-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-1601 JPCERT/CC 2011-04-27 <<< JPCERT/CC WEEKLY REPORT 2011-04-27 >>> ―――――――――――――――――――――――――――――――――――――― ■04/17(日)〜04/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年4月 Oracle Critical Patch Update について 【2】「Adobe Flash に脆弱性」に関する追加情報 【3】Apple iTunes に脆弱性 【4】Wireshark に脆弱性 【今週のひとくちメモ】長期休暇を控えて 2011/04 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr111601.html https://www.jpcert.or.jp/wr/2011/wr111601.xml ============================================================================ 【1】2011年4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for April 2011 http://www.us-cert.gov/current/archive/2011/04/22/archive.html#oracle_critical_patch_update_pre1 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応 した Oracle Critical Patch Update Advisory - April 2011 が公開さ れました。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network [CPUApr2011] Oracle Critical Patch Update Advisory - April 2011 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=152925 Oracle Technology Network Critical Patch Update - April 2011 http://www.oracle.com/technetwork/jp/topics/index-365431-ja.html Japan Vulnerability Notes JVNVU#520721 Oracle Outside In に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU520721/index.html 関連文書 (英語) The Oracle Global Product Security Blog April 2011 Critical Patch Update Released http://blogs.oracle.com/security/2011/04/april_2011_critical_patch_upda.html Oracle Technology Network Oracle Critical Patch Update Advisory - April 2011 http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html US-CERT Vulnerability Note VU#520721 Oracle Outside In contains exploitable vulnerabilities in Lotus 123 and Microsoft CAB file parsers http://www.kb.cert.org/vuls/id/520721 【2】「Adobe Flash に脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Adobe Releases Security Updates for Reader and Acrobat http://www.us-cert.gov/current/archive/2011/04/22/archive.html#adobe_releases_security_updates_for8 概要 JPCERT/CC WEEKLY REPORT 2011-04-20 号【2】で紹介した「Adobe Flash Player に脆弱性」に関する追加情報です。 Adobe Reader および Acrobat の修正済みのバージョンが公開されまし た。なお、Adobe によると、Adobe Reader X (Windows 版) については、 保護モードによって、本脆弱性の影響は軽減されており、修正は 2011年 6月14日にリリースされる予定です。詳細については Adobe が提供する 情報を参照してください。 関連文書 (日本語) Adobe Technote APSB11-08: Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/900/cpsid_90054.html @police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=6283 JPCERT/CC Alert 2011-04-22 JPCERT-AT-2011-0010 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110010.txt JPCERT/CC WEEKLY REPORT 2011-04-20 号 【2】Adobe Flash Player に脆弱性 https://www.jpcert.or.jp/wr/2011/wr111501.html#2 関連文書 (英語) Adobe Security bulletin APSB11-08 Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb11-08.html 【3】Apple iTunes に脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iTunes 10.2.2 http://www.us-cert.gov/current/archive/2011/04/22/archive.html#apple_releases_itunes_10_21 概要 Apple iTunes には、脆弱性があります。結果として、遠隔の第三者が中 間者攻撃 (man-in-the-middle attack) により、任意のコードを実行し たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Apple iTunes 10.2.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iTunes を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#990878 Apple iTunes における脆弱性に対するアップデート https://jvn.jp/cert/JVNVU990878/index.html 関連文書 (英語) Apple Support HT4609 About the security content of iTunes 10.2.2 http://support.apple.com/kb/HT4609?viewlocale=en_US 【4】Wireshark に脆弱性 情報源 US-CERT Vulnerability Note VU#243670 Wireshark DECT dissector vulnerability http://www.kb.cert.org/vuls/id/243670 概要 Wireshark には、DECT パケットの分析処理に起因する脆弱性があります。 結果として、遠隔の第三者が細工した DECT パケットを処理させること で、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザの権限で任意のコー ドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark 1.4.5 より前のバージョン この問題は、Wireshark Foundation が提供する修正済みのバージョンに Wireshark を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#243670 Wireshark に脆弱性 https://jvn.jp/cert/JVNVU243670/index.html 関連文書 (英語) Wireshark Foundation Wireshark-announce: [Wireshark-announce] Wireshark 1.4.5 is now available http://www.wireshark.org/lists/wireshark-announce/201104/msg00002.html Wireshark Foundation Wireshark 1.4.5 Release Notes http://www.wireshark.org/docs/relnotes/wireshark-1.4.5.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○長期休暇を控えて 2011/04 JPCERT/CC は 2011年4月26日、「長期休暇を控えて 2011/04」を公開し ました。 長期休暇期間中におけるコンピュータセキュリティインシデント発生の 予防および緊急時の対応に関して、セキュリティ対策実施状況ならびに 緊急時の連絡体制を事前に再確認しましょう。 参考文献 (日本語) JPCERT/CC 長期休暇を控えて 2011/04 https://www.jpcert.or.jp/pr/2011/pr110003.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJNt2roAAoJEDF9l6Rp7OBInJ4H/Rb3Y0LbcMUv6U25KjE0ME3R a3IbZ5tAhhQQ1TyG95uTvhDykGHyNi0oOIDZYkK+tz+dFd8XLTb8lslYEJ1WS0nz X/CazU/m7gu0MkTEGSGTA/Q5Nl3C8IQz3R1amYAcJA3uVCGmmESJ+d5ZwfukuZBe q08rgi3gxLBfOVG3iVMP5nvcHhuMroustekROPWpUNEGSpeWIh0twglNkE3ckQuO HRMO4kJ7LayLiDVcmIhIvo1UJgEGCGAt23KoLhnGQ/zhBjSUwd3f+BncDzAKRj3Q k+8eY5V/VACP4VMcXtsnpHjUCQt0V4vgmYhoqZu1l92A5IYbHn7TtM3Ver0Ac2o= =TQW8 -----END PGP SIGNATURE-----