セキュリティホール memo - 2013.01

Last modified: Fri Jul 3 15:14:49 2020 +0900 (JST)

 このページの情報を利用される前に、注意書きをお読みください。

2013.01.31

Samba 4.0.2、3.6.12、3.5.21 公開
(Samba.org, 2013.01.30)

 Samba 4.0.2、3.6.12、3.5.21 公開。SWAT の 2 つのセキュリティ欠陥 (クリックジャッキング、XSRF) が修正されている。 CVE-2013-0213 CVE-2013-0214

RubyGems.org hacked via YAML parsing vulnerability
(ehackingnews.com, 2013.01.31)

 YAML ファイルの処理における欠陥を突かれて RubyGems.org がハクられた。 現在復旧作業中。

追記

Vulnerability Note VU#922681: Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP

Opera 12.13 Release notes
(Opera, 2013.01.30)

 Opera 12.13 公開。セキュリティ修正は 4 件。任意のコードの実行を招く欠陥 2 件を含む。

 しかし Sophos によると、Mac App Store ではいまだに 12.11 が配布されている模様です。www.opera.com からダウンロードしてどうぞ。

2013.02.05 追記:

 Opera 12.13 には、複数の機能拡張を更新しようとすると crash する不具合がある模様で、12.14 が間もなくリリースされる模様です。12.14 RC 出てます: 12.14 RC crashloop fix (Opera, 2013.02.04)

Crash happens when Opera 12.13 tries to do an update of multiple extensions. This happens on a manual "check for update", or in the background, when several extensions are due for update, some time after 12.13 has been downloaded.

2013.02.06 追記:

 Opera 12.14 リリースされました: Opera 12.14 fixing bad crasher (Opera, 2013.02.05)

2013.01.30

追記

Oracle Java SE Critical Patch Update Advisory - October 2012

 Oracle Java SE JDK7およびJRE7のMethodHandleクラスの脆弱性により任意のコードを実行される脆弱性(CVE-2012-5088)に関する検証レポート (NTTデータ先端技術, 2013.01.28)

いろいろ (2013.01.23)

 Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート (NTTデータ先端技術, 2013.01.28)

Wireshark 1.8.5 Release Notes
(wireshark.org, 2013.01.29)

 Wireshark 1.8.5、1.6.13 公開。9 件の欠陥 (wnpa-sec-2013-01 〜 wnpa-sec-2013-09) が修正されている。

Vulnerability Note VU#922681: Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
(US-CERT, 2013.01.29)

 各種のルータでも使用されている libupnp 1.6.17 以前に複数の欠陥があり、攻略 SSDP (Simple Service Discovery Protocol) リクエストによって buffer overlow が発生、任意のコードを実行できる。 CVE-2012-5958 CVE-2012-5959 CVE-2012-5960 CVE-2012-5961 CVE-2012-5962 CVE-2012-5963 CVE-2012-5964 CVE-2012-5965

 libupnp 1.6.18 で修正されている。当該機器での UPnP を無効にする、あるいは 1900/udp へのアクセスを拒否することで、この欠陥を回避できる。VU#922681 には libupnp 1.8.0 という記述があるが、これは現時点では開発版みたい。 関連:

2013.01.31 追記:

2013.02.05 追記:

 関連:

2013.07.23 追記:

 JVNVU#90348117、いろいろ更新されていた。

2013.01.29

いろいろ (2013.01.29)
(various)

2013.02.05 追記:

 Ruby on Rails の JSON のパラメータ解析の脆弱性により任意のコードを実行される脆弱性(CVE-2013-0333)に関する検証レポート (NTTデータ先端技術, 2013.02.01)

追記

Attackers Target Internet Explorer Zero-Day Flaw

 IEの修正済みの脆弱性を悪用する攻撃を確認〜Tokyo SOCが注意喚起 (so-net セキュリティ通信, 2013.01.24)

