-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-1501 JPCERT/CC 2013-04-17 <<< JPCERT/CC WEEKLY REPORT 2013-04-17 >>> ―――――――――――――――――――――――――――――――――――――― ■04/07(日)〜04/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft の複数の製品に脆弱性 【2】Adobe の複数の製品に脆弱性 【3】Plesk Panel に権限昇格の脆弱性 【4】IBM の Tivoli System Automation Application Manager に複数の脆弱性 【5】Sleipnir for Windows にアドレスバー偽装の脆弱性 【6】Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 【今週のひとくちメモ】JNSA、「スマートフォン利用ガイドライン」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr131501.html https://www.jpcert.or.jp/wr/2013/wr131501.xml ============================================================================ 【1】Microsoft の複数の製品に脆弱性 情報源 US-CERT Alert (TA13-100A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/ncas/alerts/TA13-100A 概要 Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft サーバー ソフトウェア - Microsoft セキュリティ ソフトウェア この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。なお、MS13-036 には、特定の条件下で Windows や アプリケーションが正しく動作しないという問題が確認されています。 MS13-036 については適用せず、またインストールした場合は削除することをお すすめします。詳細については、Microsoft が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-100A Microsoft 製品の複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-100A/index.html マイクロソフト株式会社 2013 年 4 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Apr 日本のセキュリティチーム 2013 年 4 月のセキュリティ情報 (月例) - MS13-028 〜 MS13-036 http://blogs.technet.com/b/jpsecurity/archive/2013/04/10/3564488.aspx 日本のセキュリティチーム MS13-036 2823324 適用後の問題について http://blogs.technet.com/b/jpsecurity/archive/2013/04/12/3566398.aspx 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-028,029,030,031,032,033,034,035,036) http://www.npa.go.jp/cyberpolice/topics/?seq=11222 【2】Adobe の複数の製品に脆弱性 情報源 Adobe Security Bulletin Security update: Hotfix available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb13-10.html Adobe Security Bulletin Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb13-11.html Adobe Security Bulletin Security update available for Adobe Shockwave Player http://www.adobe.com/support/security/bulletins/apsb13-12.html 概要 Adobe 複数の製品には脆弱性があります。結果として、遠隔の第三者が任意の コードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - ColdFusion - Adobe Flash Player - Adobe AIR - Adobe Shockwave Player この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) Adobe APSB13-10: ColdFusion に関するホットフィックス公開 http://helpx.adobe.com/jp/coldfusion/kb/cq04091725.html Adobe Flash Player Help / APSB13-11: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq04091730.html Adobe Shockwave Player Help / APSB13-12: Adobe Shockwave Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/shockwave/kb/cq04091726.html JPCERT/CC Alert 2013-04-10 Adobe Flash Player の脆弱性 (APSB13-11) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130020.html 【3】Plesk Panel に権限昇格の脆弱性 情報源 US-CERT Vulnerability Note VU#310500 Plesk Panel 11.0.9 privilege escalation vulnerabilities http://www.kb.cert.org/vuls/id/310500 概要 Parallels が提供する Plesk Panel には、権限昇格の脆弱性があります。結果 として、システムにログイン可能なユーザが、root 権限で任意のコードを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Parallels Plesk Panel 11.x for Linux - Parallels Plesk Panel 10.x for Linux - Parallels Plesk Panel 9.x for Linux/Unix この問題は、Parallels が提供するセキュリティアップデートを Plesk Panel に適用することで解決します。詳細については、Parallels が提供する情報を 参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94324985 Plesk Panel に権限昇格の脆弱性 https://jvn.jp/cert/JVNVU94324985/index.html Parallels 脆弱性に関する問題 VU#310500、CVE-2013-0132、CVE-2013-0133 http://kb.parallels.com/jp/115942/ 【4】IBM の Tivoli System Automation Application Manager に複数の脆弱性 情報源 JC3 Bulletin V-132: IBM Tivoli System Automation Application Manager Multiple Vulnerabilities http://energy.gov/cio/articles/v-132-ibm-tivoli-system-automation-application-manager-multiple-vulnerabilities 概要 IBM の Tivoli System Automation Application Manager には、複数の脆弱性 があります。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行っ たり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - IBM Tivoli System Automation Application Manager バージョン 3.1、3.2、3.2.1 および 3.2.2 この問題は、IBM が提供する修正済みのバージョンに Tivoli System Automation Application Manager を更新することで解決します。詳細について は、IBM が提供する情報を参照して下さい。 関連文書 (英語) IBM Security Bulletin Tivoli System Automation Application Manager 3.2.2 http://www-01.ibm.com/support/docview.wss?uid=swg21633991 IBM Security Bulletin Tivoli System Automation Application Mgr 3.2.2 (WAS) http://www-01.ibm.com/support/docview.wss?uid=swg21633992 【5】Sleipnir for Windows にアドレスバー偽装の脆弱性 情報源 Japan Vulnerability Notes JVN#65034198 Sleipnir for Windows におけるアドレスバー偽装の脆弱性 https://jvn.jp/jp/JVN65034198/index.html 概要 Sleipnir for Windows には、アドレスバー偽装の脆弱性があります。結果とし て、SSL が使用されていないページを SSL が使用されているページであると、 ユーザが誤認する可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir 4 for Windows 4.0.0.4000 およびそれ以前 この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir for Windows を更新することで解決します。詳細については、フェンリルが提供す る情報を参照して下さい。 【6】Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 情報源 Japan Vulnerability Notes JVN#02895867 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 https://jvn.jp/jp/JVN02895867/index.html 概要 Sleipnir Mobile for Android には、脆弱性があります。結果として、第三者 が細工した Web ページにアクセスさせることで、当該ブラウザでログイン済み のサイトの情報を窃取する可能性などがあります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.8.0 およびそれ以前のバージョン - Sleipnir Mobile for Android Black Edition 2.8.0 およびそれ以前のバージョン この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile を更新することで解決します。詳細については、フェンリルが提供する情報を 参照して下さい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JNSA、「スマートフォン利用ガイドライン」を公開 JNSA のスマートフォン活用セキュリティガイドライン策定 WG が「スマートフォ ンの安全な利活用のすすめ〜 スマートフォン利用ガイドライン 〜」を公開し ました。 このドキュメントでは、スマートフォンの現状の課題を整理し、システム管理 者やユーザが実施すべきセキュリティ対策を紹介しています。 参考文献 (日本語) JNSA スマートフォンの安全な利活用のすすめ http://www.jnsa.org/result/2012/surv_smap.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRbfM2AAoJEDF9l6Rp7OBIcCwH/0GoQ3+UjMHOumu3Wou55Rh/ 4Mi4k1b2OkAInwkAUXWtyIJ56S+nIMK4av0j1T0dbRtvGMm1nSDurzqnM5zdLwsW frxHVrGih4mlChCzn/ZtZ5N0d6uLSm2PcXYgAk7MocUR/vs3tSJPCcpI/WSppxCZ A8/1BIamEZ9SUNEMGkqSSUa3ciTjKqzlScGlPZnO4Z4BuZb3rFKNhzTWT42n2MtC 4LvNO0j8bO1wUYtJdl4maa/rsQp0ZdH0Lm4LQNTjOsm3zTuqsDZIdWZNadE5eY7B ziQcY17hHVsuwebyZiH/y/ZiiYen+57WsnfnMeOIhAXvLX0fylat9WDjhmj5Yos= =Ndek -----END PGP SIGNATURE-----