JPCERT-WR-2012-4001
2012-10-17
2012-10-07
2012-10-13
Microsoft の複数の製品に脆弱性
Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を実行したりする可
能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Microsoft Office
- Microsoft サーバー ソフトウェア
- Microsoft Lync
- Microsoft SQL Server
この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。
Japan Vulnerability Notes JVNTA12-283A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-283A/index.html
Microsoft セキュリティ TechCenter
2012 年 10 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-oct
JPCERT/CC Alert 2012-10-10 JPCERT-AT-2012-0032
2012年10月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120032.html
警察庁 @police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-064,065,066,067,068,069,070)
http://www.npa.go.jp/cyberpolice/topics/?seq=10194
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には複数の脆弱性があります。結果として、第三者が細工
したコンテンツをユーザに開かせることで、任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Windows 版 Flash Player 11.4.402.278 およびそれ以前
- Macintosh 版 Flash Player 11.4.402.265 およびそれ以前
- Linux 版 Flash Player 11.2.202.238 およびそれ以前
- Android 4.x 版 Flash Player 11.1.115.17 およびそれ以前
- Android 3.x/2.x 版 Flash Player 11.1.111.16 およびそれ以前
- Windows、Macintosh 版 Adobe AIR 3.4.0.2540 およびそれ以前
- Adobe AIR 3.4.0.2540 SDK (AIR for iOS を含む) およびそれ以前
- Android 版 Adobe AIR 3.4.0.2540 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player
および Adobe AIR を更新することで解決します。詳細については、Adobe が提
供する情報を参照して下さい。
Adobe Flash Player Help
APSB12-22: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq10081118.html
マイクロソフト セキュリティ アドバイザリ (2755801)
Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801
警察庁 @police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=10184
独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB12-22)(CVE-2012-5248等)
http://www.ipa.go.jp/security/ciadr/vul/20121009-adobeflashplayer.html
JPCERT/CC Alert 2012-10-09 JPCERT-AT-2012-0031
Adobe Flash Player の脆弱性 (APSB12-22) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120031.html
ISC BIND にサービス運用妨害 (DoS) の脆弱性
ISC BIND には、脆弱性があります。結果として、遠隔の第三者がサービス運用
妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- ISC BIND 9.2 以降のすべての ISC BIND 9
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに BIND を更新することで解決します。詳細については、ISC が提供する情
報を参照して下さい。
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
http://jprs.jp/tech/security/2012-10-10-bind9-vuln-rr-combination.html
JPCERT/CC Alert 2012-10-10 JPCERT-AT-2012-0033
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2012-5166) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120033.html
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、機密情報を取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- Mozilla Firefox 16.0.1 より前のバージョン
- Mozilla Firefox ESR 10.0.9 より前のバージョン
- Mozilla Thunderbird 16.0.1 より前のバージョン
- Mozilla Thunderbird ESR 10.0.9 より前のバージョン
- Mozilla SeaMonkey 2.13.1 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla Foundation
セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Smarty にクロスサイトスクリプティングの脆弱性
Smarty には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。
対象となるバージョンは以下の通りです。
- Smarty 3.1.11 およびそれ以前
- Smarty 2.6.26 およびそれ以前
この問題は、Smarty が提供する修正済みのバージョンに Smarty を更新するこ
とで解決します。詳細については、Smarty が提供する情報を参照して下さい。
独立行政法人情報処理推進機構 (IPA)
「Smarty」におけるクロスサイト・スクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000094.html
Smarty
Smarty 3.1.12 and Smarty 2.6.27 Released
http://www.smarty.net/
Cisco Firewall Services Module に複数の脆弱性
Cisco Firewall Services Module (FWSM) には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- FWSM バージョン 4.1(9) より前の 4.1 系
この問題は、Cisco が提供する修正済みのバージョンに FWSM を更新すること
で解決します。詳細については、Cisco が提供する情報を参照して下さい。
Cisco Security Advisory
Multiple Vulnerabilities in Cisco Firewall Services Module
http://www.cisco.com/cisco/web/support/JP/111/1116/1116640_cisco-sa-20121010-fwsm-j.html
Cisco Security Advisory
Multiple Vulnerabilities in Cisco Firewall Services Module
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121010-fwsm
Java セキュアコーディングセミナー@福岡 参加者募集開始
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催して
います。このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュア
コーディングについて、より実践的に学んでいただける内容となっています。
このたび、福岡を会場として開催する「Java セキュアコーディングセミナー
@福岡」の参加者募集を開始しました。参加者多数の場合はお申し込み先着順
となります。ふるってご参加ください。
[日時] 2012年12月9日(日) 10:30 - 16:00
[会場] リファレンス駅東ビル 会議室D
福岡市博多区博多駅東1丁目16-14
(MAP) http://www.re-rental.com/map.html
[定員] 40名
[参加費用] 無料
[内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
「オブジェクトの生成とセキュリティ」
「リソース消費攻撃とその対策」
Javaにおける脆弱なコーディングの事例の解説
クイズおよびハンズオン
JPCERT/CC
Java セキュアコーディングセミナー@福岡 お申し込み
https://www.jpcert.or.jp/event/securecoding-FUK201212-application.html
マイクロソフトセキュリティインテリジェンスレポート 第13版
マイクロソフトは、2012年上半期の脆弱性やマルウエア動向についてまとめた
マイクロソフトセキュリティインテリジェンスレポートを公開しました。セキュ
リティインテリジェンスレポートは、半年ごとに公開されており、今回は第13
版となります。
今回のレポートでは、"Mitigating risk" というセクションが設けられ、クロ
スサイトスクリプティングや "pass-the-hash" 攻撃に対する対策について解説
されています。
マイクロソフト セキュリティ
マイクロソフト セキュリティ インテリジェンス レポート
http://www.microsoft.com/ja-jp/security/resources/sir.aspx
Microsoft
Security Intelligence Report (SIR) vol.13
http://www.microsoft.com/security/sir/default.aspx