<<< JPCERT/CC WEEKLY REPORT 2011-11-16 >>>
■11/06(日)〜11/12(土) のセキュリティ関連情報
目 次
【1】2011年11月 Microsoft セキュリティ情報について
【2】Adobe の複数の製品に脆弱性
【3】Mozilla 製品群に複数の脆弱性
【4】不正なデジタル証明書による問題
【5】Java for Mac OS X に複数の脆弱性
【6】Apple iOS に脆弱性
【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性
【8】Google Chrome に複数の脆弱性
【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性
【今週のひとくちメモ】Firefox の法人向け延長サポート版について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114401.txt
https://www.jpcert.or.jp/wr/2011/wr114401.xml
【1】2011年11月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA11-312A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-312A.htmlUS-CERT Cyber Security Alert SA11-312A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-312A.html
概要
Microsoft Windows および関連コンポーネントには、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
2011 年 11 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-novMicrosoft TechNet Blogs > 日本のセキュリティチーム
2011 年 11 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2011/11/09/3464026.aspxマイクロソフト セキュリティ アドバイザリ (2269637)
セキュリティで保護されていないライブラリのロードにより、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2269637Japan Vulnerability Notes JVNTA11-312A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-312A/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-083,084,085,086)
https://www.npa.go.jp/cyberpolice/topics/?seq=8026JPCERT/CC Alert 2011-11-09 JPCERT-AT-2011-0029
2011年11月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110029.html
関連文書 (英語)
Microsoft Security Research & Defense
Assessing the risk of the October 2011 security updates
http://blogs.technet.com/b/srd/archive/2011/10/11/assessing-the-risk-of-the-october-2011-security-updates.aspxMicrosoft Security Research & Defense
Assessing the exploitability of MS11-083
http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspxUS-CERT Vulnerability Note VU#675073
Microsoft Windows TrueType font array indexing vulnerability
http://www.kb.cert.org/vuls/id/675073US-CERT Vulnerability Note VU#951982
Microsoft Windows UDP packet parsing vulnerability
http://www.kb.cert.org/vuls/id/951982
【2】Adobe の複数の製品に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Adobe Shockwave Player
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_bulletin_for13US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player and Adobe AIR
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#adobe_releases_security_advisory_for8
概要
Adobe の複数の製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるプラットフォーム、製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 用の Adobe Flash Player 11.0.1.152 およびそれ以前 - Android 用の Adobe Flash Player 11.0.1.153 およびそれ以前 - Windows、Macintosh、Android 用の Adobe AIR 3.0 およびそれ以前 - Windows、Macintosh 用のAdobe Shockwave Player 11.6.1.629 およ びそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。
関連文書 (日本語)
Adobe セキュリティ速報
APSB11-27:Adobe Shockwave Player用セキュリティアップデート公開
http://www.adobe.com/jp/support/security/bulletins/apsb11-27.htmlAdobe セキュリティ情報
APSB-11-28: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/923/cpsid_92374.html@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8042JPCERT/CC Alert 2011-11-11 JPCERT-AT-2011-0030
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110030.html
【3】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 8 and 3.6.24
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#mozilla_releases_firefox_8_and
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox 8.0 より前のバージョン - Firefox 3.6.24 より前のバージョン - Thunderbird 8.0 より前のバージョン - Thunderbird 3.1.16 より前のバージョン その他に Mozilla コンポーネントを用いている製品も影響を受ける可能 性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。詳細につい ては、ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 8.0 - 2011/11/08 リリース
http://mozilla.jp/firefox/8.0/releasenotes/Firefox セキュリティアドバイザリ
Firefox 8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox8Mozilla Japan
Firefox リリースノート - バージョン 3.6.24 - 2011/11/08 リリース
http://mozilla.jp/firefox/3.6.24/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.24 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.24Mozilla Japan
Thunderbird リリースノート - バージョン 8.0 - 2011/11/08 リリース
http://mozilla.jp/thunderbird/8.0/releasenotes/Thunderbird セキュリティアドバイザリ
Thunderbird 8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird8Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.16 - 2011/11/08 リリース
http://mozilla.jp/thunderbird/3.1.16/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.16 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.16
【4】不正なデジタル証明書による問題
情報源
US-CERT Current Activity Archive
Fraudulent Digital Certificates Could Allow Spoofing
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#fraudulent_digital_certificates_could_allowJC3-CIRC Technical Bulletin U-034