Microsoft 2012 年 4 月のセキュリティ情報

 修正済みのWindowsコモンコントロールの脆弱性を悪用するウイルスメール増加 (so-net セキュリティ通信, 2013.01.28)

About the security content of iOS 6.1 Software Update
(Apple, 2013.01.28)

 iOS 6.1 公開。27 件の欠陥が修正されている。TURKTRUST の件にもようやく対応したそうで。 CVE-2011-3058 CVE-2012-2619 CVE-2012-2824 CVE-2012-2857 CVE-2012-2889 CVE-2012-3606 CVE-2012-3607 CVE-2012-3621 CVE-2012-3632 CVE-2012-3687 CVE-2012-3701 CVE-2013-0948 CVE-2013-0949 CVE-2013-0950 CVE-2013-0951 CVE-2013-0952 CVE-2013-0953 CVE-2013-0954 CVE-2013-0955 CVE-2013-0956 CVE-2013-0958 CVE-2013-0959 CVE-2013-0962 CVE-2013-0963 CVE-2013-0964 CVE-2013-0968 CVE-2013-0974

 関連: Apple、「iOS 6.1」を提供——LTE対応事業者を拡大 (ITmedia, 2013.01.29)

 日本ユーザーに影響があるのは、iOS 6から採用された追跡型広告「Advertising Identifier(広告識別子)」をリセットできるボタンが追加されたこと。Advertising Identifierは、広告主がユーザーの行動を追跡するためのもの。iOS 6では追跡型広告の制限はできたが、Advertising Identifierのリセットはできなかった。iOS 6.1では、「設定」→「一般」→「情報」→「アドバタイズ」からAdvertising Identifierをリセットできる。

2013.01.28

いろいろ (2013.01.28)
(various)

WordPress 3.5.1 Maintenance and Security Release
(WordPress, 2013.01.24)

 WordPress 3.5.1 公開。5 件のセキュリティ欠陥が修正されている、ということでいいのかな。

 IIS 上で WordPress を動かしている場合、3.5 → 3.5.1 のアップグレードがうまくいかないことがあるそうで。こちらに対応方法が記されている。

2013.01.27

2013.01.25

2013.01.23

Chrome Stable Channel Update
(Google, 2013.01.22)

 Chrome 24.0.1312.56 登場。5 件のセキュリティ欠陥 (高 x 4、中 x 1) が修正されている。

いろいろ (2013.01.23)
(various)

2013.01.30 追記:

 Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート (NTTデータ先端技術, 2013.01.28)

2013.01.22

Microsoft 2013 年 1 月のセキュリティ情報
(Microsoft, 2013.01.09)

 忘れてた orz

MS13-001 - 緊急: Windows 印刷スプーラー コンポーネントの脆弱性により、リモートでコードが実行される (2769369)

 Windows 7、Server 2008 R2 の印刷スプーラーに欠陥があり、攻略印刷ジョブによって任意のコードを実行できる。CVE-2013-0011。Exploitability Index: 1

 関連: MS13-001: Vulnerability in Print Spooler service (Microsoft Security Research & Defense, 2013.01.08)

How other workstations could be targeted

This vulnerability could be used to trigger a double-free of memory used by the print spooler service process (running as LocalSystem) when a client uses third party software to enumerate the queued print jobs on a remote print server. Network configurations that require users to authenticate before submitting print jobs would only be at risk from an attacker who is first able to authenticate and then able to send the malformed print job to the shared printer. A clever attacker could submit a malicious print job and then pause the job, allowing the malicious job to remain in the shared print queue to be enumerated by other clients.

