セキュリティホール memo - 2011.06

Last modified: Mon Apr 23 16:47:07 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2011.06.30


2011.06.29

Google Chrome Stable Channel Update
(Google, 2011.06.28)

 Flash の更新 + 7 件のセキュリティ修正 (内 6 件が High)。

追記

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2011

 今回の更新に対応する Mac OS X 用 Java がリリースされました。

Fixed in Apache Tomcat 7.0.17 (not yet released)
(apache.org, 2011.06.27)

 Apache Tomcat 7.0.0〜7.0.16 に欠陥。MemoryUserDatabase を使用し、かつ JMX からユーザを作成した場合、ユーザ作成中に例外が発生すると、パスワードを含むエラーメッセージが生起され、ログファイルに書き込まれてしまう。 CVE-2011-2204。 iida さん情報ありがとうございます。

 Revision 1140070 で修正されている。 Tomcat 7.0.17 で修正される (まだリリースされていない)。

2011.07.29 追記:

 CVE-2011-2204 の件、Tomcat 7.0.19 で修正された。Tomcat 7.0.17 / 7.0.18 はリリースされていない。

Thunderbird 5.0 リリースノート
(mozilla.jp, 2010.06.28)

 Firefox に続いて Thunderbird も 5.0 になりました。リリースノートには

パフォーマンス、安定性、セキュリティを改善するプラットフォームの修正も 390 件以上含まれています。

と、セキュリティ修正を思わせる記述があるのですが、Mozilla 製品における既知の脆弱性 (mozilla-japan.org) には Thunderbird 5.0 の項はないので、セキュリティ修正はないのかもしれません。


2011.06.28

いろいろ (2011.06.28)
(various)

Opera 11.50 登場
(Opera.com, 2011.06.28)

 Opera 11.50 公開されてます。

 セキュリティ修正が含まれています。

2011.07.06 追記:

 JVN#47757122: Opera におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2011.07.05)。CVE-2011-1337

サポート ライフサイクル終了に伴うセキュリティ更新プログラム配信終了の予告
(日本のセキュリティチーム, 2011.06.27)

 2011.07.13 付で以下が終了。

Windows Vista Service Pack 1 (SP1) (32 ビット版/64 ビット版)
Windows Server 2008 製品出荷版 (32 ビット版/64 ビット版)
Microsoft Office XP (Excel, Word, Outlook, PowerPoint, Access, Visio, FrontPage, Publisher)
.NET Framework 3.0, 3.0 SP1, 3.0 SP2, 3.5
Exchange Server 2007 Service Pack 2

 こうしませう。

製品 対応
Windows Vista SP1 以前 Service Pack 2 を適用
Windows Server 2008 Service Pack 2 を適用
Office XP Office 2007 / 2010 にアップグレード
.NET Framework 3.0 / 3.0 SP1 / 3.0 SP2 / 3.5 .NET Framework 3.5 Service Pack 1 を適用 (Windows 7 は最初から 3.5 SP1)
Exchange Server 2007 SP2 Service Pack 3 を適用

Fixed an unexpected termination of Foxit Reader when opening some affected PDF files.
(Foxit Software, 2011.05.26)

 Foxit Reader 4.3.1.0218 以前に欠陥があり、攻略 PDF を読み込むと異常終了する。Foxit Reader 5.0 で修正されている。

[SA45080] Winamp Multiple Vulnerabilities
(secunia, 2011.06.28)

 Winamp 5.61 (最新版) 以前に、任意のコードの実行を招く複数の欠陥。patch はまだない。


2011.06.27

追記

Microsoft 2011 年 6 月のセキュリティ情報

 MS11-050 関連に 0-day exploit used in a targeted attack - CVE-2011-1255 (m86security.com, 2011.06.26) を追加。


2011.06.24

About the security content of Mac OS X v10.6.8 and Security Update 2011-004
(Apple, 2011.06.23)

