<<< JPCERT/CC WEEKLY REPORT 2011-03-30 >>>
■03/20(日)〜03/26(土) のセキュリティ関連情報
目 次
【1】「Adobe Flash に脆弱性」に関する追加情報
【2】Mac OS X に複数の脆弱性
【3】不正な SSL デジタル証明書の発行の問題
【4】Google Chrome に複数の脆弱性
【5】Picasa における実行ファイル読み込みに関する脆弱性
【6】OpenSLP に脆弱性
【7】Foolabs Xpdf に脆弱性
【今週のひとくちメモ】日本標準時の標準電波送信所の停波について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr111201.txt
https://www.jpcert.or.jp/wr/2011/wr111201.xml
【1】「Adobe Flash に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Flash Player Update
http://www.us-cert.gov/current/archive/2011/03/25/archive.html#adobe_releases_flash_player_updateUS-CERT Current Activity Archive
Adobe Releases Security Updates for Reader and Acrobat
http://www.us-cert.gov/current/archive/2011/03/25/archive.html#adobe_releases_security_updates_for7
概要
JPCERT/CC WEEKLY REPORT 2011-03-24 号【1】で紹介した「Adobe Flash に脆弱性」に関する追加情報です。 Adobe は、Flash Player、AIR、Reader および Acrobat の修正済みのバー ジョンを公開しました。なお、Adobe によると、Adobe Reader X につい ては、保護モードによって、本脆弱性の影響は軽減されており、修正は 2011年6月14日にリリースされる予定です。詳細については Adobe が提 供する情報を参照してください。
関連文書 (日本語)
Adobe Technote
APSB11-05: Adobe Flash Player用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/895/cpsid_89522.htmlAdobe Technote
APSB11-06:Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/895/cpsid_89579.html独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Flash Player および Flash を扱う製品の脆弱性(APSA11-01)について
http://www.ipa.go.jp/security/ciadr/vul/20110322-adobe.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6059@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6061JPCERT/CC Alert 2011-03-22 JPCERT-AT-2011-0007
Adobe Flash Player および Adobe Reader / Acrobatの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110007.txtJPCERT/CC WEEKLY REPORT 2011-03-24 号
【1】Adobe Flash に脆弱性
https://www.jpcert.or.jp/wr/2011/wr111101.html#1
関連文書 (英語)
Adobe Security bulletin APSB11-05
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-05.htmlAdobe Security bulletin APSB11-06
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-06.html
【2】Mac OS X に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Security Updates
http://www.us-cert.gov/current/archive/2011/03/25/archive.html#apple_releases_security_updates4
概要
Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.6 から 10.6.6 まで - Apple Mac OS X Server 10.6 から 10.6.6 まで - Apple Mac OS X v10.5.8 - Apple Mac OS X Server v10.5.8 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#636925
Apple Mac OS X における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU636925/index.htmlApple Support HT4581
Mac OS X v10.6.7 のセキュリティコンテンツおよびセキュリティアップデート 2011-001 について
http://support.apple.com/kb/HT4581?viewlocale=ja_JP
【3】不正な SSL デジタル証明書の発行の問題
情報源
US-CERT Current Activity Archive
Fraudulent SSL Certificates
http://www.us-cert.gov/current/archive/2011/03/25/archive.html#fradulent_ssl_certificates
概要
不正に SSL デジタル証明書が発行されたことが報告されています。い くつかの有名サイトの SSL デジタル証明書が発行されており、信頼し ている Web サイトなどが不正になりすまされる可能性があります。 なお、SSL デジタル証明書の発行元は、すでにこれらの証明書を失効さ せています。マイクロソフト、Mozilla などは、不正な SSL デジタル証 明書を検出する機能を実装して対応を行っています。 影響を軽減するためにも、アップデートを適用してください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (2524375)
不正なデジタル証明書により、なりすましが行われる
http://www.microsoft.com/japan/technet/security/advisory/2524375.mspxMozilla Foundation セキュリティアドバイザリ 2011-11
HTTPS 証明書ブラックリストの更新
http://www.mozilla-japan.org/security/announce/2011/mfsa2011-11.html
関連文書 (英語)
Comodo blogs - IT Security - Data Security
The Recent RA Compromise
http://blogs.comodo.com/it-security/data-security/the-recent-ra-compromise/Comodo Incident Report
Report of incident on 15-MAR-2011
http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.htmlMozilla Security Blog
Firefox Blocking Fraudulent Certificates
http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/
【4】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 10.0.648.204
http://www.us-cert.gov/current/archive/2011/03/25/archive.html#google_releases_chrome_10_03
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 10.0.648.204 より前のバージョン この問題は、Google が提供する修正済みのバージョンに、Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/03/stable-channel-update.html
【5】Picasa における実行ファイル読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#99977321
Picasa における実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN99977321/index.html
概要
Picasa には、実行ファイル読み込み時の検索パスの問題に起因する脆 弱性があります。結果として、遠隔の第三者が細工した実行ファイルを 読み込ませることで、プログラムを実行している権限で任意のコードを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Picasa 3.8 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Picasa を更 新することで解決します。
関連文書 (日本語)
Picasa
http://picasa.google.com/JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
【6】OpenSLP に脆弱性
情報源
US-CERT Vulnerability Note VU#393783
OpenSLP denial of service vulnerability
http://www.kb.cert.org/vuls/id/393783
概要
OpenSLP には、脆弱性があります。結果として、遠隔の第三者が細工し た SLP パケットを処理させることでサービス運用妨害 (DoS) 攻撃を行 う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSLP Revision 1646 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSLP を更新することで解決します。詳細については、 各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#393783
OpenSLP にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU393783/index.html
関連文書 (英語)
SCM Repositories - openslp
http://openslp.svn.sourceforge.net/viewvc/openslp/trunk/openslp/common/slp_v2message.c?view=log&pathrev=1647VMware Security Advisories VMSA-2011-0004
VMware ESX/ESXi SLPD denial of service vulnerability and ESX third party updates for Service Console packages bind, pam, and rpm
http://www.vmware.com/security/advisories/VMSA-2011-0004.htmlNovell Common Vulnerabilities and Exposures
CVE-2010-3609
http://support.novell.com/security/cve/CVE-2010-3609.html
【7】Foolabs Xpdf に脆弱性
情報源
US-CERT Vulnerability Note VU#376500
Foolabs Xpdf contains a denial of service vulnerability
http://www.kb.cert.org/vuls/id/376500
概要
Foolabs Xpdf には、フォントの解析に起因する脆弱性があります。結果 として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任意 のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Foolabs Xpdf 3.02pl5 およびそれ以前 対策として、開発元は t1lib ライブラリを使用せず Xpdf をビルドする 方法を推奨しています。詳細については、開発元の情報を参照してくだ さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#376500
Foolabs Xpdf にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU376500/index.html
関連文書 (英語)
Foolabs
Xpdf Download
http://www.foolabs.com/xpdf/download.htmlFoolabs
Xpdf About
http://www.foolabs.com/xpdf/about.html
■今週のひとくちメモ
○日本標準時の標準電波送信所の停波について
日本国内に標準時を送信する電波送信所は、福島県の「おおたかどや山 標準電波送信所」と佐賀県の「はがね山標準電波送信所」があります。 このうち、おおたかどや山標準電波送信所は、東北地方太平洋沖地震の 影響により、3月12日以降、停波しています。 標準時電波を使った時刻調整を行っているシステムを利用している場合、 時刻の誤差を確認することをお勧めします。
参考文献 (日本語)
日本標準時(JST)プロジェクト
標準電波(電波時計)の運用状況
http://jjy.nict.go.jp/jjy/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/