-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-5001 JPCERT/CC 2013-12-18 <<< JPCERT/CC WEEKLY REPORT 2013-12-18 >>> ―――――――――――――――――――――――――――――――――――――― ■12/08(日)〜12/14(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品の複数の脆弱性に対するアップデート 【2】Adobe の複数の製品に脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】サイボウズ デヂエにクロスサイトスクリプティングの脆弱性 【5】SketchUp Viewer にバッファオーバフローの脆弱性 【6】Juniper ScreenOS にサービス運用妨害 (DoS) の脆弱性 【7】制御システムセキュリティカンファレンス 2014開催のご案内 【今週のひとくちメモ】ICANN Study on Whois Misuse コメント募集中 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr135001.html https://www.jpcert.or.jp/wr/2013/wr135001.xml ============================================================================ 【1】Microsoft 製品の複数の脆弱性に対するアップデート 情報源 US-CERT Current Activity Microsoft Releases December 2013 Security Bulletin https://www.us-cert.gov/ncas/current-activity/2013/12/10/Microsoft-Releases-December-2013-Security-Bulletin 概要 Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Internet Explorer - Microsoft Lync - Microsoft Exchange - Microsoft SharePoint - Microsoft 開発者ツール この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで 解決します。なお、この更新には、 JPCERT/CC REPORT 2013-11-13 号【1】で 紹介した問題に対する修正も含まれています。詳細については、Microsoft が 提供する情報を参照して下さい。 関連文書 (日本語) マイクロソフト株式会社 2013 年 12 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms13-dec マイクロソフト株式会社 2013 年 12 月のセキュリティ情報 (月例) - MS13-096?MS13-106 http://blogs.technet.com/b/jpsecurity/archive/2013/12/11/3617449.aspx JPCERT/CC Alert 2013-12-11 2013年12月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130047.html 【2】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates for Adobe Flash Player https://www.us-cert.gov/ncas/current-activity/2013/12/11/Adobe-Releases-Security-Updates-Adobe-Flash-Player US-CERT Current Activity Adobe Releases Security Update for Adobe Shockwave Player https://www.us-cert.gov/ncas/current-activity/2013/12/11/Adobe-Releases-Security-Update-Adobe-Shockwave-Player 概要 Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe Shockwave Player この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。 関連文書 (日本語) JPCERT/CC Alert 2013-12-11 Adobe Flash Player の脆弱性 (APSB13-28) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130048.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Multiple Updates https://www.us-cert.gov/ncas/current-activity/2013/12/11/Mozilla-Releases-Multiple-Updates 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - Firefox 26 より前のバージョン - Firefox ESR 24.2 より前のバージョン - Thunderbird 24.2 より前のバージョン - SeaMonkey 2.23 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Japan Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 【4】サイボウズ デヂエにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#21336955 サイボウズ デヂエにおけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN21336955/index.html 概要 サイボウズ デヂエには、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、当該製品にログインしているユーザのブラウザ 上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ デヂエ 8.0.7 およびそれ以前 - サイボウズ Office plus デヂエ 8.0.7 およびそれ以前 - サイボウズ デヂエ 8.0.7 for ASP およびそれ以前 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ デヂエ を更新することで解決します。詳細については、サイボウズが提供する情報を 参照して下さい。 