 Mac OS X 10.6.8 および、10.5.8 用のセキュリティ更新 2011-004 登場。 39 件の欠陥が修正されている。

Sophos Endpoints are discovered to have the on-access scanner disabled, following the release of 'agen-rwl.ide' on 2 June 2011
(Sophos, 2011.06.22)

 2011.06.02 以降、Sophos Endpoint Security and Control においてオンアクセススキャンが停止してしまっている場合があるそうで。 複数の条件が合致する場合にのみ発生するそうです。対応方法も記載されてます。


2011.06.23

追記

いろいろ (2011.06.22)

 PHP 5.3.7 は現在 RC1 なので、記述を調整した。


2011.06.22

いろいろ (2011.06.22)
(various)

2011.06.23 追記:

 PHP 5.3.7 は現在 RC1 なので、記述を調整した。

IPA テクニカルウォッチ  『スマートフォンへの脅威と対策』に関するレポート 〜IPA自らの検査に基づくアンドロイド端末における脆弱(ぜいじゃく)性対策の実情と課題の考察〜
(IPA, 2011.06.22)

 IPA による Android 端末実態調査。

 検査時期は今年3月で、対象機種は、3月の時点で市販されていたアンドロイド端末14機種です。検査は、「ドロイド・ドリーム」というウイルスを構成するプログラムの一部を用いて実施しました。この「ドロイド・ドリーム」は、2010年8月に発覚した脆弱性などを悪用するもので、検査では、このウイルスが悪用の対象とする2件の脆弱性への対応状況を確認しました。
 3月の検査時点で、アンドロイドOS自体は対策済みとなっていましたが、検査の結果、3月の実験では、これらの脆弱性に対策できていない機種が、14機種中11機種(約79%)に上りました。間隔をおき、6月に各機種の対策状況をアンドロイド端末販売元に確認したところ、対策できていない機種は、2機種残っています(詳細:別紙1参照) 。

 「別紙1」より引用。「2010年8月に発覚した脆弱性など」は、CVE-2009-1185 と、 通称 CVE-2010-EASY。 オフィシャルな patch は Android Security Discussions: CVE-2009-1185 and CVE-2010-EASY patches (Google groups) みたい。 最新の状況は http://www.ipa.go.jp/security/vuln/android_vuln/ に示されるようです。

機種(名称) 調査時
バージョン
IPA 検査結果
(2011年3月)
対策状況
(2011年6月)
備考
001HT 2.2 一部対策済み 対策済み 2011年5月に対策済みとのこと。最新バージョン:2.3
003SH 2.2.1 一部対策済み 対策済み 2011年2月に対策済みとのこと。
003Z 2.2 一部対策済み 一部対策済み 今後対策予定とのこと。
IS01 1.6 未対策 対策済み 2011年3月に対策済みとのこと。
IS03 2.1 対策済み 対策済み 2011年1月に対策済みとのこと。最新バージョン:2.2.1
IS05 2.2 対策済み 対策済み 発売時より対策済みとのこと。
IS06(SERIUS α) 2.2.1 対策済み 対策済み 2011年2月に対策済みとのこと。
ISW11HT(HTC EVO WiMAX) 2.2 一部対策済み 一部対策済み 今後対策予定とのこと。
SC-01C(GALAXY Tab) 2.2 未対策 対策済み 2011年6月に対策済みとのこと。
SC-02B(GALAXY S) 2.2.1 未対策 対策済み 2011年6月に対策済みとのこと。
SH-03C(LYNX 3D) 2.2.1 一部対策済み 対策済み 2011年1月に対策済みとのこと。
SMT-i9100 2.2 一部対策済み 対策済み 2011年6月に対策済みとのこと。最新バージョン:2.2.2
SO-01B(Xperia) 2.1.1 未対策 対策済み 2011年1月に対策済みとのこと
T-01C(REGZA Phone) 2.1.1 一部対策済み 対策済み 2011年5月に対策済みとのこと。

