<<< JPCERT/CC WEEKLY REPORT 2013-11-20 >>>
■11/10(日)〜11/16(土) のセキュリティ関連情報
目 次
【1】Microsoft 製品の複数の脆弱性に対するアップデート
【2】Adobe の複数の製品に脆弱性
【3】一太郎シリーズに脆弱性
【4】EMC Documentum にクロスサイトスクリプティングの脆弱性
【5】フィッシング対策セミナー2013 開催のお知らせ
【今週のひとくちメモ】EMET 4.1 リリース
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr134601.txt
https://www.jpcert.or.jp/wr/2013/wr134601.xml
【1】Microsoft 製品の複数の脆弱性に対するアップデート
情報源
US-CERT Alert (TA13-317A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/ncas/alerts/TA13-317A
概要
Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Office - Internet Explorer この問題は、Microsoft Update 等を用いて、更新プログラムを適用することで 解決します。詳細については、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
マイクロソフト株式会社
2013 年 11 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-novマイクロソフト株式会社
2013 年 11 月のセキュリティ情報 (月例) - MS13-088 ~ MS13-095
http://blogs.technet.com/b/jpsecurity/archive/2013/11/13/3610237.aspx独立行政法人情報処理推進機構 (IPA)
Microsoft 製品の脆弱性対策について(11月)
http://www.ipa.go.jp/security/ciadr/vul/20131113-ms.html警察庁@Police
マイクロソフト社のセキュリティ修正プログラムについて(MS13-088,089,090,091,092,093,094,095)
http://www.npa.go.jp/cyberpolice/topics/?seq=12595JPCERT/CC Alert 2013-11-13
2013年11月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130045.htmlJapan Vulnerability Notes JVNTA13-317A
Microsoft 製品の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-317A/index.html
関連文書 (英語)
Microsoft Security TechCenter
Microsoft Security Bulletin Summary for November 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov
【2】Adobe の複数の製品に脆弱性
情報源
US-CERT Current Activity
Adobe Releases Security Updates for Adobe Flash Player
https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Updates-Adobe-Flash-PlayerUS-CERT Current Activity
Adobe Releases Security Update for Adobe ColdFusion
https://www.us-cert.gov/ncas/current-activity/2013/11/13/Adobe-Releases-Security-Update-Adobe-ColdFusion
概要
Adobe の複数の製品には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Adobe Flash Player - Adobe ColdFusion この問題は、Adobe が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Adobe が提供する情報を参照して下さ い。
関連文書 (日本語)
Adobe
APSB13-26: Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq11111654.htmlAdobe
APSB13-27: ColdFusion に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/coldfusion/kb/cq11111652.htmlJPCERT/CC Alert 2013-11-13
Adobe Flash Player の脆弱性 (APSB13-26) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130046.html
【3】一太郎シリーズに脆弱性
情報源
Japan Vulnerability Notes JVN#44999463
一太郎シリーズにおいて任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN44999463/index.html
概要
一太郎シリーズには、脆弱性があります。結果として、遠隔の第三者が細工し たファイルをユーザに開かせることで任意のコードを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - 一太郎2013 玄 - 一太郎2013 玄 体験版 - 一太郎2012 承 - 一太郎2011 創 / 一太郎2011 - 一太郎Pro 2 - 一太郎Pro 2 体験版 - 一太郎Pro - 一太郎Government 7 - 一太郎Government 6 - 一太郎2010 - 一太郎ガバメント2010 - 一太郎2009、一太郎ガバメント2009 - 一太郎2008、一太郎ガバメント2008 - 一太郎2007、一太郎ガバメント2007 - 一太郎2006、一太郎ガバメント2006 - 一太郎ポータブル with oreplug - 一太郎ビューア この問題は、ジャストシステムが提供する修正済みのバージョンに一太郎を更 新することで解決します。詳細については、ジャストシステムが提供する情報 を参照して下さい。
関連文書 (日本語)
ジャストシステム
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js13003.html警察庁@Police
ジャストシステム社製品の脆弱性について
http://www.npa.go.jp/cyberpolice/topics/?seq=12597IPA 独立行政法人情報処理推進機構
「一太郎」シリーズにおいて任意のコードが実行される脆弱性対策について(JVN#44999463)
https://www.ipa.go.jp/security/ciadr/vul/20131112-jvn.html
【4】EMC Documentum にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#466876
EMC Documentum Product Suite version 6.7 contains a DOM based cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/466876
概要
EMC Documentum には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - EMC Documentum Webtop 6.7 SP2 P07 より前のバージョン - EMC Documentum WDK 6.7 SP2 P07 より前のバージョン - EMC Documentum Taskspace 6.7 SP2 P07 より前のバージョン - EMC Documentum Records Manager 6.7 SP2 P07 より前のバージョン - EMC Documentum Web Publisher 6.5 SP7 より前のバージョン - EMC Documentum Digital Asset Manager 6.5 SP6 より前のバージョン - EMC Documentum Administrator 6.7 SP2 P07 より前のバージョン - EMC Documentum Capital Projects 1.8 P01 より前のバージョン この問題は、EMC が提供する修正済みのバージョンに EMC Documentum を更新 することで解決します。詳細については、EMC が提供する情報を参照して下さ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95124340
EMC Documentum にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU95124340/index.html
関連文書 (英語)
SecurityFocus
ESA-2013-070: EMC Documentum Cross Site Scripting Vulnerability
http://www.securityfocus.com/archive/1/529620/30/0/threaded
【5】フィッシング対策セミナー2013 開催のお知らせ
情報源
フィッシング対策協議会
フィッシング対策セミナー2013
https://www.antiphishing.jp/news/event/antiphishing_seminar2013.html
概要
フィッシング対策協議会は、日本国内におけるフィッシング詐欺被害の抑制を 目的として、「フィッシング対策セミナー2013」を開催します。今回は、三菱 東京UFJ銀行や警察庁、日本マイクロソフトなどの方々が、それぞれの組織にお けるフィッシング対策や対応について講演されます。 参加費は無料です。ただし、事前に参加申込みが必要となります。受付は 2013年12月9日(月) までですが、満席になり次第受付終了となりますので、ご 了承ください。 日時および場所: 2013年12月17日(火)13:30-17:15 (12:45開場) トッパン・フォームズ株式会社 1F 〒105-8311 東京都港区東新橋1-7-3 http://www.mapion.co.jp/m/35.6596666666667_139.762402777778_10/
関連文書 (日本語)
フィッシング対策協議会
https://www.antiphishing.jp/
■今週のひとくちメモ
○EMET 4.1 リリース
2013年11月13日、Microsoft は、Windows 上で動作するアプリケーションの脆 弱性の影響を緩和するためのツール (Enhanced Mitigation Experience Toolkit: 以下 EMET) の新バージョン EMET 4.1 をリリースしました。 EMET 4.1 では、既定のプロファイルの構成内容の変更や、マルチユーザ環境 でのイベントログ機能の強化が行われています。
参考文献 (日本語)
Microsoft
EMET 4.1 を公開 〜 構成ファイルや管理機能の強化
http://blogs.technet.com/b/jpsecurity/archive/2013/11/15/3611107.aspx
参考文献 (英語)
Microsoft Security Research & Defense
Introducing Enhanced Mitigation Experience Toolkit (EMET) 4.1
http://blogs.technet.com/b/srd/archive/2013/11/12/introducing-enhanced-mitigation-experience-toolkit-emet-4-1.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/