<<< JPCERT/CC WEEKLY REPORT 2010-01-20 >>>
■01/10(日)〜01/16(土) のセキュリティ関連情報
目 次
【1】2010年1月 Microsoft セキュリティ情報について
【2】Windows XP で提供される Adobe Flash Player 6 に脆弱性
【3】Internet Explorer に脆弱性
【4】2010年1月 Oracle Critical Patch Update について
【5】WebCalenderC3 に複数の脆弱性
【6】TRANSITS Workshop NCA, Japan 開催
【7】フィッシング対策セミナー (in 大阪) 開催 のお知らせ
【今週のひとくちメモ】Debian GNU/Linux 4.0 "Etch" のサポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr100201.txt
https://www.jpcert.or.jp/wr/2010/wr100201.xml
【1】2010年1月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA10-012B
Microsoft Windows EOT Font and Adobe Flash Player 6 Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-012B.htmlUS-CERT Cyber Security Alert SA10-012B
Microsoft Windows and Adobe Flash Player 6 Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-012B.html
概要
Microsoft Windows の Embedded OpenType (EOT) フォント エンジンに は、脆弱性があります。結果として、第三者が細工した EOT フォント を処理させることで任意のコードを実行したり、権限を昇格したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 なお、マイクロソフトによると本脆弱性の深刻度は、Windows 2000 の みが緊急とされています。詳細については、マイクロソフトが提供する 情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。
関連文書 (日本語)
2010 年 1 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspxJapan Vulnerability Notes JVNTA10-012B
Microsoft Windows における EOT フォント エンジンおよび Adobe Flash Player 6 の脆弱性
https://jvn.jp/cert/JVNTA10-012B/index.htmlJPCERT/CC Alert 2010-01-13 JPCERT-AT-2010-0002
2010年1月 Microsoft セキュリティ情報 (緊急 1件) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100002.txt
【2】Windows XP で提供される Adobe Flash Player 6 に脆弱性
情報源
US-CERT Vulnerability Note VU#204889
Windows XP Macromedia Flash 6 ActiveX control use-after-free vulnerability
http://www.kb.cert.org/vuls/id/204889
概要
Windows XP で提供される Adobe Flash Player 6 には、脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを閲覧させる ことで任意のコードを実行する可能性があります。 対象となるプラットフォームは以下の通りです。 - Windows XP Service Pack 2 および Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 この問題は、Adobe が提供する最新のバージョンに Adobe Flash Player を更新することで解決します。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (979267)
Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979267.mspxAdobe
Adobe Flash Playerのインストール
http://get.adobe.com/jp/flashplayer/
【3】Internet Explorer に脆弱性
情報源
US-CERT Vulnerability Note VU#492515
Microsoft Internet Explorer allows remote code execution
http://www.kb.cert.org/vuls/id/492515
概要
Internet Explorer には、脆弱性があります。結果として、遠隔の第三 者が細工した HTML 文書を閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、 本脆弱性を悪用する攻撃活動が確認されています。 対象となる製品は以下の通りです。 - Microsoft Internet Explorer 詳細についてはマイクロソフトが提供する情報を参照してください。 2010年1月19日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 セキュリティ更新プログラムが提供されるまでの間、以下の回避策を適 用することで、本脆弱性の影響を軽減することが可能です。 - [インターネット] ゾーンのセキュリティ設定を "高" にする - [インターネット] および [ローカル イントラネット] ゾーンの セキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する - Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする また、マイクロソフトは回避策として DEP を有効にする「Fix it」を 公開しています。詳細については、下記関連文書を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspxマイクロソフト セキュリティ アドバイザリ
Internet Explorer の脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/979352Japan Vulnerability Notes JVNVU#492515
Microsoft Internet Explorer において任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU492515/index.htmlJPCERT/CC Alert 2010-01-18
Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2010/at100004.txt
【4】2010年1月 Oracle Critical Patch Update について
情報源
US-CERT Technical Cyber Security Alert TA10-012A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-012A.html