 なかなか困った状況です。こういうのを見ると、「なんだかんだ言っても iOS の方がいいのかな」とか思っちゃうなあ。

 このように、脆弱性が発覚してから10か月以上経過しても、脆弱性対策できないアンドロイド端末があるように、アンドロイド端末はパソコンと比べて(*4)。脆弱性対策に時間を要します。アンドロイド OS自体に脆弱性のセキュリティパッチ(*5)が提供された場合も、アンドロイド端末のメーカーは機種それぞれにおいて、アンドロイド OSに独自の仕様を加えて搭載しているため、それぞれの機種に対応させるまで時間がかかる傾向にあると言えます。

 こういう状況では、アンチウイルスソフトに頼るしかないのかな……。

追記

APSB11-18: Security update available for Adobe Flash Player

 Exploits for CVE-2011-2110 focus on Korea (Microsoft Malware Protection Center, 2011.06.21)。韓国で流行ってるみたい。

Firefox 5 / 3.6.18、Thunderbird 3.1.11 登場
(mozilla.jp, 2011.06.22)

 Firefox 5 / 3.6.18、Thunderbird 3.1.11 出ています。計 10 件のセキュリティ欠陥が修正されています。Firefox 4.0.2 はリリースされません。Firefox 4.0.1 利用者は Firefox 5 に移行するしかありません。

 Firefox 5 では、Android 版でも Do Not Track ヘッダに対応しています。


2011.06.21

Microsoft 2011 年 6 月のセキュリティ情報
(Microsoft, 2011.06.15)

 予定どおり 16 件。

MS11-037 - 重要: MHTML の脆弱性により、情報漏えいが起こる (2544893)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。MHTML プロトコルハンドラに欠陥があり、攻略 URL を開くと情報漏洩が発生。 CVE-2011-1894。Exploitability Index: 3

 2011.11.09 付で、Windows XP / Server 2003 向けの更新プログラムが再リリースされている。

MS11-038 - 緊急: OLE オートメーションの脆弱性により、リモートでコードが実行される (2476490)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。OLE オートメーションが WMF ファイルを解析する方法に欠陥があり、攻略 Web ページによって任意のコードが実行される。 CVE-2011-0658。Exploitability Index: 1

MS11-039 - 緊急: .NET Framework および Microsoft Silverlight の脆弱性により、リモートでコードが実行される (2514842)

 .NET Framework 2.0 / 3.5 / 3.5.1 / 4.0、Silverlight 4 に欠陥。 「XAML ブラウザー アプリケーション (XBAP) または Silverlight アプリケーションを実行できる Web ブラウザ」(例: IE) で攻略 Web ページを開くと任意のコードが実行される。また、攻略 ASP.NET ページを設置できると、サーバ側で任意のコードを実行できる。 CVE-2011-0664。Exploitability Index: 1

MS11-040 - 緊急: Threat Management Gateway ファイアウォール クライアントの脆弱性により、リモートでコードが実行される (2520426)

 Forefront Threat Management Gateway 2010 クライアントに欠陥。Winsock プロバイダーに欠陥があり、「TMG ファイアウォール クライアントを介して作成された特定のリクエスト」によって任意のコードが実行される。 CVE-2011-1889。Exploitability Index: 1

MS11-041 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2525694)

 64bit 版の Windows XP / Server 2003 / Vista / Server 2008 / 7、および Server 2008 R2 に欠陥。カーネルモードドライバーにおける OpenType フォントの処理に欠陥があり、攻略フォントを含むネットワーク共有や Web サイトへのアクセスによって、カーネルモードで任意のコードが実行される。 CVE-2011-1873。Exploitability Index: 2

MS11-042 - 緊急: 分散ファイル システムの脆弱性により、リモートでコードが実行される (2535512)