MS13-002 - 緊急: XML Core Services の脆弱性により、リモートでコードが実行される (2756145)

 Microsoft XML コア サービスに 2 つの欠陥。

  • MSXML 整数の切り捨ての脆弱性 - CVE-2013-0006

    MSXML 3.0、5.0、6.0 の欠陥 (ただし MSXML 3.0、6.0 は 64bit 版 Windows にのみ影響)。XML コンテンツの解析方法に欠陥があり、攻略 XML コンテンツによって任意のコードが実行される。Exploitability Index: 1

  • MSXML XSLT の脆弱性 - CVE-2013-0007

    MSXML 4.0、5.0、6.0 の欠陥。XML コンテンツの解析方法に欠陥があり、攻略 XML コンテンツによって任意のコードが実行される。Exploitability Index: 1

 なお、MSXML 4.0 はもはや SP3 しかメンテナンスされていないのですが、SP2 までしかインストールしていない事例が散見されるようです。「MSXML 4.0 SP2 はインストールされているが MSXML 4.0 SP3 はインストールされていない」という場合は、MSXML 4.0 SP3 をインストールしてください。

MS13-003 - 重要: System Center Operations Manager の脆弱性により、特権が昇格される (2748552)

 System Center Operations Manager 2007 SP1、2007 R2 に 2 つの XSS 欠陥。

  • System Center Operations Manager Web コンソールの XSS の脆弱性 - CVE-2013-0009。 Exploitability Index: 1

  • System Center Operations Manager Web コンソールの XSS の脆弱性 - CVE-2013-0010。 Exploitability Index: 1

 System Center 2012 にはこの欠陥はない。また、System Center Operations Manager 2007 SP1 用の更新プログラムはまだ提供されていない。

MS13-004 - 重要: .NET Framework の脆弱性により、特権が昇格される (2769324)

 .NET Framework 1.0、1.1、2.0、3.5、3.5.1、4、4.5 に 4 つの欠陥。 攻略 Web サイトや攻略 .NET アプリによって、情報が漏洩したり、任意のコードが実行されたりする。

  • System Drawing の情報漏えいの脆弱性 - CVE-2013-0001。 Exploitability Index: N/A

  • WinForms のバッファー オーバーフローの脆弱性 - CVE-2013-0002。 Exploitability Index: 1

  • S.DS.P のバッファー オーバーフローの脆弱性 - CVE-2013-0003。 Exploitability Index: 1

  • ダブル コンストラクションの脆弱性 - CVE-2013-0004。 Exploitability Index: 1

 .NET Framework 3.5 SP1 にはこの欠陥はない。また .NET Framework 3.0 SP 2 については、デフォルト状態で影響を受けないが、多層防御として更新プログラムが用意されている。

MS13-005 - 重要: Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2778930)

 Windows Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。Windows カーネル モード ドライバー (win32k.sys) に欠陥があり、local user による権限上昇が可能。 CVE-2013-0008。 Exploitability Index: 1

MS13-006 - 重要: Microsoft Windows の脆弱性により、セキュリティ機能のバイパスが起こる (2785220)

 Windows Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。SSL/TLS セッションのバージョンネゴシエーション処理に欠陥があり、 SSLv3 または TSL を SSLv2 にダウングレードさせることが可能。 CVE-2013-0013。 Exploitability Index: N/A

MS13-007 - 重要: Open Data プロトコルの脆弱性により、サービス拒否が起こる (2769327)

 .NET Framework 3.5、3.5 SP1、3.5.1、4 および Management OData IIS 拡張機能に欠陥。Open Data (OData) プロトコルの仕様に欠陥があり、remote から攻略 HTTP リクエストを使って DoS 攻撃を実施できる。 CVE-2013-0005。Exploitability Index: 3

MS13-008 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (2799329)

 IE 6〜8 に欠陥。Attackers Target Internet Explorer Zero-Day Flaw の件。 CVE-2012-4792。Exploitability Index: 1

 関連:

追記

トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに

 関連:

いろいろ (2013.01.11)

 Foxit Reader のブラウザプラグインの件、5.4.5 で修正されました。 Fixed a security issue where attackers can exploit a web browser plugin vulnerability to execute arbitrary code. (foxitsoftware.com, 2013.01.17)

