NRI Secure SANS NewsBites 日本版

Vol.6 No.44 2011年11月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.44 2011年11月2日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
オーストラリアのセキュリティの革新に関する5番目のニュースには、世界各 地で注目度が高まっている見込みのある「確実な解決方法」が書かれている。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◇◆ SANS Tokyo 2011 Autumn Security Training ◆◇◆

【SEC504】Hacker Techniques, Exploits and Incident Handling
2011年11月14日(月)~19日(土)開催

     -最新の脅威に対応できるインシデントハンドラーを養成
     -ノースロップ・グラマンのサイバー脅威アナリストが講師として来日

<11/4の早期割引適用まであと僅か!>
↓↓↓詳細&お申込みはこちら↓↓↓
http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.84-85
(原版:2011年10月22日、10月26日)

◆Weatherford サイバーセキュリティ副次官(deputy undersecretary for cybersecurity)に任命される(2011.10.20)
米国国土安全保障省(DHS)長官Janet Napolitanoは、Mark Weatherfordを米国・ 国防および政綱総局(NPPD:National Protection and Programs Directorate) のサイバーセキュリティ副次官に任命した。
Weatherfordは、ごく最近まで北米電気信頼度協議会(NERC: North American Electric Reliability Corporation)の副総裁(VP)兼最高セキュリティ責任者 (CSO:chief security officer)を務めていた。WeatherfordはNERCに加わる以 前、カリフォルニア州情報セキュリティオフィス(State of California's office of information security)の最初の最高セキュリティ責任者を務め、 それ以前には、コロラド州で同職を務めていたおりに同州初のサイバーセキュ リティプログラムの設置に貢献している。彼は経歴の初期の段階で、米国海軍 暗号技術責任者(U.S. Navy Cryptologic Officer)を務め、海軍のコンピュー タネットワーク防衛作戦と海軍コンピュータインシデントレスポンスチームの 指揮をとってきた。Weatherfordは、2010年にSC Magazineの「CSO・オブ・ザ・ イヤー」を受賞している。彼は11月中旬からNPPDで仕事を始める予定だ。

http://www.informationweek.com/news/government/security/231901310
http://www.govinfosecurity.com/articles.php?art_id=4173
http://www.politico.com/news/stories/1011/66448.html
http://blog.dhs.gov/2011/10/secretary-napolitano-appoints-mark.html

【編集者メモ1】(Murray)
これこそが、リーダーシップの実績をもとに下された任命である。なんと新鮮 なことか。

【編集者メモ2】(Liston)
おめでとう、Mark!
────────────────

◆政権と議員ら サイバーセキュリティの法制定を優先事項にすると合意(2011.10.20)
ホワイトハウスの関係者は、サイバーセキュリティ監視して権限のある上院委 員会の二大政党のリーダーと機密のブリーフィング会を行い、包括的なサイバー セキュリティ法案を今年中に迅速に可決するように要求した。このブリーフィ ングには、FBI、国土安全保障省、国家安全保障局、国防総省の代表者らも参 加している。政権は、5月に、サイバーセキュリティ分野の法制定を推奨した が、立法関連の委員会(legislative committees)と関連政府局の協調不足が原 因で、その取り組みは行き詰っていた。特に懸念されているのは、米国の重大 なインフラの一部を成している民間企業に対し、政府が設けたサイバーセキュ リティ基準に従うように要請する政府の権限をどのように明確化するかという ことだ。

http://thehill.com/blogs/hillicon-valley/technology/188837-classified-meeting-stresses-urgency-of-cybersecurity-legislation
http://www.reuters.com/article/2011/10/21/us-usa-cyber-senate-idUSTRE79K03H20111021

【編集者メモ】(Murray)
政府がまるで口の軽い人のごとく情報を漏えいしている状態にある場合(その ような場合が多いのだが)、政府は大衆の信頼と快適性を破壊していることに なる。政府は、民間セクターに必須条件を設ける前に、同じ措置を政府に応用 して、それが有効だと立証すべきである。強制するのではなく、模範を示して 指導すべきだ。
セキュリティに関して何かを選択するという行動は難しい。政府は、民間セク ターに関してリスクを伴う決定を下そうとする前に、選択を行うことができる 能力を実証する必要がある。