Fraudulent Digital Certificates Could Allow Spoofing
http://www.doecirc.energy.gov/bulletins/u-034.shtml
概要
DigiCert Sdn. Bhd により弱い暗号化キーによるデジタル証明書が発行 されたことが報告されています。結果として、信頼している Web サイ トなどが不正になりすまされる可能性があります。 この問題は、各ベンダが提供するアップデートを適用して、該当の認証 局の信頼を失効することで解決します。詳細については、各ベンダが提 供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (2641690)
不正なデジタル証明書により、なりすましが行われる
http://technet.microsoft.com/ja-jp/security/advisory/2641690Mozilla Japan ブログ
DigiCert Sdn. Bhd. 社の中間認証局の信頼取り消し
http://mozilla.jp/blog/entry/7445/
関連文書 (英語)
Mozilla Security Blog
Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority
http://blog.mozilla.com/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/Debian Security Advisory DSA-2343-1
openssl -- CA trust revocation
http://www.debian.org/security/2011/dsa-2343.en.htmlSecurity Advisory RHSA-2011:1444-1
Important: nss security update
https://rhn.redhat.com/errata/RHSA-2011-1444.html
【5】Java for Mac OS X に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#700214
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU700214/index.html
概要
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が細工した Java アプレットまたは Java アプリケーションを 実行させることで任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Java for Mac OS X 10.7 Update 1 より前のバージョン - Java for Mac OS X 10.6 Update 6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Java for Mac OS X を更新することで解決します。詳細については Apple が提供する 情報を参照してください。
関連文書 (日本語)
Apple Support HT4883
Java for Mac OS X 10.7 Update 1 について
http://support.apple.com/kb/HT4883?viewlocale=ja_JPApple Support HT4884
Java for Mac OS X 10.6 Update 6 について
http://support.apple.com/kb/HT4884?viewlocale=ja_JPApple Support
Java for Mac OS X 10.7 アップデート 1
http://support.apple.com/kb/DL1421?viewlocale=ja_JPApple Support
Java for Mac OS X 10.6 アップデート 6
http://support.apple.com/kb/DL1360?viewlocale=ja_JPJPCERT/CC WEEKLY REPORT 2011-10-26 JPCERT-WR-2011-4101
【1】2011年10月 Oracle Critical Patch Update について
https://www.jpcert.or.jp/wr/2011/wr114101.html#1
【6】Apple iOS に脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases iOS 5.0.1
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#apple_released_ios_5_0
概要
Apple iOS には、脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、機密情報を取得したりする可能性があります。 対象となるバージョンは以下の通りです。 - iOS 5.0.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple iOS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#988283
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU988283/index.html
関連文書 (英語)
Apple Support HT5052
About the security content of iOS 5.0.1 Software Update
http://support.apple.com/kb/HT5052?viewlocale=en_US
【7】Apple Time Capsule および AirMac ベースステーション (802.11n) に脆弱性
情報源
Japan Vulnerability Notes JVNVU#309451
Apple Time Capsule および AirPort Base Station (802.11n) における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU309451/index.html
概要
Apple Time Capsule および AirMac ベースステーション (802.11n) に は、DHCP サーバからの応答の処理に起因する脆弱性があります。結果と して、遠隔の第三者が細工した応答を処理させることで任意のコードを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Time Capsule および AirMac ベースステーション (802.11n) Firmware 7.6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 のファームウェアを更新することで解決します。詳細については、 Apple が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2011-04-13 JPCERT-WR-2011-1401
【1】ISC DHCP クライアントに脆弱性
https://www.jpcert.or.jp/wr/2011/wr111401.html#1
関連文書 (英語)
Apple Support HT5005
About the security content of Time Capsule and AirPort Base Station (802.11n) Firmware 7.6
http://support.apple.com/kb/HT5005
【8】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 15.0.874.120
http://www.us-cert.gov/current/archive/2011/11/11/archive.html#google_releases_chrome_15_01
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 15.0.874.120 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/11/stable-channel-update.html
【9】茶筌 (ChaSen) にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#16901583
茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN16901583/index.html
概要
日本語の形態素解析ソフトウェア、茶筌 (ChaSen) には、文字列の読み 込み処理に起因するバッファオーバーフローの脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - 茶筌 (ChaSen) 2.4 系 2011年11月15日現在、この問題に対する解決策は提供されていません。 回避策としては、同等の機能を持つ他の製品に切り替える、茶筌 (ChaSen) version 2.3.3 を使用するなどの方法があります。
関連文書 (日本語)
SourceForge.JP
ChaSen legacy
http://sourceforge.jp/projects/chasen-legacy/releases/
■今週のひとくちメモ
○Firefox の法人向け延長サポート版について
Mozilla Firefox は Firefox 4 以降、高速リリースサイクルに移行しま した。 法人向けサポートのポリシーは提案検討されている段階であり、現在の Firefox 3.6 のサポートは、暫定的に継続されています。現在提案され ているポリシー案では、3.6 のサポートは 2012年4月24日までとなって います。 それ以降の法人向けサポートは 54週単位でのサポートサイクルが提案 されています。
参考文献 (日本語)
Mozilla Japan ブログ
Mozilla 法人ユーザワーキンググループの進捗状況
http://mozilla.jp/blog/entry/7278/
参考文献 (英語)
MozillaWiki
Enterprise/Firefox/ExtendedSupport:Proposal
https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/