 Microsoft 分散ファイル システム (DFS) に 2 件の欠陥がある。

  • DFS のメモリ破損の脆弱性 - CVE-2011-1868

    Windows XP / Server 2003 に欠陥。攻略 DFS 応答によって任意のコードが実行される。Exploitability Index: 1

  • DFS の照会応答の脆弱性 - CVE-2011-1869

    Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 攻略 DFS 照会応答によって DoS 攻撃を実施できる。Exploitability Index: 3

    ただし Windows 7 SP1 / Server 2008 R2 SP1 にはこの欠陥はない。

MS11-043 - 緊急: SMB クライアントの脆弱性により、リモートでコードが実行される (2536276)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。攻略 SMB 応答によって任意のコードを実行できる。CVE-2011-1268。Exploitability Index: 1

 patch を適用すると、KB2536276を適用したWindowsから平文パスワードを使用するよう構成されたSambaサーバにアクセスできない (だめだめ日記, 2011.06.19) という状況が発生するそうです。まぁ、平文パスワードがそもそもアレなわけですが。

MS11-044 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2538814)

 .NET Framework 2.0 / 3.5 / 3.5.1 / 4.0 に欠陥。XAML ブラウザー アプリケーション (XBAP) を処理できる Web ブラウザ (例: IE) で攻略 Web ページを閲覧すると、任意のコードが実行される。 CVE-2011-1271。Exploitability Index: 2

 関連: MS11-044: JIT compiler issue in .NET Framework (Microsoft Security Research & Defense, 2011.06.14)

MS11-045 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2537146)

 Excel 2002 / 2003 / 2007 / 2010、Office 2004 / 2008 for Mac、 Office for Mac 2011、Open XML File Format Converter for Mac、Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックに 8 つの欠陥。

  • Excel の不十分なレコードの検証の脆弱性 - CVE-2011-1272

    Exploitability Index: 1

  • Excel の不適切なレコードの解析の脆弱性 - CVE-2011-1273

    Exploitability Index: 1

  • Excel の境界外の配列のアクセスの脆弱性 - CVE-2011-1274

    Exploitability Index: 2

  • Excel のメモリのヒープの上書きの脆弱性 - CVE-2011-1275

    Exploitability Index: 2

  • Excel のバッファー オーバーランの脆弱性- CVE-2011-1276

    Exploitability Index: 1

  • Excel のメモリ破損の脆弱性- CVE-2011-1277

    Exploitability Index: 3

  • Excel の WriteAV の脆弱性- CVE-2011-1278

    Exploitability Index: 1

  • Excel の境界外の WriteAV の脆弱性- CVE-2011-1279

    Exploitability Index: 3

MS11-046 - 重要: Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (2503665)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Microsoft Windows Ancillary Function ドライバー (AFD) afd.sys に欠陥があり、 local user による権限上昇が可能。CVE-2011-1249。Exploitability Index: 1

MS11-047 - 重要: Hyper-V の脆弱性により、サービス拒否が起こる (2525835)

 Windows Server 2008 / Server 2008 R2 の Hyper-V ロールに欠陥。「マシン命令の特定のシーケンス」によって DoS 状態となる。CVE-2011-1872。Exploitability Index: 3

MS11-048 - 重要: SMB サーバーの脆弱性により、サービス拒否が起こる (2536275)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 攻略 SMB パケットによって DoS 状態となる。CVE-2011-1267。Exploitability Index: 3

MS11-049 - 重要: Microsoft XML エディターの脆弱性により、情報漏えいが起こる (2543893)

 Microsoft InfoPath 2007 / 2010、SQL Server 2005 / 2008 / 2008 R2、Visual Studio 2005 / 2008 / 2010 に欠陥。Microsoft XML エディターに欠陥があり、攻略 Web Service Discovery (.disco) ファイルを開くと情報漏洩が発生。 CVE-2011-1280。Exploitability Index: 3

MS11-050 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2530548)

 IE 6 / 7 / 8 / 9 に 6 つの欠陥。

 関連:

MS11-051 - 重要: Active Directory 証明書サービスの Web 登録の脆弱性により、特権が昇格される (2518295)

