<<< JPCERT/CC WEEKLY REPORT 2012-04-04 >>>
■03/25(日)〜03/31(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player に複数の脆弱性
【2】ImageMagick に複数の脆弱性
【3】Opera ブラウザに脆弱性
【4】HP WBEM に複数の脆弱性
【今週のひとくちメモ】Java (JRE/JDK) のバージョンに注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121301.txt
https://www.jpcert.or.jp/wr/2012/wr121301.xml
【1】Adobe Flash Player に複数の脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/archive/2012/03/28/archive.html#adobe_releases_security_advisory_for13
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux および Solaris 版 Adobe Flash Player 11.1.102.63 およびそれ以前 - Android 3.x/2.x 版の Adobe Flash Player 11.1.111.7 およびそれ以前 - Windows、Macintosh、Android 版 Adobe AIR 3.1.0.4880 およびそれ以前 なお、Adobe によると、この問題は Android 4 版の Adobe Flash Player には 影響しないとのことです。 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 してください。
関連文書 (日本語)
Adobe サポート
APSB12-07: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/933/cpsid_93381.htmlJPCERT/CC Alert 2012-03-29
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120011.html
【2】ImageMagick に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#647635
ImageMagick に複数の脆弱性
https://jvn.jp/cert/JVNVU647635/index.html
概要
ImageMagick には、複数の脆弱性があります。結果として、遠隔の第三者が細 工した画像を処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - ImageMagick 6.7.6-3 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに ImageMagick を更新することで解決します。詳細については、ベンダや配 布元が提供する情報を参照してください。
関連文書 (英語)
CERT-FI
CERT-FI Advisory on issues in ImageMagick
http://www.cert.fi/en/reports/2012/vulnerability635606.htmlImageMagick
ImageMagick Vulnerabilities
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=20629
【3】Opera ブラウザに脆弱性
情報源
Opera
Opera 11.62 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1162/
概要
Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し た Web ページを閲覧させることで任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.61 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新 することで解決します。
【4】HP WBEM に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-135
HP WBEM Discloses Diagnostic Data to Remote and Local Users
http://circ.jc3.doe.gov/bulletins/U-135.shtml
概要
HP WBEM には、複数の脆弱性があります。結果として遠隔の第三者が、診断デー タにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - HP-UX 11.11、11.23、11.31 この問題は、HP が提供する更新プログラムを適用することで解決します。 詳 細については、HP が提供する情報を参照してください。
関連文書 (英語)
HP Support
HPSBUX02755 SSRT100667 rev.1 - HP-UX WBEM, Remote Unauthorized Access to Diagnostic Data
http://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03221589
■今週のひとくちメモ
○Java (JRE/JDK) のバージョンに注意
2月15日に Oracle から、Java の 6 update 31 と 7 update 3 が公開されてい ます。これよりも前のバージョンの Java に対する攻撃コードがインターネッ ト上で公開されており、JPCERT/CC でも攻撃活動が行われていることを確認し ています。 自分で Java をインストールしていなくても、購入した PC に初期状態で Java (JRE) がインストールされている場合があります。今一度、利用している PC の Java 環境を確認することをおすすめします。 また、Mac OS X は、Apple が独自に Java を提供しており、4月3日づけで対策 版を提供しています。すみやかに導入することをおすすめします。また必要に 応じて、ブラウザで Java を使用しないように設定することも検討してくださ い。
参考文献 (日本語)
JPCERT/CC Alert 2012-03-23
2012年2月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120010.html
参考文献 (英語)
Apple
About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7
http://support.apple.com/kb/HT5228
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/