<<< JPCERT/CC WEEKLY REPORT 2012-01-18 >>>
■01/08(日)〜01/14(土) のセキュリティ関連情報
目 次
【1】2012年1月 Microsoft セキュリティ情報について
【2】Adobe Reader および Acrobat に脆弱性
【3】Cogent DataHub に複数の脆弱性
【4】制御システムセキュリティカンファレンス 2012 のお知らせ
【5】SecurityDay 2012 のお知らせ
【今週のひとくちメモ】Firefox/Thunderbird の法人向け延長サポート版について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120201.txt
https://www.jpcert.or.jp/wr/2012/wr120201.xml
【1】2012年1月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA12-010A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-010A.htmlUS-CERT Cyber Security Alert SA12-010A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA12-010A.html
概要
Microsoft Windows、Microsoft 開発者用ツールなどには、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 システムやファイルに不正にアクセスしたりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。なお、今回のセキュリティ更新プロ グラムには、JPCERT/CC WEEKLY REPORT 2011-10-05 号【3】「SSL 3.0 とTLS 1.0 の CBC モードに選択平文攻撃の脆弱性」で紹介した脆弱性に 対する修正も含まれます。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
2012 年 1 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-janMicrosoft TechNet Blogs > 日本のセキュリティチーム
2012 年 1 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/01/11/3474813.aspxマイクロソフト セキュリティ アドバイザリ (2588513)
SSL/TLS の脆弱性により、情報漏えいが起こる
http://technet.microsoft.com/ja-jp/security/advisory/2588513@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-001,002,003,004,005,006,007)
https://www.npa.go.jp/cyberpolice/topics/?seq=8370Japan Vulnerability Notes JVNTA12-010A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-010A/index.htmlJPCERT/CC Alert 2012-01-11 JPCERT-AT-2012-0002
2012年1月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120002.htmlJPCERT/CC WEEKLY REPORT 2011-10-05 JPCERT-WR-2011-3801
【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性
http://www.jpcert.or.jp/wr/2011/wr113801.html#3
関連文書 (英語)
Microsoft Security Research & Defense
Assessing risk for the January 2012 security updates
http://blogs.technet.com/b/srd/archive/2012/01/10/assessing-risk-for-the-january-2012-security-updates.aspxMicrosoft Security Research & Defense
More information on the impact of MS12-001
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-the-impact-of-ms12-001.aspxMicrosoft Security Research & Defense
More information on MS12-004
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-ms12-004.aspx
【2】Adobe Reader および Acrobat に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Reader and Acrobat
http://www.us-cert.gov/current/archive/2012/01/12/archive.html#adobe_releases_security_advisory_for10JC3-CIRC Technical Bulletin U-079
Adobe Acrobat/Reader Multiple Bugs Let Remote Users Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/u-079.shtml
概要
Adobe Acrobat、Reader には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した PDF ファイルをユーザに開かせることで Adobe Acrobat や Reader を不正終了させたり、任意のコードを実行し たりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。 なお、今回のバージョンには JPCERT/CC WEEKLY REPORT 2011-12-14 号 【1】「Adobe Reader および Acrobat に脆弱性」で紹介した脆弱性に 対する修正も含まれています。
関連文書 (日本語)
@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8372JPCERT/CC WEEKLY REPORT 2011-12-14 号
【1】Adobe Reader および Acrobat に脆弱性
https://www.jpcert.or.jp/wr/2011/wr114801.html#1JPCERT/CC WEEKLY REPORT 2011-12-21 号
【2】「Adobe Reader および Acrobat に脆弱性」に関する追加情報
https://www.jpcert.or.jp/wr/2011/wr114901.html#2JPCERT/CC Alert 2012-01-11 JPCERT-AT-2012-0003
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120003.htmlAdobe Security bulletin APSB12-01
Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/928/cpsid_92823.html
関連文書 (英語)
Adobe Security bulletin APSB12-01
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb12-01.html
【3】Cogent DataHub に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#12983784
Cogent DataHub におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN12983784/index.htmlJapan Vulnerability Notes JVN#63249231
Cogent DataHub における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN63249231/index.html
概要
Cogent DataHub には、複数の脆弱性があります。結果として、遠隔の第 三者が HTTP レスポンス分割攻撃を行ったり、ユーザのブラウザ上で任 意のスクリプトを実行したり、偽の情報を表示したりする可能性があり ます。 対象となる製品およびバージョンは以下の通りです。 - Cogent DataHub V7.1.2 およびそれ以前 - OPC DataHub V6.4.20 およびそれ以前 - Cascade DataHub V6.4.20 およびそれ以前 この問題は、Cogent Real-Time Systems が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。
関連文書 (英語)
Cogent Real-Time Systems
Release Notes
http://www.cogentdatahub.com/ReleaseNotes.html
【4】制御システムセキュリティカンファレンス 2012 のお知らせ
情報源
制御システムセキュリティカンファレンス 2012
https://www.jpcert.or.jp/event/ics-conference2012.html
概要
2012年2月3日(金) に「制御システムセキュリティカンファレンス 2012」 を開催いたします。会場は品川コクヨホールです。 第4回目となる今回は、「After Stuxnet」のテーマのもと、さまざまな 立場から、制御システムへの脅威に対する具体的な取組みについて紹介 いたします。 制御システムに関係する皆様のご参加を広くお待ちしております。
【5】SecurityDay 2012 のお知らせ
情報源
SecurityDay 2012
http://securityday.jp/
概要
2012年2月6日(月)に「SecurityDay 2012」を開催いたします。会場は株 式会社インターネットイニシアティブ大会議室です。 2010年までは、大きなテーマを設定しパネルディスカッションという形 式で開催していましたが、今回の「SecurityDay 2012」では各講演者が 直近のインターネットで起きた問題をテーマとし、それぞれ議論を行う 形式を予定しています。 ぜひご意見をお持ちの多くの方々にご参加頂き、熱い議論をしたい!と 思います。みなさまのご参加をお待ちしております。
関連文書 (英語)
参加申し込みフォーム
https://www.jnsa.org/seminar/securityday/SD12entry.html
■今週のひとくちメモ
○Firefox/Thunderbird の法人向け延長サポート版について
JPCERT/CC WEEKLY REPORT 2011-11-16 号で紹介した Firefox の法人向 けサポート版の提供が決定しました。Mozilla は、Firefox および Thunderbird の法人向け延長サポート版 (ESR) について、メジャーアッ プデートを年一回行う計画であると発表しました。
参考文献 (日本語)
Mozilla Japan ブログ
Firefox/Thunderbird 延長サポート版の提供が決定しました
http://mozilla.jp/blog/entry/7684/JPCERT/CC WEEKLY REPORT 2011-11-16
【今週のひとくちメモ】Firefox の法人向け延長サポート版について
http://www.jpcert.or.jp/wr/2011/wr114401.html#Memo
参考文献 (英語)
The Mozilla Blog
Delivering a Mozilla Firefox Extended Support Release
http://blog.mozilla.com/blog/2012/01/10/delivering-a-mozilla-firefox-extended-support-release/The Thunderbird Blog
The Plan for the Mozilla Thunderbird Extended Support Release
https://blog.mozilla.com/thunderbird/2012/01/12/the-plan-for-a-mozilla-thunderbird-extended-support-release/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/