 Windows Server 2003 / Server 2008 / Server 2008 R2 に欠陥。 Active Directory 証明書サービスの Web 登録サイトに XSS 欠陥がある。 CVE-2011-1264。Exploitability Index: 1

 ただしこの欠陥は、Itanium 版の Windows Server では発生しない。

MS11-052 - 緊急: Vector Markup Language の脆弱性により、リモートでコードが実行される (2544521)

 IE 6 / 7 / 8 に欠陥。Vector Markup Language (VML) の実装 vgx.dll に欠陥があり、 攻略 Web ページによって任意のコードが実行される。CVE-2011-1266。Exploitability Index: 1

2011.06.27 追記:

 MS11-050 関連に 0-day exploit used in a targeted attack - CVE-2011-1255 (m86security.com, 2011.06.26) を追加。

2011.11.09 追記:

 2011.11.09 付で、MS11-037 - 重要: MHTML の脆弱性により、情報漏えいが起こる (2544893) の、Windows XP / Server 2003 向けの更新プログラムが再リリースされている。 以前のバージョンをインストール済の場合も、新しい更新プログラムをインストールする必要がある。


2011.06.20


2011.06.19


2011.06.18


2011.06.17

APSB11-15: Security update available for LiveCycle Data Services, LiveCycle ES, and BlazeDS
(Adobe, 2011.06.14)

 LiveCycle Data Services 3.1 / 2.6.1 / 2.5.1 以前, LiveCycle ES 9.0.0.2 / 8.2.1.3 / 8.0.1.3 以前、BlazeDS 4.0.1 以前に 2 つの欠陥。 制限のないクラスが作成されてしまう欠陥 CVE-2011-2092 と、DoS 攻撃を招く欠陥 CVE-2011-2093

 修正モジュールが用意されているので適用すればよい。関連:

APSB11-14: Security update: Hotfix available for ColdFusion
(Adobe, 2011.06.14)

 ColdFusion 8.0 / 8.0.1 / 9.0 / 9.0.1 for Windows / Mac / Unix に 2 件の欠陥。 CSRF 欠陥 CVE-2011-0629 と、remote から DoS 攻撃を受ける欠陥 CVE-2011-2091

 修正モジュールが用意されているので適用すればよい。関連:

APSB11-18: Security update available for Adobe Flash Player
(Adobe, 2011.06.14)

 Flash Player 10.3.181.26 for Windows / Mac / Linux / Solaris / Google Chrome (12.0.742.100 に同梱)、Flash Player 10.3.185.24 for Android 登場。 メモリ破壊し制御を取られる欠陥 CVE-2011-2110 が修正されている。この欠陥を悪用するマルウェアが既に存在する模様。 この欠陥は Adobe Reader / Acrobat の Authplay.dll には影響しない。

 関連:

2011.06.22 追記:

 Exploits for CVE-2011-2110 focus on Korea (Microsoft Malware Protection Center, 2011.06.21)。韓国で流行ってるみたい。

2011.07.05 追記:

 A Technical Analysis on the Exploit for CVE-2011-2110 Adobe Flash Player Vulnerability (Microsoft Malware Protection Center, 2011.07.01)

追記

3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響

 WebGL グラフィックスのメモリ漏えい問題 (Mozilla Japan ブログ, 2011.06.17)。Firefox 5 (2011.06.21 公開予定) で修正されるそうです。

 また MSRC が、WebGL は有害だと表明しました。


2011.06.16

APSB11-17: Security update available for Adobe Shockwave Player
(Adobe, 2011.06.14)