2013.01.21

いろいろ (2013.01.21)
(various)

2013.01.20

2013.01.18

2013.01.17

Oracle Critical Patch Update Advisory - January 2013
(Oracle, 2013.01.15)

 Oracle 四半期定期更新。

製品 件数 CVSS 2.0 Base Score 最高値 CVE
Oracle Database Server 1 9.0 (Windows) CVE-2012-3220
Oracle Database Mobile/Lite Server 5 10.0 CVE-2013-0361 CVE-2013-0366 CVE-2013-0362 CVE-2013-0363 CVE-2013-0364
Fusion Middleware 6 5.0 CVE-2012-0022 CVE-2011-5035 CVE-2012-5097 CVE-2012-1677 CVE-2013-0393 CVE-2013-0418
Enterprise Manager Grid Control 13 7.5 CVE-2013-0359 CVE-2013-0360 CVE-2013-0396 CVE-2013-0352 CVE-2013-0374 CVE-2013-0355 CVE-2013-0372 CVE-2013-0373 CVE-2013-0353 CVE-2013-0354 CVE-2013-0358 CVE-2012-3219 CVE-2012-5062
E-Business Suite 9 6.4 CVE-2013-0397 CVE-2013-0381 CVE-2013-0382 CVE-2012-3190 CVE-2012-3218 CVE-2013-0376 CVE-2013-0377 CVE-2013-0380 CVE-2013-0390
Supply Chain Products Suite 1 2.1 CVE-2013-0370
PeopleSoft Products 12 5.5 CVE-2013-0369 CVE-2013-0391 CVE-2013-0394 CVE-2013-0388 CVE-2013-0356 CVE-2013-0357 CVE-2012-1755 CVE-2013-0387 CVE-2012-5059 CVE-2013-0392 CVE-2013-0395 CVE-2012-3192
JD Edwards Products 1 3.5 CVE-2012-1678
Siebel CRM 10 5.0 CVE-2012-1701 CVE-2012-3170 CVE-2012-3169 CVE-2013-0378 CVE-2013-0379 CVE-2013-0365 CVE-2012-1680 CVE-2012-3172 CVE-2012-3168 CVE-2012-1700
Sun Products Suite 8 6.6 CVE-2013-0400 CVE-2013-0399 CVE-2013-0415 CVE-2013-0417 CVE-2013-0407 CVE-2012-0569 CVE-2013-0414 CVE-2012-3178
VirtualBox 1 2.4 CVE-2013-0420
MySQL 18 9.0 (Windows) CVE-2012-5612 CVE-2012-5611 CVE-2012-5060 CVE-2013-0384 CVE-2013-0389 CVE-2013-0386 CVE-2013-0385 CVE-2013-0375 CVE-2012-1702 CVE-2013-0383 CVE-2013-0368 CVE-2012-0572 CVE-2013-0371 CVE-2012-0574 CVE-2012-1705 CVE-2012-0578 CVE-2013-0367 CVE-2012-5096

 次回は 2013.04.16。

追記

Zero-Day Java Exploit Debuts in Crimeware

 Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚 (トレンドマイクロ セキュリティ blog, 2013.01.17)

トレンドマイクロが行った解析の結果、「CVE-2013-0422」に対する修正プログラムが、完全な修正ではないことを確認しました。この脆弱性には 2つの問題点が存在します。1つは、com.sun.jmx.mbeanserver.MBeanInstantiatorクラスの findClassメソッドに存在し、もう1つは、java.lang.invoke.MethodHandleクラスの invokeWithArgumentsメソッドに存在します。Oracle が今月14日に公開した緊急修正プログラムにより、後者は修正されていますが、findClassメソッドの脆弱性は、制限付きクラスの参照を取得するために依然として利用される可能性があります。要約すると、findClassメソッドの問題は、他の新たな脆弱性に利用される恐れがある不具合が残されたままとなっています。