関連文書 (日本語) サイボウズ株式会社 「キャンセルする」ボタンのクリック時にスクリプトを実行できる脆弱性【CY13-012-001】 http://cs.cybozu.co.jp/information/20131209up11.php 【5】SketchUp Viewer にバッファオーバフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#586958 SketchUp Viewer buffer overflow vulnerability http://www.kb.cert.org/vuls/id/586958 概要 SketchUp Viewer には、バッファオーバフローの脆弱性があります。結果とし て、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - SketchUp Viewer バージョン 13.0.4124 2013年12月17日現在、対策方法はありません。以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99123384 SketchUp Viewer にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU99123384/index.html 【6】Juniper ScreenOS にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#28436508 Juniper ScreenOS におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN28436508/index.html 概要 Juniper Networks の ScreenOS には、サービス運用妨害 (DoS) の脆弱性があ ります。結果として、遠隔の第三者が細工したパケットを送信することで、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - ScreenOS バージョン 6.3 - ScreenOS バージョン 6.2 - ScreenOS バージョン 5.4 (NS 5GT のみ) この問題は、Juniper Networks が提供する情報をもとに、Ping of Death Screen を有効にすることで解決します。詳細については、Juniper Networks が提供する情報を参照して下さい。 関連文書 (英語) Juniper Networks 2013-12 Security Bulletin: NetScreen Firewall: Crafted packet can cause denial of service (CVE-2013-6958) http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10604 【7】制御システムセキュリティカンファレンス 2014開催のご案内 情報源 JPCERT/CC 制御システムセキュリティカンファレンス 2014開催のご案内 https://www.jpcert.or.jp/event/ics-conference2014.html 概要 2014年2月5日、経済産業省と JPCERT/CC の主催で、制御システムセキュリティ カンファレンス 2014 が開催されます。第6回となる本年は、国内の動向を紹 介するセッションとともに、台湾やオーストラリアなど海外における取り組み を紹介するセッションも企画されています。 <開催概要> 日  時 2014年2月5日(水)10時開始 (9:30受付開始) 会  場 コクヨホール      東京都港区港南1-8-35      https://www.kokuyo.co.jp/showroom/hall/access/ 対 象 者 制御システム関係者(ユーザ企業・事業者、システムインテグレー タ・ エンジニアリング会社、製品開発者、研究者) 参加費用 無料 定  員 300名 申し込み方法 申し込みフォームに必要事項をご記入の上、 csc-regist@e-side.co.jp までメールにてお申し込みください。 先着順にて受け付け、定員になり次第締切りとなります。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ICANN Study on Whois Misuse コメント募集中 ICANN は、gTLD の whois 情報の誤用や悪用に関する調査報告書を公開し、内 容についてコメントを募集しています。 この報告書では、gTLD の whois サービスで公開されている登録情報について、 スパムやフィッシングなどに使われた事例の調査や、whois に登録したダミー 情報が、どの程度スパムに使われるかを調査した結果などをまとめており、今 後の GNSO (Generic Names Supporting Organization) におけるポリシー策定 の議論に役立てられる予定です。 コメント募集期間は 2013年12月27日までとなっています。 参考文献 (日本語) JPCERT/CC ひとくちメモ ICANN、"Initial Report from the EWG on gTLD Directory Services" を公開 https://www.jpcert.or.jp/tips/2013/wr132701.html 参考文献 (英語) ICANN Study on Whois Misuse http://www.icann.org/en/news/public-comment/whois-misuse-27nov13-en.htm ICANN Generic Names Supporting Organization Current Information About GNSO-Approved gTLD Whois Studies http://gnso.icann.org/en/group-activities/other/whois/studies ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSsQFcAAoJEDF9l6Rp7OBI7HsIAJOCD31B1ja1g0I4y+9bRrBP bT7z99oq2T3SGOS+Srn0jAOy5KSiGtunrc22MuRdOKHEBw5AbjzAx0vVAGYWZ0OS M/8vL0gSA7x8qMyfg9YhcUdcoXK7YaQegFYNd3mjoEtNibiaFxwr/URdw3K3FFxF googlqtjF5zuCoaRIdeuaoAk9ub0nXn1iXDJi4ZZmGpiI4I6TdRpf2QSgDSf8rAz uQeq79xJGp/02wcVvBpgKOh27jdT+57R8qbkWvZtA1elwZPaYq0jmaShXYs2Lic+ njPaMYFPO2P7vBgi/dPPHwEAColg4psEECrN8OsuR7CR0hQMJJn8+l1XzE+zStI= =a0+6 -----END PGP SIGNATURE-----