-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-3701 JPCERT/CC 2013-09-19 <<< JPCERT/CC WEEKLY REPORT 2013-09-19 >>> ―――――――――――――――――――――――――――――――――――――― ■09/08(日)〜09/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品の複数の脆弱性に対するアップデート (緊急) 【2】Adobe の複数の製品に脆弱性 【3】Apple OS X に複数の脆弱性 【4】サイボウズ Office にクロスサイトスクリプティングの脆弱性 【5】ChamaCargo にクロスサイトスクリプティングの脆弱性 【6】セミナー「ネットワーク・セキュリティ・インフラの全貌」のお知らせ 【今週のひとくちメモ】流行の話題に便乗した攻撃に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr133701.html https://www.jpcert.or.jp/wr/2013/wr133701.xml ============================================================================ 【1】Microsoft 製品の複数の脆弱性に対するアップデート (緊急) 情報源 US-CERT Alert (TA13-253A) Microsoft Updates for Multiple Vulnerabilities https://www.us-cert.gov/ncas/alerts/TA13-253A 概要 Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、権限を昇格したりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Microsoft サーバー ソフトウェア - Internet Explorer この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-253A Microsoft 製品の複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-253A/index.html マイクロソフト株式会社 2013 年 9 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-sep 独立行政法人情報処理推進機構 (IPA) Microsoft 製品の脆弱性対策について(9月) https://www.ipa.go.jp/security/ciadr/vul/20130911-ms.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS13-067,068,069,070,071,072,073,074,075,076,077,078,079) https://www.npa.go.jp/cyberpolice/topics/?seq=12257 JPCERT/CC Alert 2013-09-11 2013年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130037.html 関連文書 (英語) Microsoft Security TechCenter Microsoft Security Bulletin Summary for September 2013 http://technet.microsoft.com/en-us/security/bulletin/ms13-sep Windows Server Windows Server Update Services http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx 【2】Adobe の複数の製品に脆弱性 情報源 Adobe Security Bulletin Security updates available for Adobe Flash Player https://www.adobe.com/support/security/bulletins/apsb13-21.html Adobe Security Bulletin Security updates available for Adobe Reader and Acrobat https://www.adobe.com/support/security/bulletins/apsb13-22.html Adobe Security Bulletin Security update available for Adobe Shockwave Player https://www.adobe.com/support/security/bulletins/apsb13-23.html 概要 Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe Reader - Adobe Acrobat - Adobe Shockwave Player この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) JPCERT/CC Alert 2013-09-11 Adobe Flash Player の脆弱性 (APSB13-21) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130038.html JPCERT/CC Alert 2013-09-11 Adobe Reader 及び Acrobat の脆弱性 (APSB13-22) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130039.html 【3】Apple OS X に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#97033473 Apple OS X における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU97033473/index.html 概要 Apple OS X には、複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - OS X Mountain Lion v10.8.5 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに OS X を更新すること で解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple About the security content of OS X Mountain Lion v10.8.5 and Security Update 2013-004 http://support.apple.com/kb/HT5880 【4】サイボウズ Office にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#53014207 サイボウズ Office におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN53014207/index.html 概要 サイボウズ Office には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ Office 9.3.0 およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ Office を更新することで解決します。詳細については、サイボウズが提供する 情報を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 任意のURLパーツの編集ダイアログでのプレビュー動作にXSS【CY13-009-001】(2013/09/09) http://cs.cybozu.co.jp/information/20130909up11.php 【5】ChamaCargo にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#77455005 ChamaCargo におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN77455005/index.html 概要 ChamaCargo には、クロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - ChamaCargo v7.0000 およびそれ以前 この問題は、ChamaNet が提供する修正済みのバージョンに ChamaCargo を更新 することで解決します。詳細については、ChamaNet が提供する情報を参照して 下さい。 関連文書 (日本語) ChamaNet 高機能ショッピングカート「ChamaCargo」 http://www.chama.ne.jp/cart.htm 【6】セミナー「ネットワーク・セキュリティ・インフラの全貌」のお知らせ 情報源 マイナビニュース ネットワーク・セキュリティ・インフラの全貌 http://news.mynavi.jp/ad/2013/enterprise/security_infra/index.html 概要 ネットワークの活用、運用上の課題に対し、どのような対策を打つべきか。そ の具体策を解説するセミナー「今そこにある危機を具体的に洗い出し、対策を まとめて解説!ネットワーク・セキュリティ・インフラの全貌」が開催されま す。 JPCERT/CC は、このセミナーにおいて基調講演を行います。 日 時:2013年9月27日(金)13:00 - 17:00 (基調講演)13:00 - 14:00 「サイバー攻撃、される前にできること、されてからできること」 JPCERT/CC 理事 分析センター長 真鍋 敬士 場 所:マイナビパレスサイドビル 東コア9FマイナビルームL 参加費:無料 定 員:100名 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○流行の話題に便乗した攻撃に注意 社会的に大きな出来事があると、それに便乗したフィッシング詐欺やマルウエ ア添付メールなどが増加する傾向があります。最近は、2020年の東京オリンピッ ク開催決定や災害による被害などが大きなニュースになっており、これらの話 題に便乗した攻撃活動が行われる可能性があります。 メールや Web 閲覧には危険が伴うことを常に意識し、不審なファイルを開いた り、怪しいサイトにアクセスしたりしないように心掛けましょう。 参考文献 (日本語) フィッシング対策協議会 利用者向けフィッシング詐欺対策ガイドラインの改訂について https://www.antiphishing.jp/report/guideline/consumer_guideline2013.html JPCERT/CC ひとくちメモ 慈善団体を装った phishing に注意 https://www.jpcert.or.jp/tips/2006/wr062001.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSOkhPAAoJEDF9l6Rp7OBIIAIIAJCY2LKDqczsUuozSzexXlCE tpHLhvAdM76c4FEndi+EiuTuXiHVT0rFrxB5fB84MXOZpbDbFU0NGlWdy5CpR5JS cUdxGH1gM/1e08TX9h0GyxSkhOG993e/MQPQeVYWzN55vbL8d7dXogF/mQ4+AbTZ 3Dqu8fqNJM2KbC1uV8dO9t3qCn+J5cFx16X+rrGDhJIZsCYsTZP4CysCsNJ0c4Ql GvQKQZj/EGZjiva8AL6d8YRiPMlgP/JTkvW86umcGUo5K0O7DrGpICVp7cbIVJ0W 7Nyh8SI7LRSbO5ZxpOpMkPG7ldwXzxYZDru7hI1X1hADJXdRQAztccS99icx5mM= =aqWv -----END PGP SIGNATURE-----