-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-1801
                                                                   JPCERT/CC
                                                                  2011-05-18

            <<< JPCERT/CC WEEKLY REPORT 2011-05-18 >>>

――――――――――――――――――――――――――――――――――――――
■05/08(日)〜05/14(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】2011年5月 Microsoft セキュリティ情報について
【2】Adobe Flash Player に複数の脆弱性
【3】Google Chrome に複数の脆弱性
【4】Skype for Mac に脆弱性
【5】Postfix SMTP サーバにメモリ破損の脆弱性
【6】第9回迷惑メール対策カンファレンス
【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第10版

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr111801.html
        https://www.jpcert.or.jp/wr/2011/wr111801.xml
============================================================================


【1】2011年5月 Microsoft セキュリティ情報について

    情報源
      US-CERT Technical Cyber Security Alert TA11-130A
      Microsoft Updates for Multiple Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA11-130A.html

      US-CERT Cyber Security Alert SA11-130A
      Microsoft Updates for Multiple Vulnerabilities
      http://www.us-cert.gov/cas/alerts/SA11-130A.html

    概要
      Microsoft Windows、Office などの製品および関連コンポーネントには
      複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを
      実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり
      ます。

      この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
      ラムを適用することで解決します。

    関連文書 (日本語)
      Microsoft Technet
      2011 年 5 月のセキュリティ情報
      https://www.microsoft.com/japan/technet/security/bulletin/ms11-may.mspx

      Japan Vulnerability Notes JVNTA11-130A
      Microsoft 製品における複数の脆弱性に対するアップデート
      https://jvn.jp/cert/JVNTA11-130A/index.html

      @police
      マイクロソフト社のセキュリティ修正プログラムについて(MS11-035,036)
      https://www.npa.go.jp/cyberpolice/topics/?seq=6424

      JPCERT/CC Alert 2011-05-11 JPCERT-AT-2011-0012
      2011年5月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2011/at110012.txt

【2】Adobe Flash Player に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Adobe Releases Flash Player and Flash Media Server Updates
      http://www.us-cert.gov/current/archive/2011/05/13/archive.html#adobe_releases_flash_player_update2

    概要
      Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔
      の第三者が細工した Flash コンテンツを閲覧させることで任意のコード
      を実行する可能性があります。なお、Adobe によると、一部の脆弱性を
      使用した攻撃活動が確認されています。

      対象となる製品およびバージョンは以下の通りです。

      - Adobe Flash Player 10.2.159.1 及びそれ以前

      この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
      を更新することで解決します。詳細については、Adobe が提供する情報
      を参照してください。

    関連文書 (日本語)
      Adobe TechNote APSB11-12
      APSB11-12: Adobe Flash Player に関するセキュリティアップデート公開
      http://kb2.adobe.com/jp/cps/903/cpsid_90300.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      Adobe Flash Player の脆弱性(APSB11-12)について
      http://www.ipa.go.jp/security/ciadr/vul/20110513-adobe.html

      @police
      アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
      https://www.npa.go.jp/cyberpolice/topics/?seq=6248

      JPCERT/CC Alert 2011-05-13 JPCERT-AT-2011-0013
      Adobe Flash Player の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2011/at110013.txt

【3】Google Chrome に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Google Releases Chrome 11.0.696.68
      http://www.us-cert.gov/current/archive/2011/05/13/archive.html#google_releases_chrome_11_01

    概要
      Google Chrome には、複数の脆弱性があります。対象となるバージョン
      は以下の通りです。

      - Google Chrome 11.0.696.68 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに Google
      Chrome を更新することで解決します。

    関連文書 (英語)
      Google Chrome Releases
      Stable Channel Update
      http://googlechromereleases.blogspot.com/2011/05/stable-channel-update.html

【4】Skype for Mac に脆弱性

    情報源
      DOE-CIRC Technical Bulletin T-619
      Skype for Mac Message Processing Code Execution Vulnerability
      http://www.doecirc.energy.gov/bulletins/t-619.shtml

    概要
      Skype for Mac には、脆弱性があります。結果として、遠隔の第三者が
      細工したメッセージを送信することで、ユーザの権限で任意のコードを
      実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり
      ます。

      対象となるバージョンは以下の通りです。

      - Skype for Mac 5.1.0.922 より前のバージョン

      この問題は、Skype が提供する修正済みのバージョンに Skype for Mac
      を更新することで解決します。
      		

    関連文書 (英語)
      Skype
      Today's Skype for Mac update
      http://blogs.skype.com/security/2011/05/todays_skype_for_mac_update.html

