-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-0701 JPCERT/CC 2012-02-22 <<< JPCERT/CC WEEKLY REPORT 2012-02-22 >>> ―――――――――――――――――――――――――――――――――――――― ■02/12(日)〜02/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2012年2月 Microsoft セキュリティ情報について 【2】Oracle Java に複数の脆弱性 【3】Adobe Flash Player に複数の脆弱性 【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性 【5】Mozilla 製品群に脆弱性 【6】Google Chrome に脆弱性 【7】ALFTP における実行ファイル読み込みに関する脆弱性 【8】cforms II にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Windows 家庭向け製品サポート延長について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr120701.html https://www.jpcert.or.jp/wr/2012/wr120701.xml ============================================================================ 【1】2012年2月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA12-045A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA12-045A.html 概要 Microsoft Windows、Office、Internet Explorer、.NET Framework、および Silverlight などには、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、システムやファイルに不正にアクセスしたりす る可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。 関連文書 (日本語) Microsoft セキュリティ TechCenter 2012 年 2 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-feb Microsoft TechNet Blogs > 日本のセキュリティチーム 2012 年 2 月のセキュリティ情報 (月例) http://blogs.technet.com/b/jpsecurity/archive/2012/02/15/3480979.aspx @police マイクロソフト社のセキュリティ修正プログラムについて(MS12-008,009,010,011,012,013,014,015,016) https://www.npa.go.jp/cyberpolice/topics/?seq=8610 Japan Vulnerability Notes JVNTA12-045A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA12-045A/index.html JPCERT/CC Alert 2012-02-15 JPCERT-AT-2012-0005 2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120005.html 関連文書 (英語) Microsoft Security Research & Defense Assessing risk for the February 2012 security updates http://blogs.technet.com/b/srd/archive/2012/02/14/assessing-risk-for-the-february-2012-security-updates.aspx Microsoft Security Research & Defense MS12-013: More information about the msvcrt.dll issue http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-013-more-information-about-the-msvcrt-dll-issue.aspx Microsoft Security Research & Defense MS12-014: Indeo, a blast from the past http://blogs.technet.com/b/srd/archive/2012/02/14/ms12-014-indeo-a-blast-from-the-past.aspx 【2】Oracle Java に複数の脆弱性 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for February 2012 http://www.us-cert.gov/current/#oracle_releases_critical_patch_update17 概要 Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 2 およびそれ以前 - JDK/JRE 6 Update 30 およびそれ以前 - JDK/JRE 5.0 Update 33 およびそれ以前 - SDK/JRE 1.4.2_35 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。最新の Java SE またはサポートのある製品への移行をお 勧めします。 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - February 2012 http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html The Oracle Software Security Assurance Blog February 2012 Critical Patch Update for Java SE Released https://blogs.oracle.com/security/entry/february_2012_critical_patch_update Red Hat Security Advisory RHSA-2012:0135-1 Critical: java-1.6.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2012-0135.html 【3】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Advisory for Adobe Flash Player http://www.us-cert.gov/current/#adobe_releases_security_advisory_for12 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 ユーザのブラウザ上で任意のスクリプトを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、Adobe によると、本脆弱 性を使用した攻撃活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 11.1.102.55 およびそれ以前 - Android 4.x 版 Adobe Flash Player 11.1.112.61 およびそれ以前 - Android 2.x、3.x 版 Adobe Flash Player 11.1.111.5 およびそれ以 前 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 してください。 関連文書 (日本語) Adobe セキュリティ情報 APSB12-03: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/931/cpsid_93112.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=8630 JPCERT/CC Alert 2012-02-16 JPCERT-AT-2012-0006 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120006.html 関連文書 (英語) Adobe - Security Bulletins APSB12-03: Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-03.html 【4】Adobe Shockwave Player と RoboHelp に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletins for Adobe Shockwave Player and RoboHelp http://www.us-cert.gov/current/#adobe_releases_security_advisory_for11 概要 Adobe Shockwave Player および RoboHelp には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows および Macintosh 版 Adobe Shockwave Player 11.6.3.633 およびそれ以前 - Windows 版 RoboHelp 9 (または 8) for Word この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については、Adobe が提供する情報を参照してく ださい。 