<<< JPCERT/CC WEEKLY REPORT 2013-01-17 >>>
■01/06(日)〜01/12(土) のセキュリティ関連情報
目 次
【1】Microsoft の複数の製品に脆弱性
【2】Oracle Java 7 に脆弱性
【3】Ruby on Rails の Action Pack に複数の脆弱性
【4】Adobe Flash Player に複数の脆弱性
【5】Adobe Acrobat および Adobe Reader に複数の脆弱性
【6】Adobe ColdFusion に複数の脆弱性
【今週のひとくちメモ】Java 7 のコントロールパネル
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130201.txt
https://www.jpcert.or.jp/wr/2013/wr130201.xml
【1】Microsoft の複数の製品に脆弱性
情報源
US-CERT Alert (TA13-008A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA13-008A.htmlUS-CERT Vulnerability Note VU#154201
Microsoft Internet Explorer CButton use-after-free vulnerability
http://www.kb.cert.org/vuls/id/154201
概要
Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Microsoft 開発者用ツール - Microsoft サーバー ソフトウェア - Microsoft .NET Framework - Microsoft Internet Explorer 6、7、8 この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。また、JPCERT/CC WEEKLY REPORT 2013-01-09 号【1】 で紹介した「Microsoft Internet Explorer に脆弱性」についても、1月15日に セキュリティ更新プログラムが提供されています。 詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト・セキュリティTechCenter
2013 年 1 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-Jan日本のセキュリティチーム
2013 年 1 月のセキュリティ情報 (月例) - MS13-001 〜 MS13-007
http://blogs.technet.com/b/jpsecurity/archive/2013/01/09/3544779.aspx日本のセキュリティチーム
セキュリティ アドバイザリ (2794220) の脆弱性を解決する MS13-008 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2013/01/15/3545836.aspx警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-001,002,003,004,005,006,007)
http://www.npa.go.jp/cyberpolice/topics/?seq=10619警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-008)
http://www.npa.go.jp/cyberpolice/topics/?seq=10661Japan Vulnerability Notes JVNTA13-008A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-008A/index.html独立行政法人情報処理推進機構
Internet Explorer の脆弱性対策について(MS13-008)(CVE-2012-4792)
https://www.ipa.go.jp/security/ciadr/vul/20130104-ms.htmlJPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0003
2013年1月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130003.htmlJPCERT/CC Alert 2013-01-15 JPCERT-AT-2013-0005
Microsoft Internet Explorer の脆弱性 (MS13-008) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130005.htmlJPCERT/CC Weekly Report 2013-01-15
【1】Microsoft Internet Explorer に脆弱性
https://www.jpcert.or.jp/wr/2013/wr130101.html#1
【2】Oracle Java 7 に脆弱性
情報源
US-CERT Vulnerability Note VU#625617
Java 7 fails to restrict access to privileged code
http://www.kb.cert.org/vuls/id/625617
概要
Oracle Java 7 には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 7 Update 10 およびそれ以前 この問題は、Oracle が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA13-010A
Oracle Java 7 に脆弱性
https://jvn.jp/cert/JVNTA13-010A/index.htmlJPCERT/CC Alert 2013-01-15 JPCERT-AT-2013-0004
Oracle Java SE のクリティカルアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2013/at130004.html
関連文書 (英語)
US-CERT Alert (TA13-010A)
Oracle Java 7 Security Manager Bypass Vulnerability
http://www.us-cert.gov/cas/techalerts/TA13-010A.htmlUS-CERT Vulnerability Note VU#636312
Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code
http://www.kb.cert.org/vuls/id/636312#solution
【3】Ruby on Rails の Action Pack に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#380039
Ruby on Rails Action Pack framework insecurely typecasts YAML and Symbol XML parameters
http://www.kb.cert.org/vuls/id/380039
概要
Ruby on Rails の Action Pack には、複数の脆弱性があります。結果として、 遠隔の第三者が、SQL インジェクション攻撃を行ったり、任意のコードを実行 したりする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby on Rails バージョン 3.2.11 より前のバージョン - Ruby on Rails バージョン 3.1.10 より前のバージョン - Ruby on Rails バージョン 3.0.19 より前のバージョン - Ruby on Rails バージョン 2.3.15 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Ruby on Rails を更新することで解決します。詳細については、配布元が 提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94771138
Ruby on Rails に複数の脆弱性
https://jvn.jp/cert/JVNVU94771138/index.html
関連文書 (英語)
Ruby on Rails Security
Multiple vulnerabilities in parameter parsing in Action Pack (CVE-2013-0156)
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
【4】Adobe Flash Player に複数の脆弱性
情報源
JC3 Bulletin
V-065: Adobe Flash Player Buffer Overflow Lets Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-065-adobe-flash-player-buffer-overflow-lets-remote-users-execute-arbitrary-code
