<<< JPCERT/CC WEEKLY REPORT 2011-06-15 >>>
■06/05(日)〜06/11(土) のセキュリティ関連情報
目 次
【1】Adobe の複数の製品に脆弱性
【2】Oracle Java に複数の脆弱性
【3】Google Chrome に複数の脆弱性
【4】Cisco IOS に脆弱性
【5】Autonomy KeyView IDOL に複数の脆弱性
【6】HP OpenView Storage Data Protector に脆弱性
【今週のひとくちメモ】Microsoft Standalone System Sweeper のベータ提供
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr112201.txt
https://www.jpcert.or.jp/wr/2011/wr112201.xml
【1】Adobe の複数の製品に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Update for Flash Player
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_releases_security_update_for7US-CERT Current Activity Archive
Adobe Prenotification Security Advisory for Adobe Reader and Acrobat
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_prenotification_security_advisory_for1
概要
Adobe Acrobat、Reader、Flash Player には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラ ウザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。
関連文書 (日本語)
Adobe TechNote APSB11-13
APSB11-13: Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/906/cpsid_90656.htmlAdobe TechNote APSB11-16
APSB11-16 : Adobe Reader および Acrobat に関するセキュリティ情報の事前通知
http://kb2.adobe.com/jp/cps/907/cpsid_90735.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=6605
関連文書 (英語)
Adobe Security bulletin
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-18.html
【2】Oracle Java に複数の脆弱性
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for June 2011
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#oracle_issues_pre_release_announcement3DOE-CIRC Technical Bulletin T-641
Oracle Java SE Critical Patch Update Advisory - June 2011
http://www.doecirc.energy.gov/bulletins/t-641.shtml
概要
Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 25 およびそれ以前 - JDK/JRE 5.0 Update 29 およびそれ以前 - SDK/JRE 1.4.2_31 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。
関連文書 (日本語)
Japan Vulnerability Notes JVN#29212182
Java Web Start におけるポリシーファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN29212182/index.htmlJapan Vulnerability Notes JVN#09206238
Java Web Start における設定ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN09206238/index.htmlJapan Vulnerability Notes JVN#18680611
Java Web Start における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN18680611/index.html独立行政法人 情報処理推進機構 セキュリティセンター
「Java Web Start」における3件のセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110610.htmlJPCERT/CC Alert 2011-06-08 JPCERT-AT-2011-0015
Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2011/at110015.txt
関連文書 (英語)
Oracle
Oracle Java SE Critical Patch Update Advisory - June 2011
http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.htmlThe Oracle Software Security Assurance Blog
June 2011 Java SE Critical Patch Update Released
http://blogs.oracle.com/security/entry/june_2011_java_se_criticalRed Hat Security Advisory
Critical: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2011-0856.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Chrome Releases 12.0.742.91
http://www.us-cert.gov/current/archive/2011/06/10/archive.html#google_chrome_releases_12_0
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 12.0.742.91 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/06/chrome-stable-release.html
【4】Cisco IOS に脆弱性
情報源
CERT-FI Reports
CERT-FI Advisory on Cisco RTP Handling
http://www.cert.fi/en/reports/2011/vulnerability237997.html
概要
Cisco IOS には、Real-time Transport Protocol (RTP) パケットの処 理に起因する脆弱性があります。結果として、遠隔の第三者が細工した パケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となるバージョンは以下の通りです。 - DSPware ファームウェア 9.4.14 を含む Cisco IOS 12.4(15)Tx より 前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を 更新することで解決します。詳細については、Cisco が提供する情報を 参照してください。
関連文書 (英語)
Cisco Security Intelligence Operations
Cisco IOS Real-time Transport Protocol Packet Processing Denial of Service Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=23379
【5】Autonomy KeyView IDOL に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#126159
Autonomy Keyview IDOL contains multiple vulnerabilities in file parsers
http://www.kb.cert.org/vuls/id/126159
概要
Autonomy KeyView IDOL には、ファイルのデコード処理に複数の脆弱性 があります。結果として、遠隔の第三者が細工したファイルを開かせる ことでサービス運用妨害 (DoS) 攻撃を行ったり、ユーザの権限で任意 のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Autonomy KeyView IDOL 10.13.1 より前のバージョン この問題は、Autonomy が提供する修正済みのバージョンに Autonomy KeyView IDOL を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#126159
Autonomy KeyView IDOL に複数の脆弱性
https://jvn.jp/cert/JVNVU126159/index.html
関連文書 (英語)
Autonomy
KeyView IDOL & Connectors
http://www.autonomy.com/content/Products/idol-modules-connectors/index.en.htmlAutonomy
Customer Support Site
https://customers.autonomy.com/
【6】HP OpenView Storage Data Protector に脆弱性
情報源
DOE-CIRC Technical Bulletin T-643
HP OpenView Storage Data Protector Unspecified Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-643.shtml
概要
HP OpenView Storage Data Protector には、脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP OpenView Storage Data Protector 6.0、6.10、6.11 この問題は、HP が提供するパッチを HP OpenView Storage Data Protector に適用することで解決します。詳細については、HP が提供 する情報を参照してください。
関連文書 (英語)
HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02712867
HPSBMA02631 SSRT100324 rev.1 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02712867
■今週のひとくちメモ
○Microsoft Standalone System Sweeper のベータ提供
マイクロソフトは、CD/DVD や USB メモリから起動してウイルススキャ ンや削除を行うツール Microsoft Standalone System Sweeper のベータ 提供を行っています。本ツールは PC の起動ディスクの OS に依存せず、 ウイルス感染した PC の復旧作業を行うことができます。
参考文献 (英語)
Microsoft Connect
Microsoft Standalone System Sweeper Beta
https://connect.microsoft.com/systemsweeper
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/