2013.01.16

追記

Upcoming Security Advisory for ColdFusion

 patch 出ました: APSB13-03: Security update: Hotfix available for ColdFusion (Adobe, 2013.01.15)。 日本語抄訳版: APSB13-03 - セキュリティアップデート:ColdFusion用ホットフィックス公開 (Adobe, 2013.01.15)。

2013.01.15

いろいろ (2013.01.15)
(various)

追記

Zero-Day Java Exploit Debuts in Crimeware

 関連:

  • JavaとIEのパッチ+プロンプト (エフセキュアブログ, 2013.01.15)

  • Confirmed: Java only fixed one of the two bugs. (Immunity Products, 2013.01.14)

    After further analysis of the Oracle Java patch (Java 7 update 11), Immunity was able to identify that only one of the two bugs were fixed, making Java still vulnerable to one of the bugs used in the exploit found in the wild.

    2 つあるバグのうち 1 つしか直っておらず、世に出回っている攻略プログラムで使われているバグの 1 つは依然として脆弱。

    The patch did stop the exploit, fixing one of its components. But an attacker with enough knowledge of the Java code base and the help of another zero day bug to replace the one fixed can easily continue compromising users. (Assuming they now use a signed Java applet - one of the other changes introduced in this patch.)

    patch は確かに攻略プログラムを止める、コンポーネントの 1 つを修正することで。しかし Java コードベースについて十分な知識のある攻撃者が、別の 0-day バグと組み合わせて修正された個所を置き換えれば、 容易にユーザー攻略を続けられる。(Java 7 Update 11 ではデフォルトセキュリティレベルが「高」になったため、署名された Java アプレットが必要となるだろうが)

Attackers Target Internet Explorer Zero-Day Flaw

 fix 出ました: MS13-008 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (2799329) (Microsoft, 2013.01.15)

 Fix it 50971 を適用していた場合は、MS13-008 更新プログラムの適用後に無効化 (Fix it 50972 を適用) しませう。

 日本のセキュリティチームから重要な情報が: セキュリティ アドバイザリ (2794220) の脆弱性を解決する MS13-008 (Internet Explorer) を定例外で公開 (日本のセキュリティチーム, 2013.01.15)

今回の Internet Explorer 用セキュリティ更新プログラムは、累積的なセキュリティ更新プログラムではありません。セキュリティ情報 MS13-008 で提供しているセキュリティ更新プログラムを適する前に、最新の累積的なセキュリティ更新プログラム MS12-077 を先にインストールしてください。最新の累積的なセキュリティ更新プログラムをインストールしていない場合、互換性の問題が発生する可能性があります。
手動でセキュリティ更新プログラムを適用されているお客様はご注意ください。

2013.01.14

bug 3841 - Possible symlink race when applying UserOwner to newly created directory
(proftpd, 2012.11.08)

 ProFTPD に欠陥。UserOwner ディレクティブを使用する場合に MKD/XMKD コマンドの処理に競合状態が発生、local user が既存のディレクトリ (例: /etc) の owner を不適切に変更できる。 CVE-2012-6095

 ProFTPD 1.3.5rc1 で修正されている。Release Notes, NEWS

 関連: Bug 892715 - CVE-2012-6095 proftpd: Symlink race condition when applying UserOwner to a newly (ProFTPD) created directory

追記

Attackers Target Internet Explorer Zero-Day Flaw

 マイクロソフト セキュリティ情報の事前通知 - 2013 年 1 月 (Microsoft, 2013.01.14)。1月15日 (明日) に定例外で fix 出るようです。

Zero-Day Java Exploit Debuts in Crimeware

 Java 7 Update 11 で修正されました。また、この欠陥は Java 7 限定であることが Oracle からも発表されました。山崎さん情報ありがとうございます。

 関連:

2013.01.13

2013.01.11

いろいろ (2013.01.11)
(various)