      Skype
      Security Vulnerability in Mac Client Has Been Addressed
      http://blogs.skype.com/security/2011/05/security_vulnerability_in_mac.html

【5】Postfix SMTP サーバにメモリ破損の脆弱性

    情報源
      US-CERT Vulnerability Note VU#727230
      Postfix SMTP server Cyrus SASL support contains a memory corruption vulnerability
      http://www.kb.cert.org/vuls/id/727230

    概要
      Postfix SMTP サーバには、Cyrus SASL ライブラリを用いた認証処理の
      問題に起因するメモリ破損の脆弱性があります。結果として、遠隔の第
      三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
      たりする可能性があります。なお、この問題は PLAIN 認証または LOGIN
      認証以外で Cyrus SASL ライブラリを使用した際に起こります。

      対象となる製品は以下の通りです。

      - Postfix SMTP サーバ

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに Postfix SMTP サーバを更新することで解決します。詳細
      については、各ベンダや配布元が提供する情報を参照してください。
      		

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#727230
      Postfix SMTP サーバにおけるメモリ破損の脆弱性
      https://jvn.jp/cert/JVNVU727230/index.html

      Debian セキュリティ勧告 DSA-2233-1
      postfix -- 複数の脆弱性
      http://www.debian.org/security/2011/dsa-2233.ja.html

    関連文書 (英語)
      postfix.org
      Memory corruption in Postfix SMTP server Cyrus SASL support (CVE-2011-1720)
      http://www.postfix.org/CVE-2011-1720.html

      postfix.org
      Postfix releases 2.8.3, 2.7.4, 2.6.10 and 2.5.13
      http://www.postfix.org/announcements/postfix-2.8.3.html

【6】第9回迷惑メール対策カンファレンス

    情報源
      財団法人インターネット協会事務局
      IAjapan 第９回迷惑メール対策カンファレンス
      http://www.iajapan.org/anti_spam/event/2011/conf0527/index.html

    概要
      2011年5月27日、コクヨホールにて「第9回迷惑メール対策カンファレン
      ス」が開催されます。本カンファレンスでは、迷惑メール対策技術全体
      を概観し、送信ドメイン認証技術の国内におけるさらなる普及推進の必
      要性や電子署名方式の送信ドメイン認証技術である DKIM (DomainKeys
      Identified Mail) の普及推進状況も解説します。

      JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、
      2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ
      ンについて紹介します。

      皆様のご参加をお待ちしております。

    関連文書 (日本語)
      財団法人インターネット協会事務局
      迷惑メール対策委員会
      http://www.iajapan.org/anti_spam/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○マイクロソフトセキュリティインテリジェンスレポート 第10版

      マイクロソフトは、2010年下半期の脆弱性やマルウエア動向についてま
      とめた、マイクロソフトセキュリティインテリジェンスレポートを公開
      しました。セキュリティインテリジェンスレポートは、半年ごとに公開
      されており、今回は第10版となります。

      今回のレポートでは、Java (JRE) の脆弱性を狙った悪用コードの検出数
      が第3四半期に急増したこと、HTML や JavaScript による攻撃の検出数
      が相変わらず多いことなどが報告されています。また、グローバルの脅
      威の評価 (英語情報) では各国ごとの傾向なども紹介されています。

    参考文献 (日本語)
      マイクロソフト セキュリティ ホーム
      マイクロソフト セキュリティ インテリジェンス レポート
      http://www.microsoft.com/japan/security/contents/sir.mspx


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJN0xpFAAoJEDF9l6Rp7OBI1aIH/3QdP70MfEesyx78OuSt9WDq
0ydaHXlghn47h5jg3vFk9fukS+qrVEl+hXRZpz21/E9R7IrkfV2IjhlWm87VTdhQ
54B7zGSg5rbAKlIFpQSXiYkKcXu8Lpudyi8rCfRhFYLn6nOpAHZQFwc+Wj36mUBf
P2wmPdLTAgG1BRptO6GRmWxLt8ixu/RO+dIxdgZpqWbmwaz6vGXx/GvqPCNtW0Mr
PweW/zHIeCiQLBAe+717cLr+sFKYywMy2pb4ksnaKe+UR2LnRe0aTi1PGbxXGAZa
Cdya7kSKlgQ+1w0i+xdECw+QyWU4JRwnQXzg8u3ikYg9aUytEjjW3HCLZv1kwjQ=
=rCO3
-----END PGP SIGNATURE-----