<<< JPCERT/CC WEEKLY REPORT 2011-02-16 >>>
■02/06(日)〜02/12(土) のセキュリティ関連情報
目 次
【1】2011年2月 Microsoft セキュリティ情報について
【2】Adobe の複数の製品に脆弱性
【3】Oracle Java に脆弱性
【4】Google Chrome に複数の脆弱性
【5】RealNetworks RealPlayer に脆弱性
【6】電子メールセキュリティーセミナー in 熊本
【7】C/C++ セキュアコーディングセミナー 2010@東京 part6 (3月3日) 参加者募集中
【今週のひとくちメモ】Windows 7 SP1 および 2008 R2 SP1 のリリースについて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr110601.txt
https://www.jpcert.or.jp/wr/2011/wr110601.xml
【1】2011年2月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA11-039A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-039A.htmlUS-CERT Cyber Security Alert SA11-039A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-039A.html
概要
Microsoft Windows、Internet Explorer、Office などの製品および関 連コンポーネントには複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。 本セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2010-12-22 号【2】で紹介した「Microsoft Internet Explorer に脆弱 性」に対する解決策も含まれます。 マイクロソフトは、この脆弱性の回避策として「Fix it」を適用してい る場合には、その「Fix it」をアンインストールしてセキュリティ更新 プログラムを適用することを推奨しています。
関連文書 (日本語)
2011 年 2 月のセキュリティ情報
https://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspxマイクロソフト セキュリティ アドバイザリー
Internet Explorer の脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/2488013/ja-jpJapan Vulnerability Notes JVNTA11-039A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-039A/index.html独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性の修正について(MS11-003)
http://www.ipa.go.jp/security/ciadr/vul/20110209-ms11-003.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-003,004,005,006,007,008,009,010,011,012,013,014)
https://www.npa.go.jp/cyberpolice/topics/?seq=5686JPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0003
2011年2月 Microsoft セキュリティ情報(緊急 3件含)に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110003.txtJPCERT/CC WEEKLY REPORT 2010-12-22 号
【2】Microsoft Internet Explorer に脆弱性
https://www.jpcert.or.jp/wr/2010/wr104901.html#2
【2】Adobe の複数の製品に脆弱性
情報源
US-CERT Vulnerability Note VU#812969
Adobe Flash memory corruption vulnerability
http://www.kb.cert.org/vuls/id/812969US-CERT Vulnerability Note VU#189929
Adobe Shockwave 11.5.9.615 contains multiple memory corruption vulnerabilities
http://www.kb.cert.org/vuls/id/189929
概要
Adobe Acrobat、Reader、Flash Player、Shockwave、ColdFusion には、 複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウ ザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。なお、Adobe によると、UNIX 版 Adobe Reader の修正済みのバージョンは 2011年2月28日の週に公開される予 定です。 詳細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB11-01
APSB11-01:Shockwave Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/891/cpsid_89114.htmlAdobe TechNote APSB11-02
APSB11-02:Flash Player 用セキュリティアップデート公開
http://kb2.adobe.com/jp/cps/891/cpsid_89115.htmlAdobe TechNote APSB11-03
APSB11-03:Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/890/cpsid_89065.htmlAdobe TechNote APSB11-04
APSB11-04:ColdFusion用セキュリティアップデート
http://kb2.adobe.com/jp/cps/891/cpsid_89127.htmlJapan Vulnerability Notes JVNVU#812969
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU812969/index.htmlJapan Vulnerability Notes JVNVU#189929
Adobe Shockwave Player に複数の脆弱性
https://jvn.jp/cert/JVNVU189929/index.htmlJPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0004
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110004.txtJPCERT/CC Alert 2011-02-09 JPCERT-AT-2011-0005
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110005.txt
【3】Oracle Java に脆弱性
情報源
US-CERT Current Activity Archive
Oracle Releases Security Alert for Java Runtime Environment