 Shockwave Player 11.6.0.626 for Windows / Mac 登場。

 修正されたもの: CVE-2011-0317 CVE-2011-0318 CVE-2011-0319 CVE-2011-0320 CVE-2011-0335 CVE-2011-2108 CVE-2011-2109 CVE-2011-2111 CVE-2011-2112 CVE-2011-2113 CVE-2011-2114 CVE-2011-2115 CVE-2011-2116 CVE-2011-2117 CVE-2011-2118 CVE-2011-2119 CVE-2011-2120 CVE-2011-2121 CVE-2011-2122 CVE-2011-2123 CVE-2011-2124 CVE-2011-2125 CVE-2011-2126 CVE-2011-2127 CVE-2011-2128。 多くは任意のコードの実行を招く。現時点で悪用されているものはない模様。

追記

APSB11-13: Security update available for Adobe Flash Player

 APSB11-13 が改訂された。 Adobe Reader / Acrobat 10.1 / 9.4.5 for Windows / Mac で修正された。

APSB11-12: Security update available for Adobe Flash Player

 APSB11-12 が改訂された。 AIR 2.7.0.1948 で修正されている。

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

  APSB11-16: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.06.14)。Adobe Reader X 10.1 for Windows 出ました。

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

  APSB11-16: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.06.14)。Adobe Reader X 10.1 for Windows 出ました。

APSB11-16: Security updates available for Adobe Reader and Acrobat
(Adobe, 2011.06.14)

 Adobe Reader / Acrobat 新版登場。

 修正されたもの: CVE-2011-2094 CVE-2011-2095 CVE-2011-2096 CVE-2011-2097 CVE-2011-2098 CVE-2011-2099 CVE-2011-2100 CVE-2011-2101 CVE-2011-2102 CVE-2011-2103 CVE-2011-2104 CVE-2011-2105 CVE-2011-2106。 多くは任意のコードの実行を招く。現時点で悪用されているものはない模様。

 関連:

EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点
(ockeghem(徳丸浩)の日記, 2011.06.15)

 EZ 番号を認証に使うのはやめましょう。

[JS11001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2011.06.16)

 一太郎 2005 〜 2011 など一太郎シリーズに欠陥。攻略文書ファイルを開くと任意のコードが実行される。CVE-2011-1331

 サポート対象である、2009 シリーズ (一太郎 2009、一太郎ガバメント2009、ジャストスクール2009) 以降と一太郎ビューアについては、今日の時点で修正プログラムが用意されている。一太郎 2008 以前については、2011.06.27 に修正プログラムが公開される予定。関連:

Python 3.1系と2.7系のマイナーアップデート版となるPython 3.1.4およびPython 2.7.2リリース
(sourceforge.jp, 2011.06.14)

 セキュリティ修正を含むそうです。


2011.06.15

本日のまつり
(various, 2011.06.15)

 本日のまつり。


2011.06.14

追記

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2011

 関連:


2011.06.13

いろいろ (2011.06.13)
(various)

Twitterのサードパーティアプリはどれでもユーザのプライベートメッセージに無許可でアクセスできる
(techcrunch, 2011.06.11)

 ぜんぜんプライベートじゃないという……。当該テストアプリを今試してみると、「Access your direct messages until June 30th, 2011」が可能で、「Access your direct messages after June 30th, 2011」はできない、と明記されますね。 記事が書かれた時点では、このようには表記されなかった模様。

 とりあえず、7 月になるまで twitter アプリは使わない方がいいんじゃないかなあ。 どのくらい使われているものなのか、よくわからないんだけど。

Movable Type 5.11 and 5.051, 4.361 Security Updates
(movabletype.org, 2011.06.08)

 Movable Type 4.x / 5.x に複数の欠陥があり、5.11 / 5.051 / 4.361 で修正されているそうで。

 この修正にあわせてなのかどうなのかよくわからないが、以下も行われている。

追記

Renegotiating TLS

 Title: Renego: Popular, unpatched and vulnerable, an update (Opera, 2011.06.09)。サーバ側の対応が進んでいないようです。

マイクロソフト セキュリティ情報の事前通知 - 2011 年 6 月
(Microsoft, 2011.06.10)

 16 件。緊急 x 9、重要 x 7。IE あり (IE 9 も該当)、Office あり (Excel 2002〜2010、Office for Mac 2004〜2011)、SQL Server あり (2005 / 2008 / 2008 R2)、Visual Studio あり (2005〜2010)。

