<<< JPCERT/CC WEEKLY REPORT 2013-06-19 >>>
■06/09(日)〜06/15(土) のセキュリティ関連情報
目 次
【1】Microsoft の複数の製品に脆弱性
【2】Adobe Flash Player に複数の脆弱性
【3】RSA Authentication Manager に脆弱性
【4】HP の Insight Diagnostics に複数の脆弱性
【5】HP System Management Homepage に脆弱性
【6】Orchard にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】「フィッシングレポート2013」公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132401.txt
https://www.jpcert.or.jp/wr/2013/wr132401.xml
【1】Microsoft の複数の製品に脆弱性
情報源
US-CERT Current Activity
Microsoft Releases June 2013 Security Bulletin
http://www.us-cert.gov/ncas/current-activity/2013/06/11/Microsoft-Releases-June-2013-Security-Bulletin
概要
Microsoft 製品には複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適 用することで解決します。詳細については、Microsoft が提供する情報を参照 して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2013 年 6 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-jun警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-047,048,049,050,051)
http://www.npa.go.jp/cyberpolice/topics/?seq=11684独立行政法人情報処理推進機構(IPA)
Microsoft 製品の脆弱性対策について(6月)
http://www.ipa.go.jp/security/ciadr/vul/20130612-ms.htmlJPCERT/CC Alert 2013-06-12
2013年6月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130028.html
関連文書 (英語)
US-CERT Alert (TA13-168A)
Microsoft Updates for Multiple Vulnerabilities
https://www.us-cert.gov/ncas/alerts/TA13-168A
【2】Adobe Flash Player に複数の脆弱性
情報源
Adobe Security Bulletin
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-16.html
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が、任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe AIR この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobe
APSB13-16: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq06101845.html警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=11678独立行政法人情報処理推進機構(IPA)
Adobe Flash Player の脆弱性対策について(APSB13-16)(CVE-2013-3343)
http://www.ipa.go.jp/security/ciadr/vul/20130612-adobeflashplayer.htmlJPCERT/CC Alert 2013-06-12
Adobe Flash Player の脆弱性 (APSB13-16) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130029.html
【3】RSA Authentication Manager に脆弱性
情報源
JC3 Bulletin
V-174: RSA Authentication Manager Writes Operating System, SNMP, and HTTP Plug-in Proxy Passwords in Clear Text to Log Files
http://energy.gov/cio/articles/v-174-rsa-authentication-manager-writes-operating-system-snmp-and-http-plug-proxy
概要
RSA Authentication Manager には、脆弱性があります。結果として、ローカル ユーザが、パスワードを取得する可能性があります。 対象となるバージョンは以下の通りです。 - RSA Authentication Manager 8.0 この問題は、RSA が提供する更新プログラムを RSA Authenticaion Manager に適用することで解決します。詳細については、RSA が提供する情報を参照 して下さい。
関連文書 (英語)
RSA
Security, Compliance, and Risk-Management Solutions
http://www.emc.com/domains/rsa/index.htm
【4】HP の Insight Diagnostics に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#324668
HP Insight Diagnostics 9.4.0.4710 multiple vulnerabilities
http://www.kb.cert.org/vuls/id/324668
概要
HP の Insight Diagnostics には、複数の脆弱性があります。結果として、ユー ザが管理者権限で任意のコマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP Insight Diagnostics 9.4.0.4710 これ以前のバージョンもこの脆弱性の影響を受ける可能性があります。 2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること で本脆弱性の影響を軽減することが可能です。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92198165
HP Insight Diagnostics に複数の脆弱性
https://jvn.jp/cert/JVNVU92198165/index.html
関連文書 (英語)
HP Business Support Center
HP Insight Diagnostics Software
http://h20000.www2.hp.com/bizsupport/TechSupport/Home.jsp?lang=en&cc=us&prodTypeId=18964&prodSeriesId=460016
【5】HP System Management Homepage に脆弱性
情報源
US-CERT Vulnerability Note VU#735364
HP System Management Homepage contains a command injection vulnerability
http://www.kb.cert.org/vuls/id/735364
概要
HP System Management Homepage には脆弱性があります。結果として、ユーザ が管理者権限で任意のコマンドを実行する可能性があります。 対象となる製品は以下の通りです。 - HP System Management Homepage 2013年6月18日現在、対策方法は提供されていません。アクセスを制限すること で本脆弱性の影響を軽減することが可能です。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95659777
HP System Management Homepage に OS コマンドインジェクションの脆弱性
https://jvn.jp/cert/JVNVU95659777/index.html
【6】Orchard にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#53622030
Orchard におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN53622030/index.html
概要
Orchard には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - Orchard 1.6.1 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに Orchard を更新するこ とで解決します。詳細については、開発者が提供する情報を参照して下さい。
関連文書 (英語)
Orchard
Security patch recommended for all versions of Orchard
http://docs.orchardproject.net/Documentation/Patch-4-30-2013
■今週のひとくちメモ
○「フィッシングレポート2013」公開
フィッシング対策協議会は 2012年のフィッシング事例についてまとめた「フィッ シングレポート2013」を公開しました。最近の傾向として、フィッシングのター ゲットが固定化されつつあることや、フィッシング手口の巧妙化などが挙げら れており、主要な手口についても解説されています。 また、以前より公開されていた事業者向けおよび利用者向けのフィッシング対 策ガイドラインが、2013年版として更新されています。
参考文献 (日本語)
フィッシング対策協議会
「フィッシングレポート2013」公開のお知らせ
https://www.antiphishing.jp/news/info/press_phishing_report2013.htmlフィッシング対策協議会
資料公開: フィッシング対策ガイドラインの改訂について
https://www.antiphishing.jp/news/info/guideline2013.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/