<<< JPCERT/CC WEEKLY REPORT 2012-05-16 >>>
■05/06(日)〜05/12(土) のセキュリティ関連情報
目 次
【1】Microsoft 製品に複数の脆弱性
【2】Apple iOS に複数の脆弱性
【3】Apple Mac OS X に複数の脆弱性
【4】Apple Safari に複数の脆弱性
【5】OpenSSL に脆弱性
【6】Opera ブラウザに脆弱性
【今週のひとくちメモ】Java 7 への対応
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121801.txt
https://www.jpcert.or.jp/wr/2012/wr121801.xml
【1】Microsoft 製品に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA12-129A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-129A.html
概要
Microsoft の複数の製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、権限昇格を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft .NET Framework - Microsoft Office - Microsoft Silverlight この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
2012 年 5 月のセキュリティ情報
https://technet.microsoft.com/ja-jp/security/bulletin/ms12-may@police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-029,030,031,032,033,034,035)
http://www.npa.go.jp/cyberpolice/topics/?seq=9351Japan Vulnerability Notes JVNTA12-129A
Microsoft 製品における複数の脆弱性に対するアップデート(緊急)
https://jvn.jp/cert/JVNTA12-129A/index.htmlJPCERT/CC Alert 2012-05-09 JPCERT-AT-2012-0015
2012年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120015.html
【2】Apple iOS に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#341483
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU341483/index.html
概要
Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - iOS 5.1.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iOS を更新することで 解決します。
関連文書 (英語)
Apple Support HT5278
About the security content of iOS 5.1.1 Software Update
http://support.apple.com/kb/HT5278
【3】Apple Mac OS X に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#692779
Apple Mac OS X における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU692779/index.html
概要
Apple Mac OS X には、複数の脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Mac OS X v10.6.8 - Mac OS X Server v10.6.8 - OS X Lion v10.7.3 およびそれ以前 - OS X Lion Server v10.7.3 およびそれ以前 この問題は、Apple が提供する修正済みのバージョンに Mac OS X を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple Support HT5281
About the security content of OS X Lion v10.7.4 and Security Update 2012-002
http://support.apple.com/kb/HT5281
【4】Apple Safari に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#241779
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU241779/index.html
概要
Apple Safari には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下の通りです。 - Safari 5.1.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple Support HT5282
About the security content of Safari 5.1.7
http://support.apple.com/kb/HT5282
【5】OpenSSL に脆弱性
情報源
JC3-CIRC Technical Bulletin U-167
OpenSSL Invalid TLS/DTLS Record Processing Lets Remote Users Deny Service
http://circ.jc3.doe.gov/bulletins/U-167.shtml
概要
OpenSSL には脆弱性があります。結果として、遠隔の第三者がサービス運用妨 害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8x、1.0.0j、1.0.1c 以前のバージョン この問題は、OpenSSL が提供する修正済みのバージョンに OpenSSL を更新する ことで解決します。詳細については、OpenSSL が提供する情報を参照して下さ い。
関連文書 (英語)
OpenSSL Security Advisory
Invalid TLS/DTLS record attack (CVE-2012-2333)
http://www.openssl.org/news/secadv_20120510.txt
【6】Opera ブラウザに脆弱性
情報源
Opera Software
Advisory: Certain URL constructs can allow arbitrary code execution - Opera Knowledge Base
http://www.opera.com/support/kb/view/1016/
概要
Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し た URL にアクセスさせることで、任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.64 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新 することで解決します。
関連文書 (英語)
Opera Desktop Team
Opera 11.64 released
http://my.opera.com/desktopteam/blog/2012/05/10/opera-11-64-releasedOpera Software
Opera 11.64 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1164/
■今週のひとくちメモ
○Java 7 への対応
2012年5月、Oracle は JRE の推奨バージョンを Java 7 に変更しました。なお、 Java 6 は 2012年11月 で EOL となることがアナウンスされています。これ以 降、Java 6 の脆弱性に対する修正は提供されない可能性があります。 業務アプリケーションの動作に JRE を使用している場合、JRE の最新バージョ ンに対応し、ユーザの環境に脆弱なバージョンの JRE の導入を強要することの ないようにしてください。 過去には、脆弱なバージョンの JRE をユーザに導入させるシステムの存在が、 大きな話題になったこともあります。 Java 7 での動作検証をすみやかに行い、ユーザに Java 7 への移行を行うよう 周知することをお勧めします。
参考文献 (日本語)
内閣官房情報セキュリティセンター
JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果について
http://www.nisc.go.jp/press/pdf/jre_chosa.pdfJPCERT/CC WEEKLY REPORT 2012-05-09号
【今週のひとくちメモ】Java SE 7u4/6u32 のリリースと EOL
https://www.jpcert.or.jp/wr/2012/wr121701.html#Memo
参考文献 (英語)
Oracle
Moving to Java 7 as default
https://blogs.oracle.com/henrik/entry/moving_to_java_7_as
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/