<<< JPCERT/CC WEEKLY REPORT 2012-02-22 >>>
■02/12(日)〜02/18(土) のセキュリティ関連情報
目 次
【1】2012年2月 Microsoft セキュリティ情報について
【2】Oracle Java に複数の脆弱性
【3】Adobe Flash Player に複数の脆弱性
【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性
【5】Mozilla 製品群に脆弱性
【6】Google Chrome に脆弱性
【7】ALFTP における実行ファイル読み込みに関する脆弱性
【8】cforms II にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Windows 家庭向け製品サポート延長について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120701.txt
https://www.jpcert.or.jp/wr/2012/wr120701.xml
【1】2012年2月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA12-045A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-045A.html
概要
Microsoft Windows、Office、Internet Explorer、.NET Framework、および Silverlight などには、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、システムやファイルに不正にアクセスしたりす る可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
2012 年 2 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-febMicrosoft TechNet Blogs > 日本のセキュリティチーム
2012 年 2 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/02/15/3480979.aspx@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-008,009,010,011,012,013,014,015,016)
https://www.npa.go.jp/cyberpolice/topics/?seq=8610Japan Vulnerability Notes JVNTA12-045A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-045A/index.htmlJPCERT/CC Alert 2012-02-15 JPCERT-AT-2012-0005
2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120005.html
関連文書 (英語)
Microsoft Security Research & Defense
Assessing risk for the February 2012 security updates
http://blogs.technet.com/b/srd/archive/2012/02/14/assessing-risk-for-the-february-2012-security-updates.aspxMicrosoft Security Research & Defense
MS12-013: More information about the msvcrt.dll issue
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-013-more-information-about-the-msvcrt-dll-issue.aspxMicrosoft Security Research & Defense
MS12-014: Indeo, a blast from the past
http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-014-indeo-a-blast-from-the-past.aspx
【2】Oracle Java に複数の脆弱性
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for February 2012
http://www.us-cert.gov/current/#oracle_releases_critical_patch_update17
概要
Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 2 およびそれ以前 - JDK/JRE 6 Update 30 およびそれ以前 - JDK/JRE 5.0 Update 33 およびそれ以前 - SDK/JRE 1.4.2_35 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。最新の Java SE またはサポートのある製品への移行をお 勧めします。
関連文書 (英語)
Oracle
Oracle Java SE Critical Patch Update Advisory - February 2012
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.htmlThe Oracle Software Security Assurance Blog
February 2012 Critical Patch Update for Java SE Released
https://blogs.oracle.com/security/entry/february_2012_critical_patch_updateRed Hat Security Advisory RHSA-2012:0135-1
Critical: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2012-0135.html
【3】Adobe Flash Player に複数の脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/#adobe_releases_security_advisory_for12
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、Adobe によると、本脆弱 性を使用した攻撃活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 11.1.102.55 およびそれ以前 - Android 4.x 版 Adobe Flash Player 11.1.112.61 およびそれ以前 - Android 2.x、3.x 版 Adobe Flash Player 11.1.111.5 およびそれ以 前 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 してください。
関連文書 (日本語)
Adobe セキュリティ情報
APSB12-03: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93112.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8630JPCERT/CC Alert 2012-02-16 JPCERT-AT-2012-0006
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120006.html
関連文書 (英語)
Adobe - Security Bulletins
APSB12-03: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-03.html
【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletins for Adobe Shockwave Player and RoboHelp
http://www.us-cert.gov/current/#adobe_releases_security_advisory_for11
概要
Adobe Shockwave Player および RoboHelp には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows および Macintosh 版 Adobe Shockwave Player 11.6.3.633 およびそれ以前 - Windows 版 RoboHelp 9 (または 8) for Word この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については、Adobe が提供する情報を参照してく ださい。
関連文書 (日本語)
Adobe セキュリティ情報
APSB12-02:Adobe Shockwave Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93105.htmlAdobe セキュリティ情報
APSB12-04: RoboHelp for Word に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/931/cpsid_93106.html
関連文書 (英語)
Adobe - Security Bulletins APSB12-02
Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb12-02.htmlAdobe - Security Bulletins APSB12-04
Security update available for RoboHelp for Word
http://www.adobe.com/support/security/bulletins/apsb12-04.html
【5】Mozilla 製品群に脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 10.0.1
http://www.us-cert.gov/current/#mozilla_releases_firefox_10_0
概要
Mozilla 製品群には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 10 およびそれ以前 - Thunderbird 10 およびそれ以前 - SeaMonkey 2.7 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ ります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/firefox/10.0.2/releasenotes/Firefox セキュリティアドバイザリ
Firefox 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10.0.2Mozilla Japan
Thunderbird リリースノート - バージョン 10.0.2 - 2012/02/16 リリース
http://mozilla.jp/thunderbird/10.0.2/releasenotes/Thunderbird セキュリティアドバイザリ
Thunderbird 10.0.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10.0.2SeaMonkey セキュリティアドバイザリ
SeaMonkey 2.7.2 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7.2
関連文書 (英語)
SeaMonkey Project
SeaMonkey 2.7.2 Release Notes
http://www.seamonkey-project.org/releases/seamonkey2.7/
【6】Google Chrome に脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 17.0.963.56
http://www.us-cert.gov/current/#google_releases_chrome_17_01
概要
Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで す。 - Google Chrome 17.0.963.56 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更 新することで解決します。
関連文書 (英語)
Google Chrome Releases
Chrome Stable Update
http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html
【7】ALFTP における実行ファイル読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#85695061
ALFTP における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN85695061/index.html
概要
ESTsoft Japan の ALFTP には、ファイルの読み込み処理に問題があります。結 果として、遠隔の第三者が細工した実行ファイルを読み込ませることで、プロ グラムを実行している権限で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ALFTP 5.30.0.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに ALFTP を更新すること で解決します。
関連文書 (日本語)
ESTsoft Japan
ALFTP における実行ファイル読み込みに関する脆弱性
http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=141JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
【8】cforms II にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#35256978
cforms II におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN35256978/index.html
概要
delicious days の WordPress 用プラグイン cforms II には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブ ラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - cforms II v13.1 およびそれ以前 この問題は、delicious days が提供する修正済みのバージョンに cforms II を更新することで解決します。
関連文書 (英語)
delicious days cforms II User Forum
cforms Version History - VERSION 13.2 ANNOUNCEMENT
http://www.deliciousdays.com/cforms-forum/?forum=2&topic=2&page=1
■今週のひとくちメモ
○Windows 家庭向け製品サポート延長について
JPCERT/CC WEEKLY REPORT 2012-02-15 号で、Microsoft Windows Vista 家庭向 け製品のサポート終了をお伝えしましたが、2012年2月19日に日本マイクロソフ トから、Windows Vista および Windows 7 の家庭用向け製品に関して 5 年の 延長サポートを提供すると発表されました。
参考文献 (日本語)
TechNet Blogs > 日本のセキュリティチーム
Windows Vista/Windows 7 コンシューマー用製品も延長サポートを決定、セキュリティ更新プログラムを継続提供
http://blogs.technet.com/b/jpsecurity/archive/2012/02/20/3481871.aspxJPCERT/CC WEEKLY REPORT 2012-02-15
【今週のひとくちメモ】Windows Vista 家庭向け製品サポート終了
http://www.jpcert.or.jp/wr/2012/wr120601.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/