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、第三者が細 工したコンテンツをユーザに開かせることで、任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - Windows 用 Adobe Flash Player 11.5.502.135 およびそれ以前のバージョン - Macintosh 用 Adobe Flash Player 11.5.502.136 およびそれ以前のバージョン - Linux 用 Adobe Flash Player 11.2.202.258 およびそれ以前のバージョン - Android 4.x 用 Adobe Flash Player 11.1.115.34 およびそれ以前のバージョン - Android 3.x 及び 2.x 用 Adobe Flash Player 11.1.111.29 およびそれ以前のバージョン - Windows、Android 用 Adobe AIR 3.5.0.880 およびそれ以前のバージョン - Macintosh 用 Adobe AIR 3.5.0.890 およびそれ以前のバージョン - Adobe AIR 3.5.0.880 SDK および Adobe AIR 3.5.0.890 SDK この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。
関連文書 (日本語)
Adobe Flash Player Help
APSB13-01: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq01081735.html独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について (APSB13-01)(CVE-2013-0630)
http://www.ipa.go.jp/security/ciadr/vul/20130109-adobeflashplayer.html警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=10625JPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0001
Adobe Flash Player の脆弱性(APSB13-01)に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130001.html
関連文書 (英語)
Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-01.html
【5】Adobe Acrobat および Adobe Reader に複数の脆弱性
情報源
JC3 Bulletin
V-066: Adobe Acrobat/Reader Multiple Flaws Lets Remote Users Execute Arbitrary Code and Local Users Gain Elevated Privileges
http://energy.gov/cio/articles/v-066-adobe-acrobatreader-multiple-flaws-lets-remote-users-execute-arbitrary-code-and
概要
Adobe Acrobat および Adobe Reader には、複数の脆弱性があります。結果と して、第三者が細工したコンテンツをユーザに開かせることで、任意のコード を実行したり、権限を昇格したり、セキュリティ制限を回避したりする可能性 があります。 対象となるバージョンは以下の通りです。 - Windows および Macintosh 用 Adobe Reader XI (11.0.0) - Windows および Macintosh 用 Adobe Reader X (10.1.4) およびそれ以前 - Windows および Macintosh 用 Adobe Reader 9.5.2 およびそれ以前 - Linux 用 Adobe Reader 9.5.1 およびそれ以前 - Windows および Macintosh 用 Adobe Acrobat XI (11.0.0) - Windows および Macintosh 用 Adobe Acrobat X (10.1.4) およびそれ以前 - Windows および Macintosh 用 Adobe Acrobat 9.5.2 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
警察庁 @Police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=10623独立行政法人情報処理推進機構 (IPA)
Adobe Reader および Acrobat の脆弱性対策について (APSB13-02)(CVE-2012-1530等)
http://www.ipa.go.jp/security/ciadr/vul/20130109-adobereader.htmlJPCERT/CC Alert 2013-01-09 JPCERT-AT-2013-0002
Adobe Reader 及び Acrobat の脆弱性(APSB13-02)に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130002.htmlAdobe Acrobat Help
APSB13-02: Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/acrobat/kb/cq01070056.html
関連文書 (英語)
Adobe Security Bulletin
Security updates for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb13-02.html
【6】Adobe ColdFusion に複数の脆弱性
情報源
JC3 Bulletin
V-063: Adobe ColdFusion Bugs Let Remote Users Gain Access and Obtain Information
http://energy.gov/cio/articles/v-063-adobe-coldfusion-bugs-let-remote-users-gain-access-and-obtain-information
概要
Adobe ColdFusion には、複数の脆弱性があります。結果として、遠隔の第三者 が、認証を回避してシステムにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe ColdFusion のバージョン 10、9.0.2、9.0.1 および 9.0 この問題は、Adobe が提供する修正済のバージョンに ColdFusion を更新する ことで解決します。詳細については、Adobe が提供する情報を参照して下さい。
関連文書 (日本語)
Adobe ColdFusion Help
APSB13-03 -- セキュリティアップデート:ColdFusion用ホットフィックス公開
http://helpx.adobe.com/jp/coldfusion/kb/cq01151042.html
関連文書 (英語)
Adobe Security Bulletin
APSB13-03: Security update: Hotfix available for ColdFusion
http://www.adobe.com/support/security/bulletins/apsb13-03.html
■今週のひとくちメモ
○Java 7 のコントロールパネル
Java 7 の update 10 から「Javaコントロール・パネル」が提供されるように なりました。Web ブラウザで Java を使用しない場合には、コントロールパネ ルから「ブラウザでJavaコンテンツを有効にする」のチェックを外すことによ り、インストールされている全ての Web ブラウザで Java プラグインを無効に することができます。
参考文献 (日本語)
Java.com
WebブラウザでJavaを無効にするにはどうすればよいですか。
http://java.com/ja/download/help/disable_browser.xmlマイクロソフト株式会社
Internet Explorer で Java Web プラグインを無効にする方法
http://support.microsoft.com/kb/2751647/jaMozilla Support
Java アプレットを無効にするには
https://support.mozilla.org/ja/kb/How%20to%20turn%20off%20Java%20applets
プラグイン
https://support.google.com/chrome/bin/answer.py?hl=ja&answer=142064Apple
Safari で Java Web プラグインを無効にする方法
http://support.apple.com/kb/HT5241?viewlocale=ja_JP&locale=ja_JP
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/