-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-1801 JPCERT/CC 2012-05-16 <<< JPCERT/CC WEEKLY REPORT 2012-05-16 >>> ―――――――――――――――――――――――――――――――――――――― ■05/06(日)〜05/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品に複数の脆弱性 【2】Apple iOS に複数の脆弱性 【3】Apple Mac OS X に複数の脆弱性 【4】Apple Safari に複数の脆弱性 【5】OpenSSL に脆弱性 【6】Opera ブラウザに脆弱性 【今週のひとくちメモ】Java 7 への対応 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr121801.html https://www.jpcert.or.jp/wr/2012/wr121801.xml ============================================================================ 【1】Microsoft 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA12-129A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA12-129A.html 概要 Microsoft の複数の製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、権限昇格を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft .NET Framework - Microsoft Office - Microsoft Silverlight この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。 関連文書 (日本語) Microsoft セキュリティ TechCenter 2012 年 5 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms12-may @police マイクロソフト社のセキュリティ修正プログラムについて(MS12-029,030,031,032,033,034,035) http://www.npa.go.jp/cyberpolice/topics/?seq=9351 Japan Vulnerability Notes JVNTA12-129A Microsoft 製品における複数の脆弱性に対するアップデート(緊急) https://jvn.jp/cert/JVNTA12-129A/index.html JPCERT/CC Alert 2012-05-09 JPCERT-AT-2012-0015 2012年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120015.html 【2】Apple iOS に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#341483 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU341483/index.html 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - iOS 5.1.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iOS を更新することで 解決します。 関連文書 (英語) Apple Support HT5278 About the security content of iOS 5.1.1 Software Update http://support.apple.com/kb/HT5278 【3】Apple Mac OS X に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#692779 Apple Mac OS X における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU692779/index.html 概要 Apple Mac OS X には、複数の脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Mac OS X v10.6.8 - Mac OS X Server v10.6.8 - OS X Lion v10.7.3 およびそれ以前 - OS X Lion Server v10.7.3 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに Mac OS X を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple Support HT5281 About the security content of OS X Lion v10.7.4 and Security Update 2012-002 http://support.apple.com/kb/HT5281 【4】Apple Safari に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#241779 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU241779/index.html 概要 Apple Safari には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下の通りです。 - Safari 5.1.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple Support HT5282 About the security content of Safari 5.1.7 http://support.apple.com/kb/HT5282 【5】OpenSSL に脆弱性 情報源 JC3-CIRC Technical Bulletin U-167 OpenSSL Invalid TLS/DTLS Record Processing Lets Remote Users Deny Service http://circ.jc3.doe.gov/bulletins/U-167.shtml 概要 OpenSSL には脆弱性があります。結果として、遠隔の第三者がサービス運用妨 害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8x、1.0.0j、1.0.1c 以前のバージョン この問題は、OpenSSL が提供する修正済みのバージョンに OpenSSL を更新する ことで解決します。詳細については、OpenSSL が提供する情報を参照して下さ い。 関連文書 (英語) OpenSSL Security Advisory Invalid TLS/DTLS record attack (CVE-2012-2333) http://www.openssl.org/news/secadv_20120510.txt 【6】Opera ブラウザに脆弱性 情報源 Opera Software Advisory: Certain URL constructs can allow arbitrary code execution - Opera Knowledge Base http://www.opera.com/support/kb/view/1016/ 概要 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し た URL にアクセスさせることで、任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.64 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新 することで解決します。 関連文書 (英語) Opera Desktop Team Opera 11.64 released http://my.opera.com/desktopteam/blog/2012/05/10/opera-11-64-released Opera Software Opera 11.64 for Windows changelog http://www.opera.com/docs/changelogs/windows/1164/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java 7 への対応 2012年5月、Oracle は JRE の推奨バージョンを Java 7 に変更しました。なお、 Java 6 は 2012年11月 で EOL となることがアナウンスされています。これ以 降、Java 6 の脆弱性に対する修正は提供されない可能性があります。 業務アプリケーションの動作に JRE を使用している場合、JRE の最新バージョ ンに対応し、ユーザの環境に脆弱なバージョンの JRE の導入を強要することの ないようにしてください。 過去には、脆弱なバージョンの JRE をユーザに導入させるシステムの存在が、 大きな話題になったこともあります。 Java 7 での動作検証をすみやかに行い、ユーザに Java 7 への移行を行うよう 周知することをお勧めします。 参考文献 (日本語) 内閣官房情報セキュリティセンター JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果について http://www.nisc.go.jp/press/pdf/jre_chosa.pdf JPCERT/CC WEEKLY REPORT 2012-05-09号 【今週のひとくちメモ】Java SE 7u4/6u32 のリリースと EOL https://www.jpcert.or.jp/wr/2012/wr121701.html#Memo 参考文献 (英語) Oracle Moving to Java 7 as default https://blogs.oracle.com/henrik/entry/moving_to_java_7_as ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPswxSAAoJEDF9l6Rp7OBIlRgH/RHhRNDdrHoFWsiEThVObR8D Isyaz/EbSXfuHgU7o1uoLStguSo1cputVnSgK3hmtQ/UBLATXtlbSiuKxu5RWDqY ZMzsvloOOIl8dx97U4/fUJhLNzYzDrUdicaFpwxR14UicphwVv579kr28tR+6q7C yMRSjAoWaEgnT6LuizANsjMbzALnjLRu9cJ3U60fEIJdZtmjrVFmxEOqL1fq1yVz DN0tSUW/ZRNq6CvZ80UugsAUbJxfXoNIhdllgYMkXx3Ba9VSZ4QOE1RMONlbeznr nbDTKzMbK7jvOox01ZqV7Kt89EZLqTtB3TBplQsgEt/48cwScx2xbIl2exHTpT4= =LdPC -----END PGP SIGNATURE-----