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応 した Oracle Critical Patch Update Advisory - January 2010 が公開 されました。 詳細については Oracle が提供する情報を参照してください。 なお、次回の Oracle Critical Patch Update は、2010年4月にリリー スされる予定です。
関連文書 (日本語)
Oracle Technology Network
セキュリティアラート
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htmOracle internet Support Center
[CPUJan2010] Oracle Critical Patch Update Advisory - January 2010
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=139303Oracle Technology Network
Critical Patch Update - January 2010
http://www.oracle.com/technology/global/jp/security/100115_89/top.htmlJapan Vulnerability Notes JVNTA10-012A
Oracle 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA10-012A/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
【5】WebCalenderC3 に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#33977065
WebCalenderC3 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN33977065/index.htmlJapan Vulnerability Notes JVN#22247093
WebCalenderC3 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN22247093/index.html
概要
有限会社シースリーのスケジューラ付カレンダーソフトウェア WebCalenderC3 には、複数の脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行したり、サーバ内 の任意のファイルを閲覧したりする可能性があります。 対象となるバージョンは以下の通りです。 - WebCalenderC3 V0.32 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに WebCalenderC3 を更新することで解決します。
関連文書 (日本語)
有限会社シースリー
ウェブカレンダーシースリーの脆弱性について
http://webcal.c-3.jp/zeijakusei.html
【6】TRANSITS Workshop NCA, Japan 開催
情報源
日本シーサート協議会
TRANSITS Workshop NCA, Japan 開催
http://www.nca.gr.jp/2010/transits/index.html
概要
2010年2月17日、日本シーサート協議会は TRANSITS Workshop NCA, Japan を開催します。 TRANSITS は、CSIRT の設立の促進、対応能力向上を目的としたヨーロッ パのプロジェクトです。CSIRT 関係者はもちろんのこと、CSIRT に留ま らず、セキュリティ関連業務を実施する組織にとって大いにメリットを 得られるトレーニングコンテンツとなっています。 皆様、奮ってご参加ください。 日時および場所: 日時:2010年2月17日(水) 9:00-17:30 場所:明治大学駿河台校舎 アカデミーコモン8階 A7、A8会議室 【お申込に関して】 参加費 :無料 (ただし、事前に参加申込みが必要です) 受付締切 :2010年2月3日 定員 :35名 参加申込先 :E-mail:transits2010@nca.gr.jp 参加申込方法: 上記メールアドレスまで以下の情報を記載の上ご連絡ください。 1. ご氏名 2. 会社名・部署名 3. メールアドレス 4. 電話番号 5. 所属組織の簡単な業務概要 (200字程度) 6. 意見交換会 (懇親会) の参加有無
関連文書 (日本語)
日本シーサート協議会
http://www.nca.gr.jp/
【7】フィッシング対策セミナー (in 大阪) 開催 のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー
https://www.antiphishing.jp/information/information1026.html
概要
近年、日本においてもフィッシング詐欺事例の増加が報告されてきてお り、顧客保護の観点からインターネット関連事業者、金融機関は、自社 の顧客に対するフィッシング行為が行われていないか、十分に注意を払 う必要があります。フィッシング対策協議会では、フィッシングの危険 性や対策について広く周知する事で、被害の抑制や対策の実施に繋げる 事を目的とした、フィッシング対策セミナーを東京・大阪の2会場で開 催する事となりました。 日時および場所: 大阪会場 2010年1月29日(金)13:30-17:00 (開場13:00) 大阪合同庁舎1号館 第1別館2階 大会議室 http://www.kansai.meti.go.jp/7kikaku/health/map.pdf 東京会場 お申し込み多数の為、締め切りとなります。 【お申込に関して】 参加費 :無料 (ただし、事前に参加申込みが必要です) 受付締切 :1月27日(水) 17:00 まで 参加申込先 :E-mail:ap-sec-mri@mri.co.jp 参加申込方法: 上記メールアドレスまで、参加を希望される会場 (大阪のみ 受付中です) 会社名、所属、役職、氏名を記載の上、ご連絡 ください。
関連文書 (日本語)
フィッシング対策協議会
https://www.antiphishing.jp/
■今週のひとくちメモ
○Debian GNU/Linux 4.0 "Etch" のサポート終了
Debian GNU/Linux 4.0 のサポートが 2010年2月で終了する予定です。 サポート終了後はセキュリティの問題やクリティカルなバグに対しても 修正プログラムは提供されません。 Debian GNU/Linux 4.0 を使用している管理者は、新しいバージョンへ の移行を検討してください。バージョンのアップグレードに際してパッ ケージの大幅な追加/削除/更新を含んでいますが、アップグレード作 業の注意点など、詳細については Debian GNU/Linux 5.0 リリースノー トを参照してください。
参考文献 (日本語)
Debian JP Project
Debian GNU/Linux 4.0 "Etch" のサポート終了まであと約1ヶ月です
http://www.debian.or.jp/blog/please_update_to_50_lenny.htmlDebian セキュリティ FAQ
セキュリティアップデートはどれくらいの期間 提供されますか?
http://www.debian.org/security/faq.ja.html#lifespanDebian
Debian GNU/Linux 5.0 -- リリース ノート
http://www.debian.org/releases/lenny/releasenotes.ja.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/