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#oracle_releases_security_alert_for1
概要
Oracle Java には、脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本脆弱 性を使用した攻撃コードが公開されています。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 23 およびそれ以前 - JDK/JRE 5.0 Update 27 およびそれ以前 - SDK/JRE 1.4.2_29 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。
関連文書 (英語)
Oracle Technology Network
Oracle Security Alert for CVE-2010-4476
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.htmlThe Oracle Global Product Security Blog
Security Alert For CVE-2010-4476 Released
http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.htmlOracle Technology Network
Critical Patch Updates and Security Alerts
http://www.oracle.com/technetwork/topics/security/alerts-086861.htmlRed Hat Security Advisory RHSA-2011:0214-1
Moderate: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2011-0214.html
【4】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 9.0.597.95
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#google_releases_chrome_9_01
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 9.0.597.94 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_08.html
【5】RealNetworks RealPlayer に脆弱性
情報源
US-CERT Current Activity Archive
RealNetworks, Inc. Releases Security Updates for RealPlayer
http://www.us-cert.gov/current/archive/2011/02/11/archive.html#realnetworks_inc_releases_security_updates
概要
RealNetworks RealPlayer には、脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を更新することで解決します。詳細については、 RealNetworks が提供する情報を参照してください。
関連文書 (日本語)
RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/02082011_player/ja/
【6】電子メールセキュリティーセミナー in 熊本
情報源
IAJapan 迷惑メール対策委員会
電子メールセキュリティーセミナー in 熊本
https://www.iajapan.org/anti_spam/event/2011/kumamoto0308/index.html
概要
3月8日、財団法人インターネット協会迷惑メール対策委員会の「電子メー ルセキュリティーセミナー in 熊本」が開催されます。迷惑メール対策 の基礎編と最新の技術動向に加え、フィッシング対策を含めて、電子メー ルを利用する上でのセキュリティ全般について紹介します。 JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、 2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ ンについて紹介します。 参加費は無料です。参加申し込みは 3月4日までとなっていますので、お 早めにお申し込みください。
【7】C/C++ セキュアコーディングセミナー 2010@東京 part6 (3月3日) 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 「C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>」は、 同一内容にて 2月24日と 3月3日の 2回開催します。part6 では、ソース コード解析プラットフォーム ROSE を使って開発された CERT C セキュ アコーディングルールのチェッカーを紹介するとともに、実機を使った ハンズオンを実施します。参加の際には VMware あるいは VirtualBox をインストールしたノート PC をご持参ください。 2月24日の回には、すでに定員を越える申し込みをいただいていますが、 3月3日の回については、ひきつづき参加申し込み受付中です。 C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE> [日時] 2011年02月24日(木) 13:30 - 18:15 (受付13:00-) 2011年03月03日(木) 13:30 - 18:15 (受付13:00-) [会場] JPCERTコーディネーションセンター会議室 東京都千代田区神田錦町3-17 廣瀬ビル 11階 (MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif [定員] 20名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○Windows 7 SP1 および 2008 R2 SP1 のリリースについて
マイクロソフトより、Windows 7 SP1 および 2008 SP1 のリリースに関 する案内が出ています。Windows Update などでこれまでに提供された更 新プログラムが含まれているほか、2008 R2 では機能追加も行われます。 また、Windows Update および Auto Update からの SP1 のダウンロード を一時的に防止する Service Pack Blocker Tool Kit も用意されており、 Windows 7 SP1 および Windows Server 2008 R2 SP1 のブロックができ ます。 利用環境での動作検証や適用計画などの準備を進めてください。
参考文献 (日本語)
Microsoft
Microsoft Windows 7 Service Pack 1
http://www.microsoft.com/japan/windows/windows-7/sp1/default.mspxMicrosoft
Windows Server 2008 R2 Service Pack 1 および Windows 7 Service Pack 1 に関して
http://www.microsoft.com/japan/windowsserver2008/sp1.mspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/