2013.01.22 追記:

 Foxit Reader のブラウザプラグインの件、5.4.5 で修正されました。 Fixed a security issue where attackers can exploit a web browser plugin vulnerability to execute arbitrary code. (foxitsoftware.com, 2013.01.17)

Chrome Stable Channel Update
(Google, 2013.01.10)

 Chrome 24.0.1312.52 登場。 24 種類のセキュリティ欠陥 (High x 11、Medium x 8、Low x 5) が修正されている。Flash Player も 11.5.31.137 へ更新。

追記

APSB13-01: Security updates available for Adobe Flash Player

 Flash Player 11.5.31.137 が含まれているのは Chrome 24.0.1312.52 です。 Stable Channel Update (Google, 2013.01.10)

いろいろ (2013.01.02)

 Ruby on Rails の件 (CVE-2012-5664)、3.2.10、3.1.9、3.0.18 で修正されているそうです。 その後 CVE 自体は CVE-2012-6496CVE-2012-6497 に分離され、CVE-2012-5664 は取り消されたそうで。

 しかしさらなる欠陥 CVE-2013-0155 CVE-2013-0156 が明らかとなり、Ruby on Rails 3.2.11、3.1.10、3.0.19、2.3.15 が公開されています。

Zero-Day Java Exploit Debuts in Crimeware
(Krebs on Security, 2013.01.10)

 Java 0-day 登場、既に数々の exploit kit に含まれているそうで。

 Web ブラウザ上での Java の利用は無効化しておきましょう。 Java SE 7 Update 10 にアップデートした上で、Java コントロールパネルの [セキュリティ] タブで、「ブラウザで Java コンテンツを有効にする」のチェックを外せばいいです。

2013.01.11 追記:

 どうやら、この欠陥があるのは Java 7 だけのようです。 VU#625617JVNTA13-010A の記述は Java 7 限定ですし、 0 day 1.7u10 spotted in the Wild - Disable Java Plugin NOW ! (Malware don't need Coffee, 2013.01.10) も "Based on my tests (fast not 100% sure) it's 1.7 specific." としています。

 関連:

2013.01.14 追記:

 Java 7 Update 11 で修正されました。また、この欠陥は Java 7 限定であることが Oracle からも発表されました。山崎さん情報ありがとうございます。

 関連:

2013.01.15 追記:

 関連:

2013.01.17 追記:

 Javaのゼロデイ脆弱性の最新修正プログラムに問題発覚 (トレンドマイクロ セキュリティ blog, 2013.01.17)

トレンドマイクロが行った解析の結果、「CVE-2013-0422」に対する修正プログラムが、完全な修正ではないことを確認しました。この脆弱性には 2つの問題点が存在します。1つは、com.sun.jmx.mbeanserver.MBeanInstantiatorクラスの findClassメソッドに存在し、もう1つは、java.lang.invoke.MethodHandleクラスの invokeWithArgumentsメソッドに存在します。Oracle が今月14日に公開した緊急修正プログラムにより、後者は修正されていますが、findClassメソッドの脆弱性は、制限付きクラスの参照を取得するために依然として利用される可能性があります。要約すると、findClassメソッドの問題は、他の新たな脆弱性に利用される恐れがある不具合が残されたままとなっています。

2013.01.10

追記

Attackers Target Internet Explorer Zero-Day Flaw

 Microsoft Internet Explorerにおけるmshtml CDwnBindInfoオブジェクトのメモリ利用不備により任意のコードが実行される脆弱性(CVE-2012-4792)に関する検証レポート (NTTデータ先端技術, 2013.01.09)

今回公開された脆弱性コードはFixITを適用しても攻撃の成功を回避することはできませんでした。EMETを使用した場合、脆弱性コードを回避することを確認しました。

Firefox 18.0、Firefox / Thunderbird 17.0.2 / 10.0.12 ESR 公開
(mozilla.org, 2013.01.09)