 今月も急がしくなりそうです。

 関連: 2011 年 6 月 15 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2011.06.10)


2011.06.10

APSB11-16 : Adobe Reader および Acrobat に関するセキュリティ情報の事前通知
(Adobe, 2011.06.09)

 2011.06.14 (US 時間) に Adobe Reader / Acrobat 新版登場予告。 critical な欠陥が修正される。


2011.06.09

Chrome Stable Release
(Google, 2011.06.07)

 Google Chrome 12 の安定版、12.0.742.91 登場。新機能 + 14 種類のセキュリティ欠陥の修正。

JVNVU#126159: Autonomy KeyView IDOL に複数の脆弱性
(JVN, 2011.06.08)

 さまざまな製品に同梱されているそうで。Keyview IDOL 10.13.1 で修正されているので、そのうち OEM 先から修正情報が出てくるんですかね。

2012.04.18 追記:

 Data Loss Prevention Endpoint 及び Device Control 9.1 / 9.2 で発見された Autonomy KeyView IDOL の脆弱性について (マカフィー, 2012.04.17)。Data Loss Prevention Endpoint / Device Control においては 9.1 Patch2 / 9.2 Patch1 で修正されている。

SYM11-007: セキュリティ アドバイザリー - Multi-Vendor Autonomy Verity KeyView PRZ Reader Filter にオーバーフローの脆弱性
(シマンテック, 2011.05.31)

 Symantec Mail Security / Brightmail / Messaging Gateway / Data Loss Prevention に同梱されている Autonomy Verity KeyView PRZ Reader Filter に buffer overflow する欠陥があり、DoS 攻撃や任意のコードの実行が可能 (製品によって悪用のされ方は異なる)。CVE-2011-0548

 対応方法が用意されているので、それぞれの対応方法に従えばよい。


2011.06.08

追記

APSB11-13: Security update available for Adobe Flash Player

 Flash Player 10.3.185.23 (Android 版) が Android マーケットプレイスで公開されたそうです。

 日本語版アドバイザリ: APSB11-13: Flash Player 用セキュリティアップデート公開 (Adobe, 2011.06.07 更新)

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2011

 JDK and JRE 6 Update 26 出ました: 全オペレーティングシステムの Java のダウンロード一覧 (Java.com)


2011.06.07

いろいろ (2011.06.07)
(various)

OneiricのAlpha1・Wubiのマイグレーション機能・セキュリティアップデートによるcronの停止・bindの脆弱性
(Ubuntu Weekly Topics, 2011.06.03)

 こんな話があるそうで:

PAMのセキュリティアップデート(usn-1140-1)に含まれたバグにより,システムの自動アップデート機能が停止している可能性があります。自動的にソフトウェアアップデートを適用する設定を行っていた場合,現在も自動アップデートが機能しているか確認してください。
自動アップデートを適用しているシステムにおいては,影響を受けているか確認するため,「egrep 'CRON.*Module is unknown' /var/log/syslog」を実行してください。CRON.*Module is unknownのような行が出力された場合,usn-1140-1に含まれたバグの問題でcronが正常に機能しなくなっている可能性があります。「sudo service cron restart」を実行してcronを再起動することでこの問題を解決できます。

追記

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2011

 バージョン誤記修正 orz。Ilion さん、nsh1960 さん感謝。


2011.06.06

World IPv6 Day
(YAHOO! Japan)

 お試しページがあるので、各自で試してみよう。

 関連: Resolving Internet connectivity issues on World IPv6 Day (June 8, 2011) (Microsoft)

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2011
(Oracle, 2011.06.02)

 2011.06.07 (US 時間) に JDK and JRE 6 Update 25 / JDK and JRE 5.0 Update 29 / SDK and JRE 1.4.2_31 JDK and JRE 6 Update 26 / JDK and JRE 5.0 Update 30 / SDK and JRE 1.4.2_32 が登場すると思われ。 17 種類のセキュリティ欠陥が修正されているそうな。