関連文書 (日本語) Adobe セキュリティ情報 APSB12-02:Adobe Shockwave Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/931/cpsid_93105.html Adobe セキュリティ情報 APSB12-04: RoboHelp for Word に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/931/cpsid_93106.html 関連文書 (英語) Adobe - Security Bulletins APSB12-02 Security update available for Adobe Shockwave Player http://www.adobe.com/support/security/bulletins/apsb12-02.html Adobe - Security Bulletins APSB12-04 Security update available for RoboHelp for Word http://www.adobe.com/support/security/bulletins/apsb12-04.html 【5】Mozilla 製品群に脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 10.0.1 http://www.us-cert.gov/current/#mozilla_releases_firefox_10_0 概要 Mozilla 製品群には、脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 10 およびそれ以前 - Thunderbird 10 およびそれ以前 - SeaMonkey 2.7 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があ ります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 10.0.2 - 2012/02/16 リリース http://mozilla.jp/firefox/10.0.2/releasenotes/ Firefox セキュリティアドバイザリ Firefox 10.0.2 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox10.0.2 Mozilla Japan Thunderbird リリースノート - バージョン 10.0.2 - 2012/02/16 リリース http://mozilla.jp/thunderbird/10.0.2/releasenotes/ Thunderbird セキュリティアドバイザリ Thunderbird 10.0.2 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird10.0.2 SeaMonkey セキュリティアドバイザリ SeaMonkey 2.7.2 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.7.2 関連文書 (英語) SeaMonkey Project SeaMonkey 2.7.2 Release Notes http://www.seamonkey-project.org/releases/seamonkey2.7/ 【6】Google Chrome に脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 17.0.963.56 http://www.us-cert.gov/current/#google_releases_chrome_17_01 概要 Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで す。 - Google Chrome 17.0.963.56 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更 新することで解決します。 関連文書 (英語) Google Chrome Releases Chrome Stable Update http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html 【7】ALFTP における実行ファイル読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#85695061 ALFTP における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN85695061/index.html 概要 ESTsoft Japan の ALFTP には、ファイルの読み込み処理に問題があります。結 果として、遠隔の第三者が細工した実行ファイルを読み込ませることで、プロ グラムを実行している権限で任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ALFTP 5.30.0.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに ALFTP を更新すること で解決します。 関連文書 (日本語) ESTsoft Japan ALFTP における実行ファイル読み込みに関する脆弱性 http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=141 JPCERT/CC WEEKLY REPORT 2010-09-01 号 【1】Windows プログラムの DLL 読み込み処理に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103301.html#1 【8】cforms II にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#35256978 cforms II におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN35256978/index.html 概要 delicious days の WordPress 用プラグイン cforms II には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブ ラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - cforms II v13.1 およびそれ以前 この問題は、delicious days が提供する修正済みのバージョンに cforms II を更新することで解決します。 関連文書 (英語) delicious days cforms II User Forum cforms Version History - VERSION 13.2 ANNOUNCEMENT http://www.deliciousdays.com/cforms-forum/?forum=2&topic=2&page=1 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows 家庭向け製品サポート延長について JPCERT/CC WEEKLY REPORT 2012-02-15 号で、Microsoft Windows Vista 家庭向 け製品のサポート終了をお伝えしましたが、2012年2月19日に日本マイクロソフ トから、Windows Vista および Windows 7 の家庭用向け製品に関して 5 年の 延長サポートを提供すると発表されました。 参考文献 (日本語) TechNet Blogs > 日本のセキュリティチーム Windows Vista/Windows 7 コンシューマー用製品も延長サポートを決定、セキュリティ更新プログラムを継続提供 http://blogs.technet.com/b/jpsecurity/archive/2012/02/20/3481871.aspx JPCERT/CC WEEKLY REPORT 2012-02-15 【今週のひとくちメモ】Windows Vista 家庭向け製品サポート終了 http://www.jpcert.or.jp/wr/2012/wr120601.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPRDxCAAoJEDF9l6Rp7OBIEowIAIH30oRq1pzYhAb15ylZ2JHt ccus0y+E6CQTcbzHbrezv5NqcJpU5ySq6/2IGQW6UEa4yBZpJVrUFOFXHM5ZRzHm Nmf7X3aG5sPbpKuYCDWL/rvkCFY6HCyJOmjZA222GFnA+KtJTqaVt+Z3t0ppLjkd 1afXhM0qb+Pr7mP2k22TndaOMqqIa0u1+p0k39wa2vCqz3/kewP+P+APHA5ssCRr XtF1hCBs9wAECcajqiYSnghthnaNU33jOStjpcKTatFa9Pw3jAEcmXnAnDMYyfrs RBFis4+fBIZX/FQBP/u//PkfbLi2QLUEb+qUhN4qRi91R2zLmc+5BO/j8rfGobM= =9hOC -----END PGP SIGNATURE-----