 出ました。17 系列が新 ESR になります。10 ESR は今回で終了です。

2013.06.01 追記:

 Firefoxの不具合により、chrome特権機能へのアクセスが制限されず任意のコードが実行される脆弱性(CVE-2013-0757)(CVE-2013-0758)に関する検証レポート (NTTデータ先端技術, 2013.05.31)。 MFSA 2013-14MFSA 2013-15 の件。

2013.01.09

追記

Attackers Target Internet Explorer Zero-Day Flaw

 Internet Explorer の最新のゼロデイ脆弱性を悪用する Elderwood プロジェクト (シマンテック, 2013.01.08)

APSB13-01: Security updates available for Adobe Flash Player
(Adobe, 2013.01.08)

 Adobe Flash Player 11.5.502.136 以前、AIR 3.5.0.890 以前に buffer overflow する欠陥、攻略ファイルにより任意のコードを実行できる。Google Security Team からの通報。 CVE-2013-0630

 Priority Rating は Flash Player Windows 版が 1、Flash Player Mac 版が 2、あとは 3。

 次のバージョンで修正されている。

 抄訳版: APSB13-01: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe, 2013.01.08)

2013.01.11 追記:

 Flash Player 11.5.31.137 が含まれているのは Chrome 24.0.1312.52 です。 Stable Channel Update (Google, 2013.01.10)

APSB13-02: Security updates for Adobe Reader and Acrobat
(Adobe, 2013.01.08)

 Adobe Reader / Acrobat 11.0.0 以前に 27 個の欠陥、攻略 PDF ファイルにより任意のコードを実行できる等。内、Google Security Team からの通報が 19 個。 CVE-2012-1530 CVE-2013-0601 CVE-2013-0602 CVE-2013-0603 CVE-2013-0604 CVE-2013-0605 CVE-2013-0606 CVE-2013-0607 CVE-2013-0608 CVE-2013-0609 CVE-2013-0610 CVE-2013-0611 CVE-2013-0612 CVE-2013-0613 CVE-2013-0614 CVE-2013-0615 CVE-2013-0616 CVE-2013-0617 CVE-2013-0618 CVE-2013-0619 CVE-2013-0620 CVE-2013-0621 CVE-2013-0622 CVE-2013-0623 CVE-2013-0624 CVE-2013-0626 CVE-2013-0627

 Priority Rating は Adobe Reader / Acrobat 9.5.3 Windows 版だけが 1、あとは 2。

 次のバージョンで修正されている。

 関連: Adobe Reader and Acrobat XI (11.0.01), X (10.1.5) and 9.5.3 (Adobe, 2013.01.08)

 抄訳版: APSB13-02: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2013.01.08)

2013.01.08

追記

Attackers Target Internet Explorer Zero-Day Flaw

 Fix it を突破する方法が確認されたそうで:

 関連:

Galaxy S IIIなどにデータ消去・機能停止・ユーザーのデータに容易にアクセスされるなどの重大な脆弱性が発覚

 Report: Samsung pushes fix for Exynos 4 flaw to Galaxy SIII (H Security, 2013.01.07)。更新版ができたようで。

2013.01.07

追記

Upcoming Security Advisory for ColdFusion

 APSA13-01: ColdFusionに関するセキュリティ情報(日本語抄訳) (Adobe, 2013.01.04)

Attackers Target Internet Explorer Zero-Day Flaw

 関連:

Release 310世代の公式最新版第2弾「GeForce 310.90 Driver」公開。セキュリティアップデートが入る
(4gamer.net, 2013.01.07)

 NVIDIA GeForce 310.90 Driver 公開。権限上昇を招く欠陥が修正されている。

2013.01.06

追記

Attackers Target Internet Explorer Zero-Day Flaw

 Elderwood Project Behind Latest Internet Explorer Zero-Day Vulnerability (Symantec, 2012.01.03)

トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに

 Public Announcements (TURKTRUST)

Upcoming Security Advisory for ColdFusion

 Advisory 出ました: APSA13-01: Security Advisory for ColdFusion (Adobe, 2013.01.04)。 ColdFusion 10, 9.0.2, 9.0.1 9.0 に影響。 Priority Rating: 1。 CVE-2013-0625 CVE-2013-0629 CVE-2013-0631

 patch は 2013.01.15 に公開予定。それまでは、示されている緩和策を実施されたい。 Adobe CF Admin exploit (viviotech.net, 2013.01.03) では /CFIDE/administrator と /CFIDE/adminapi へのアクセス制限設定が示されていたが、 本 Advisory では /CFIDE/componentutils についてもアクセス制限の対象に挙げられている。

2013.01.04

トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに
(CNET, 2013.01.04)

 トルコの認証局 TURKTRUST が 2011年8月に、誤って、*.EGO.GOV.TR および e-islem.kktcmerkezbankasi.org に対し、通常のサーバ証明書ではなく中間認証局の証明書を作成してしまった。その中間認証局を通じてニセの *.google.com の証明書がつくられた。Google Chrome が 2012.12.24 にニセ *.google.com 証明書を検出したことで発覚。

2013.01.06 追記:

 Public Announcements (TURKTRUST)

2013.01.22 追記:

 関連:

2013.01.09 セキュリティ修正公開予告
(various)

 マイクロソフト

 アドビ

Upcoming Security Advisory for ColdFusion
(Adobe, 2013.01.03)

 ColdFusion 9, 10 への 0-day ? 攻撃が行われている模様です。

2013.01.06 追記:

 Advisory 出ました: APSA13-01: Security Advisory for ColdFusion (Adobe, 2013.01.04)。 ColdFusion 10, 9.0.2, 9.0.1 9.0 に影響。 Priority Rating: 1。 CVE-2013-0625 CVE-2013-0629 CVE-2013-0631

 patch は 2013.01.15 に公開予定。それまでは、示されている緩和策を実施されたい。 Adobe CF Admin exploit (viviotech.net, 2013.01.03) では /CFIDE/administrator と /CFIDE/adminapi へのアクセス制限設定が示されていたが、 本 Advisory では /CFIDE/componentutils についてもアクセス制限の対象に挙げられている。

2013.01.07 追記:

 APSA13-01: ColdFusionに関するセキュリティ情報(日本語抄訳) (Adobe, 2013.01.04)

2013.01.16 追記:

 patch 出ました: APSB13-03: Security update: Hotfix available for ColdFusion (Adobe, 2013.01.15)。 日本語抄訳版: APSB13-03 - セキュリティアップデート:ColdFusion用ホットフィックス公開 (Adobe, 2013.01.15)。

2013.01.02

いろいろ (2013.01.02)
(various)

2013.01.11 追記:

 Ruby on Rails の件 (CVE-2012-5664)、3.2.10、3.1.9、3.0.18 で修正されているそうです。 その後 CVE 自体は CVE-2012-6496CVE-2012-6497 に分離され、CVE-2012-5664 は取り消されたそうで。

 しかしさらなる欠陥 CVE-2013-0155 CVE-2013-0156 が明らかとなり、Ruby on Rails 3.2.11、3.1.10、3.0.19、2.3.15 が公開されています。

2013.06.04 追記:

  Ruby on Rails の脆弱性を利用するLinuxサーバへの攻撃を確認。Deep Securityで既に対応済 (トレンドマイクロ セキュリティ blog, 2013.06.03)。CVE-2013-0156 の件。

追記

Attackers Target Internet Explorer Zero-Day Flaw

 Fix it が公開されました。ramsy さん情報ありがとうございます。

 関連:

2013.01.01

いろいろ (2013.01.01)
(various)

[セキュリティホール memo]
[私について]