2011.06.07 追記:

 バージョン誤記修正 orz。Ilion さん、nsh1960 さん感謝。

2011.06.08 追記:

 JDK and JRE 6 Update 26 出ました: 全オペレーティングシステムの Java のダウンロード一覧 (Java.com)

2011.06.14 追記:

 関連:

2011.06.29 追記:

 今回の更新に対応する Mac OS X 用 Java がリリースされました。

Google Chrome Stable Channel Update
(Google, 2011.06.05)

 Google Chrome 11.0.696.77 登場。APSB11-13: Security update available for Adobe Flash Player に対応する Flash Player の更新のみ。

APSB11-13: Security update available for Adobe Flash Player
(Adobe, 2011.06.05)

 Flash Player 10.3.181.22 (Windows / Mac / Linux / Solars版、Google Chrome 同梱版)、10.3.181.23 (Windows ActiveX 版) 登場。 XSS 欠陥 CVE-2011-2107 が修正されている。Adobe によると、この欠陥は既に攻撃に利用されているそうだ。

 Android 版 Flash Player にも欠陥があるが、修正版はまだ出ていない。今週中に公開される予定。Flash Player の現時点での最新は 10.3.185.22 で、これには欠陥があるので注意。ややこしい。

 Adobe Reader に含まれる Authplay.dll については現在調査中。Adobe によると、Authplay.dll に対する攻撃は確認されていない。

2011.06.08 追記:

 Flash Player 10.3.185.23 (Android 版) が Android マーケットプレイスで公開されたそうです。

 日本語版アドバイザリ: APSB11-13: Flash Player 用セキュリティアップデート公開 (Adobe, 2011.06.07 更新)

2011.06.16 追記:

 APSB11-13 が改訂された。 Adobe Reader / Acrobat 10.1 / 9.4.5 for Windows / Mac で修正された。


2011.06.05


2011.06.03

いろいろ (2011.06.03)
(various)


2011.06.02

追記

重要:World IPv6 Day に関する重要なお知らせ

 IPv6 Prefix Policy Table Configuratorの提供開始について (IPv4アドレス枯渇対応タスクフォース, 2011.05.30)、 World IPv6 Dayへの対応について(第2版) (IPv4アドレス枯渇対応タスクフォース, 2011.05.30)。


2011.06.01

重要:World IPv6 Day に関する重要なお知らせ
(Microsoft)

 IE 7 / 8 + フレッツ光 + (直接接続、または IPv6 対応ホームルーター) の場合にアレになるので注意、という話。IE 9 の人は問題ないらしい。 対応方法も記載されている。Windows XP の人には「IPv6 を使わない」という方法しかないみたいだけど。

2011.06.02 追記:

 IPv6 Prefix Policy Table Configuratorの提供開始について (IPv4アドレス枯渇対応タスクフォース, 2011.05.30)、 World IPv6 Dayへの対応について(第2版) (IPv4アドレス枯渇対応タスクフォース, 2011.05.30)。

About Security Update 2011-003
(Apple, 2011.05.31)

 Mac Defender 対応のための、Mac OS X 10.6 用のセキュリティアップデート。 Mac OS X 10.5 用はないみたい。

 アップデートを適用すると、システム環境設定の [セキュリティ] に「安全なダウンロードリストを自動的にアップデート」という項目が現れます (デフォルトでチェックが入ってます)。Mac OS X Snow Leopard and malware detection (Apple KB HT4651) も参照。

 適用前には、この場所には妙な空白が広がっているので、もともと存在したけど有効化されていなかったということなのかな。

 関連: Apple releases update to protect against MacDefender (Sophos, 2011.05.31)。やってみました話。 まぁ、まっとうなアンチウイルスソフトにかなわないのは当然なわけで。


[セキュリティホール memo]
[私について]