-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-1301 JPCERT/CC 2014-04-02 <<< JPCERT/CC WEEKLY REPORT 2014-04-02 >>> ―――――――――――――――――――――――――――――――――――――― ■03/23(日)〜03/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Word の RTF ファイル処理に脆弱性 【2】ManageEngine OpStor に複数の脆弱性 【今週のひとくちメモ】新人研修に役立つ JPCERT/CC のコンテンツ 2014年版 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr141301.html https://www.jpcert.or.jp/wr/2014/wr141301.xml ============================================================================ 【1】Microsoft Word の RTF ファイル処理に脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Advisory http://www.us-cert.gov/ncas/current-activity/2014/03/25/Microsoft-Releases-Security-Advisory 概要 Microsoft Word の RTF ファイル処理には脆弱性があります。結果として、遠隔 の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Word 2003 - Microsoft Word 2007 - Microsoft Word 2010 - Microsoft Word 2013 - Microsoft Word Viewer - その他 Microsoft Word 関連ソフトウエア 2014年4月2日現在、対策済みのバージョンはありません。 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - Fix it 51010 を適用する 関連文書 (日本語) TechNet Blogs 日本のセキュリティチーム セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開 http://blogs.technet.com/b/jpsecurity/archive/2014/03/25/security-advisory-2953095.aspx マイクロソフト セキュリティ アドバイザリ (2953095) Microsoft Word の脆弱性により、リモートでコードが実行される http://technet.microsoft.com/ja-jp/security/advisory/2953095 マイクロソフト サポート技術情報 2953095 Microsoft Word の脆弱性により、リモートでコードが実行される https://support.microsoft.com/kb/2953095/ja 独立行政法人情報処理推進機構 (IPA) Microsoft Word の脆弱性対策について(CVE-2014-1761) http://www.ipa.go.jp/security/ciadr/vul/20140325-ms.html JPCERT/CC Alert 2014-03-25 2014年3月 Microsoft Word の未修正の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140012.html 【2】ManageEngine OpStor に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#140886 ManageEngine OpStor Build 8300 and earlier contain multiple vulnerabilities http://www.kb.cert.org/vuls/id/140886 概要 Zoho が提供する ManageEngine OpStor には、複数の脆弱性があります。結果と して、遠隔の第三者が、データベースを改ざんしたり、ユーザのブラウザ上で任 意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - ManageEngine OpStor Build 8500 より前のバージョン この問題は、Zoho が提供する修正済みのバージョンに ManageEngine OpStor を 更新することで解決します。詳細については、Zoho が提供する情報を参照して 下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90746870 ManageEngine OpStor に複数の脆弱性 https://jvn.jp/vu/JVNVU90746870/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○新人研修に役立つ JPCERT/CC のコンテンツ 2014年版 新年度を迎え、新人研修の実施を予定されている会社も多いことと思います。 JPCERT/CC では、新人研修に役立つ教育向けコンテンツを提供しています。情 報セキュリティに関するコンテンツを作成する際にご活用ください。 「新入社員等研修向け情報セキュリティマニュアル」は 3月26日の更新で、昨 今の情報セキュリティインシデントの発生状況やスマートフォンなど新しいデ バイスに関する情報を追記しています。 参考文献 (日本語) JPCERT/CC 新入社員等研修向け情報セキュリティマニュアル https://www.jpcert.or.jp/magazine/security/newcomer.html JPCERT/CC イラストでわかるセキュリティ https://www.jpcert.or.jp/magazine/security/illust/index.html JPCERT/CC 電子メールソフトのセキュリティ設定について https://www.jpcert.or.jp/magazine/security/mail/index.html JPCERT/CC セキュアコーディング https://www.jpcert.or.jp/securecoding.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJTO2YbAAoJEDF9l6Rp7OBIaZ8H/01DiMDScSjKDep0aq349G9K sqSqEBO6sVZx16BNrI05rsi1BgisMNlwz380K/1F4ms1oWPZfnhnAI3gn8GShlNO /gxc48eBfLPbQloGnJ+aZTkcyVXk7rG4hqI5xEUsqn+q+MCN/RdrBtP0gOu3USwu p92/99jCWxtFHjrXbW3tNl92/GlXLoYpGVEsMg/ajdMlu/cMEQDVwrGwrMLGwzmt UEiSGqQemKP3gqQxwpV4sQ8QdYqexbZFNEAhHJFI2PePF+yNtBakkOikK1su8GHQ 3jvgGr5ZtT+l6GECiQSvQCxd4Ov9hgqRKdf3rdCGVB6qbyHPkWeyL1+fwdYB5eI= =WkxC -----END PGP SIGNATURE-----