space

2010年11月08日

マイクロソフト11月の定例更新

 マイクロソフトは5日、11月10日に公開を予定している月次のセキュリティ更新プログラムの事前通知を発表した。
 今回修正される脆弱性はMicrosoft Officeについてが2件、Microsoft Forefront Unified Access Gatewayについてが1件で、深刻度が最も高い「緊急」が1件、ついで深刻度高い「重要」が2件となっている。影響を受けるのは、Microsoft Office 側が Microsoft Office XP(SP3)、2003(SP3)、2007(SP2)、2010(32/64ビット版)、Mac版(2011)、PowerPoint 2002(SP3)、PowerPoint 2003(SP3)、PowerPoint Viewer(SP2)が、Microsoft Forefront Unified Access Gateway の脆弱性はForefront Unified Access Gateway 2010、2010 Update 1、2010 Update 2 となる。


2010年11月10日のセキュリティリリース予定 (月例)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-nov.mspx

2010年11月01日

Adobe Reader/Acrobat と FlashPlayer に脆弱性

 Adobe Systemsは28日、Adobe Reader/AcrobatとFlash Playerに新たに脆弱性が見つかったとして、セキュリティアドバイザリを公開した。脆弱性の危険度は最も高い"Critical"で、既にこの脆弱性を狙った攻撃が発生しているという。
 Flash Playerでは、Windows/Macintosh/Linux/Solaris版のバージョン10.1.85.3以前と、Android版の10.1.95.2以前のバージョンが影響を受ける。Adobe Readerでは、Windows/Macintosh/UNIX版の最新バージョンである9.4まで。Acrobatでは、Windows/Macintosh版の最新バージョンである9.4まで影響を受けるとしている。バージョン8.xや、Android版では影響は受けない。

Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-05.html
hackersafe at 09:17|この記事のURL脆弱性情報 

2010年10月13日

Windows / Oracle 定期更新

 10月12日、米OracleはデータベースやJavaに対する四半期の定期更新を、米MicrosoftはWindowsに対する10月の定期更新をそれぞれリリースした。
 Oracleは、Javaについて合計29件の脆弱性を、Oracle製品およびJava以外の旧Sun製品の更新で合計85件の脆弱性を解決した。
 Microsoftは過去最多となる16件の更新を公開した。Windows、Internet Explorer(IE)、Office、.NET Frameworkに存在する合計49件の脆弱性を解決している。

Oracle / Oracle Critical Patch Update Advisory - October 2010
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

Microsoft / 2010 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-oct.mspx

2010年10月05日

攻撃用ツールによるサイト改ざん

社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1日、攻撃用ツールキットを使用してWebサイトを閲覧したユーザーのPCをマルウエアに感染させる攻撃を複数確認したとして報告した。
 これらの攻撃では、攻撃者はSQLインジェクション等の手法でWebサイトの
コンテンツを改ざんしたり、Webサイト上で表示される広告コンテンツの内容
が改ざんされる。ユーザが改ざんされたWebサイトを閲覧した場合、複数の脆弱性を使用してユーザのPCにマルウエアがインストールされる可能性があるとして、コンピュータにインストールしているソフトウエアを最新版に更新するよう呼びかけている。

攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100025.txt

2010年09月29日

MS、ASP.NETの脆弱性に定例外パッチ

 マイクロソフト株式会社は今月21日にセキュリティアドバイザリ(981374)が公開されていたASP.NETの脆弱性について、29日にセキュリティ更新プログラムを提供するとして事前情報を公表した。この脆弱性を狙った実際の攻撃も既に確認されている。
 攻撃者がこの脆弱性を悪用した場合、サーバー上の暗号化されたView Stateデータや、web.configファイルなどの情報が読み取られる可能性がある。影響を受けるのは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上の.NET Frameworkコンポーネントのすべてのバージョン。

マイクロソフト セキュリティ情報の事前通知 - 2010 年 9 月 (定例外)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep-ans.mspx

2010年09月16日

マイクロソフト9月月例パッチにDLL修正含まれず

 マイクロソフトは15日、9月のセキュリティ更新プログラムを公開した。内容は、Windows関連が8件、Office関連が2件。最大深刻度は、4段階で最も高い「緊急」が4件、2番目に高い「重要」が5件となる。
 また、8月にセキュリティアドバイザリが公開されていた、DLL(Dynamic Link Library)の読み込み方法に対する脆弱性については、今回の更新では修正されなかった。この脆弱性はアプリケーションが読み込むライブラリを安全なパス上に指定していない場合に発生し、リモートから任意のコードを実行される可能性がある。

2010 年 9 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx 

2010年09月15日

Adobe Flash Playerの脆弱性

 米Adobe Systemsは13日、Flash Playerに深刻な脆弱性が見つかったとして情報を公開した。既にこの脆弱性を悪用した攻撃も報告されているという。
 脆弱性が報告されているのは、Windows/Mac/Linux/SolarisのFlash Playerのバージョン10.1.82.76以前、Android用Flash Playerのバージョン10.1.92.10以前。Windows/Mac/UNIX用のAdobe Reader 9.3.4以前、Windows/Mac用のAdobe Acrobat 9.3.4以前と広範囲に及び、攻撃者によりシステムが乗っ取られる恐れがあるとしてAdobeが指定する最も高い危険度である"critical"があてられている。 Adobeは修正パッチの提供を予定しており、Flash Playerについては9月最終週に、Adobe Reader/Acrobatについては、10月第二週に公開を予定している。

Security Advisory for Flash Player(CVE-2010-2884)
http://www.adobe.com/support/security/advisories/apsa10-03.html
hackersafe at 09:29|この記事のURL脆弱性情報 

