<<< JPCERT/CC WEEKLY REPORT 2013-02-14 >>>
■02/03(日)〜02/09(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player に複数の脆弱性
【2】サイボウズ ガルーンに複数の脆弱性
【3】moraダウンローダーにおける実行ファイル読み込みに関する脆弱性
【今週のひとくちメモ】スマートフォン情報セキュリティサイト「I Love スマホ生活」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130601.txt
https://www.jpcert.or.jp/wr/2013/wr130601.xml
【1】Adobe Flash Player に複数の脆弱性
情報源
JC3 Bulletin
V-087: Adobe Flash Player Two Vulnerabilities
http://energy.gov/cio/articles/v-087-adobe-flash-player-two-vulnerabilitiesAdobe
APSB13-05 Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb13-05.html
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。なお、Adobe によると、本脆弱性を使用した攻撃活動が 確認されているとのことです。 また、Adobe は 2013年2月13日、新たに複数の脆弱性に関するアドバイザリを 公開しています。 対象となるバージョンは以下の通りです。 - Windows 版 Flash Player 11.5.502.149 およびそれ以前 - Macintosh 版 Flash Player 11.5.502.149 およびそれ以前 - Linux 版 Flash Player 11.2.202.262 およびそれ以前 - Android 4.x 版 Flash Player 11.1.115.37 およびそれ以前 - Android 3.x/2.x 版 Flash Player 11.1.111.32 およびそれ以前 - Adobe AIR 3.5.0.1060 およびそれ以前 - Adobe AIR 3.5.0.1060 SDK およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供する情報を参照 して下さい。
関連文書 (日本語)
Adobe
Flash Player Help / APSB13-05: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq02121817.htmlAdobe
Flash Player Help / APSB13-04: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq02070051.html警察庁 @Police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=10759独立行政法人情報処理推進機構 (IPA)
Adobe Flash Player の脆弱性対策について(APSB13-04)(CVE-2013-0633等)
http://www.ipa.go.jp/security/ciadr/vul/20130208-adobeflashplayer.htmlマイクロソフト株式会社
マイクロソフト セキュリティ アドバイザリ (2755801): Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801JPCERT/CC Alert 2013-02-08 JPCERT-AT-2013-0008
Adobe Flash Player の脆弱性 (APSB13-04) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130008.html
【2】サイボウズ ガルーンに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#07629635
サイボウズ ガルーンにおける SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN07629635/index.htmlJapan Vulnerability Notes JVN#95863326
サイボウズ ガルーンにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN95863326/index.html
概要
サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第三 者が、ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ ガルーン バージョン 3.5.4 より前のバージョン この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー ンを更新することで解決します。詳細については、サイボウズが提供する情報 を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
システム管理に関するクロスサイトスクリプティングの脆弱性【CY-01-001】
http://cs.cybozu.co.jp/information/20130125up01.phpサイボウズ株式会社
システム管理に関するSQLインジェクションの脆弱性【CY13-01-002】
http://cs.cybozu.co.jp/information/20130125up02.php
【3】moraダウンローダーにおける実行ファイル読み込みに関する脆弱性
情報源
Japan Vulnerability Notes JVN#91387819
moraダウンローダーにおける実行ファイル読み込みに関する脆弱性
https://jvn.jp/jp/JVN91387819/index.html
概要
moraダウンローダーには、実行ファイルを読み込む際のファイル検索パスに問 題があります。結果として、遠隔の第三者が、任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - moraダウンローダー ver.1.0.0.0 この問題は、株式会社レーベルゲートが提供する修正済みのバージョンに moraダウンローダーを更新することで解決します。詳細については、株式会社 レーベルゲートが提供する情報を参照して下さい。
関連文書 (日本語)
株式会社レーベルゲート
moraダウンローダーV1.0.0.1リリースのお知らせ
http://mora.jp/help/information?60
■今週のひとくちメモ
○スマートフォン情報セキュリティサイト「I Love スマホ生活」
IPA は、スマートフォン利用者向けに、セキュリティの基本知識を解説するサ イトを公開しました。スマートフォンを利用する際に知っておくべきセキュリ ティの基本知識をマンガやイラストを通じて説明し、スマートフォンから閲覧 しやすいようにデザインされています。
参考文献 (日本語)
情報処理推進機構
スマートフォン一般利用者向け啓発サイト「I Love スマホ生活」のご案内
http://www.ipa.go.jp/security/keihatsu/smartphone.html情報処理推進機構
IPA 対策のしおり シリーズ(8): スマートフォンのセキュリティ<危険回避>対策のしおり
http://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/