱性
ヤマハルーターシリーズには、IP パケットの処理に起因する脆弱性があ
ります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行
う可能性があります。
対象となる機種は多岐にわたります。詳細については、ベンダの情報を
参照してください。
この問題は、ベンダが提供する修正済みのバージョンにファームウェア
を更新することで解決します。なお、本脆弱性への対策を行ったファー
ムウェアは順次リリースされるとのことです。
ヤマハルーターシリーズのセキュリティに関するFAQ
IPの実装におけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html
独立行政法人 情報処理推進機構 セキュリティセンター
「ヤマハルーターシリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110411.html
Adobe Flash プラグインの更新に注意
Adobe Flash は、Word や Excel などのドキュメントに埋め込むことが
可能です。このような Windows のアプリケーションでは Internet
Explorer (IE) のプラグインを利用して Flash を表示しています。
デフォルト Web ブラウザとして Firefox や Chrome、Opera などを使用
して、正しく Flash プラグインを更新していても、IE 用の Flash プラ
グインは別途更新が必要です。IE 用のプラグインの更新を怠っていると、
Flash コンテンツを埋め込んだドキュメントを使った攻撃の影響を受け
ます。実際に JPCERT/CC では、細工された Flash コンテンツを Excel
や Word ファイルに埋め込んだ攻撃が行われていることを確認していま
す。
Flash プラグインの更新作業を適切に行うように注意してください。
Adobe Flash Player
Version Information
http://www.adobe.com/jp/software/flash/about/