2010年09月13日

マイクロソフト9月のセキュリティ情報

 マイクロソフトは15日に公開が予定されているセキュリティ更新プログラム9件について事前情報を公開した。脆弱性の深刻度が最大である「緊急」が4件、ついで高い「重要」が5件となる。
 「緊急」の4件はWindowsおよびOfficeに関連するもので、いずれもリモートでコードを実行される恐れがあるとしている。

マイクロソフト セキュリティ情報の事前通知 - 2010 年 9 月
http://www.microsoft.com/japan/technet/security/bulletin/MS10-sep.mspx

2010年09月06日

さくら観光が不正アクセス被害

 高速バス予約のさくら観光は1日、同社のWebサイトに対して不正アクセスがあり、顧客情報の一部が流出した可能性が高いとしてこれを発表した。
 流出したのは会員21万6509人のうち、16万9595人の個人情報と、サイトのログインID/パスワードなど。うち5万2088人は、クレジットカード情報も流出した。
 さくら観光は既にクレジットカード情報の削除および情報流出対策を終え、警察と連携して対策を講じている。

さくら観光
http://www.489.fm/20100901.pdf
hackersafe at 09:23|この記事のURL脆弱性情報 

2010年08月25日

MS、Windows DLLの脆弱性についてアドバイザリを公開

 マイクロソフトは、Windows向けのアプリケーションが使用するDLL(Dynamic Link Library)の読み込み方法に対する脆弱性が指摘されたことをうけ、セキュリティアドバイザリを公開した。この脆弱性を利用する「DLL のプリロード」と「バイナリの植え付け (binary planting)」攻撃の実証コードも複数の研究者によって公開されている。この脆弱性はアプリケーションが読み込むライブラリを安全なパス上に指定していない場合に発生し、リモートから任意のコードを実行される可能性があるとして、アドバイザリでは読み込まれるライブラリは安全なパスに指定するよう促している。

マイクロソフト セキュリティ アドバイザリ (2269637)
http://www.microsoft.com/japan/technet/security/advisory/2269637.mspx
hackersafe at 09:26|この記事のURL

2010年08月09日

マイクロソフト8月の定例パッチ

 マイクロソフトは6日、8月のセキュリティ更新プログラムの事前情報を公開した。Windows関連が12件、Office関連が2件の計14件。脆弱性の深刻度は最大の「緊急」が8件、2番目に高い「重要」が6件となっており、Internet Explorer の修正も含まれている。

マイクロソフト セキュリティ情報の事前通知 - 2010 年 8 月
http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug-ans.mspx

2010年08月03日

MS、ショートカット脆弱性に対し定例外パッチを公開

 マイクロソフトは3日、Windowsのショートカットに関する脆弱性についてのセキュリティ更新プログラムを定例外で公開した。この脆弱性は特別な細工が施されたショートカットのアイコンを参照することで、リモートでコードが実行される可能性があるもので、悪用した攻撃が広がっていた。

2010 年 8 月のセキュリティ情報 (定例外)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspx

2010年07月20日

Windowsショートカットに脆弱性

 JPCERTとIPAは16日、脆弱性対策情報ポータルサイトであるJapan Vulnerability NotesにおいてMicrosoft Windowsのショートカットについて新たな脆弱性があるとして報告した。
 Windowsにはショートカットファイル(LNK)を適切に処理しない脆弱性が存在し、細工されたLNKファイルをWindows Explorer上などで表示した場合に、任意のコードを自動的に実行してしまう可能性があり、既にこの脆弱性を利用した攻撃も確認されているという。
 現在のところ対策方法はなく、影響を軽減するための手段としてAutoRunの無効化、ユーザーアカウント権限の制限を挙げている。

Microsoft Windows のショートカットファイルの処理に脆弱性
http://jvn.jp/cert/JVNVU940193/
hackersafe at 09:30|この記事のURL脆弱性情報 

2010年07月14日

マイクロソフト7月の月例更新

 米Microsoftは7月13日、4件のセキュリティ更新プログラムを公開し、WindowsとOfficeに存在する5件の脆弱性に対処した。
 4件中3件は深刻度が最も高い「緊急」で、6月にアドバイザリが公開され、攻撃が多発していたWindowsヘルプとサポートセンターの脆弱性もこの中に含まれている。

2010 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jul.mspx

2010年07月06日

想定損害賠償額は3890億円

 NPO法人の日本ネットワークセキュリティ協会(JNSA)は1日、「2009年 情報セキュリティインシデントに関する調査報告書」を公開した。報告書では2009年に報道された個人情報漏えいのインシデントを集計し、漏えいした組織の業種、漏えい人数、原因、経路、想定損害賠償額などについて分析している。
 報告書によると、2009年に発生した個人情報漏えいインシデントは1539件で過去最高、漏えい人数は572万人と昨年から約152万人減少となっている。漏えい人数の減少については、漏えい規模が10万人を超えるインシデントの発生が昨年よりも7件減少したためと分析している。想定損害賠償総額は、3890億4289万円で「口座番号」を所有する「金融業,保険業」の漏えいインシデントが増加していることに起因するとしている。

2009年 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/incident/2009.html
hackersafe at 09:36|この記事のURL個人情報関連 
Archives
Profile
HACKER SAFEサポートチーム
脆弱性をWebサイトやデバイスから追放しましょう!
そして甚大な被害を未然に防ぎましょう!!
☆ おことわり ☆
掲載情報の詳細は、リンク先の各サイトの関連記事をご覧ください。
なおリンク切れの場合もあるかと思いますが、その点はご容赦ください。