────────────────

◆米国国土安全保障省 Anonymousが宣言した制御システムに対する脅威の評価について公報を発行(2011.10.17-18)
国土安全保障省(DHS)は、「ハッキング集団“Anonymous”が産業用制御システ ムをターゲットしようと関心を持っている可能性がある」と記した公報を発行 した。
この公報には、発電所や水処理工場など、重大なインフラを構成している組織 にAnonymousがダメージを与える能力についての評価結果も記載されている。 Anonymousは所属メンバーに対し、これらの組織をターゲットにするように求 めているようだが、DHSの報告書によれば「今の時点で、Anonymousには、協調 行動による攻撃に必要なスキルも構造的なリーダーシップもない」という。加 えて、報告書には、「Anonymousが産業用制御システムにますます関心持つよ うになった背景には、将来的に同システムに攻撃的な機能を開発する意図があ るようだ」とも言及されている。

http://www.theregister.co.uk/2011/10/18/anonymous_threatens_scada/
http://www.wired.com/threatlevel/2011/10/hacking-industrial-systems/
http://www.computerworld.com/s/article/9220951/DHS_issues_warning_that_Anonymous_may_attack_infrastructure?taxonomyId=82
http://www.informationweek.com/news/security/vulnerabilities/231901046
http://www.wired.com/images_blogs/threatlevel/2011/10/NCCIC-AnonymousICS.pdf

────────────────

◆数百件の組織 RSAをターゲットにした攻撃手法の標的に(2011.10.24)

今年のはじめにRSAに仕掛けられた攻撃は、ほかの組織のコンピュータシステ ムにも仕掛けられていたようだ。非公表の情報筋から得た情報によると、少な くとも760件のほかの組織も、同じ一連の攻撃によって侵害されていたという。 攻撃された組織としてリストアップされている組織のコンピュータシステムに は、RSAに対する攻撃で使用された基礎構造と同じものに付随している命令 (instructions)を探していた形跡があった。リストアップされた組織の中には インターネットサービスプロバイダ(ISP)もあるが、これらのISPは、加入者が 感染したためにリスト入ったと思われる。ほか、アンチウィルス企業もリスト に入っているが、これは、逆行分析を行う目的で意図的にシステムをマルウェ アに感染させていたことが原因であるようだ。問題の攻撃は、主に中国と韓国 にある300以上の指令管制ネットワークを使用している。

https://krebsonsecurity.com/2011/10/who-else-was-hit-by-the-rsa-attackers/

────────────────

◆豪州・参謀本部国防信号局 米国サイバーセキュリティ革新賞を受賞(2011.10.24)
豪州・参謀本部国防信号局(DSD:Defense Signals Directorate)が、2011年米 国サイバーセキュリティ革新賞を受賞した。DSDチームは、民間・軍の政府シ ステム(civilian and military government system)に仕掛けられた標的型サ イバー侵入(targeted cyber intrusions)として報告された侵害を全て分析し、 どのような措置をとれば侵害拡大を防げたかを究明した。
このチームによって見出されたコントロール(全部で35)は、今後その価値が 実証されていくと思われる。これらのコントロールのうち4つは「スイートス ポット(sweet spot)」と称され、標的型攻撃から組織を防御するために政府組 織全てに実装すべきものとして最も注目が集まっている。コントロールを増や していけば、セキュリティに対する姿勢も改善されるが、スイートスポットで ある4つのコントロールをまず実装すべきである。この賞によって、コントロー ルのリストを作成したDSDチームの指揮をとったSteve McleodとChris Brookes に、また、「豪州の内閣関連機関(cabinet agencies)は全て、4つのコントロー ルを実装すべきであり、必ずそれを実行すること」を推奨したIan Watt博士に 栄誉が授けられた。

http://www.sacbee.com/2011/10/24/4003892/australian-defence-signals-directorate.html
http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

【編集者メモ】(Paller) 4つの主要なコントロールに対する上層部のリーダーの反応は並外れてよかっ た。政府局がこれらのコントロールを実装して得た成果こそが、標的型侵入に 対処した場合に求められる成果である。4つのコントロールは、セキュリティ 関連職者らがセキュリティ分野で英雄になるために使える素晴らしいものであ る。監査人らがこれらの4つのコントロールの完全実装を視野に入れて調査を 行っていないのであれば、彼らは間違った対象を調査していることになるので、 給料を払い戻しすべきだ。

────────────────

◆重大なインフラには新しく安全なインターネットが必要(2011.10.21-24)
FBIの上級長官補佐(executive assistant director)のShawn Henryは、テロリ ストから米国の重大なインフラを守るためには、隔離され、新しい、かつ、安 全なインターネットが必要だと述べている。Henryはバルティモアで開催され たカンファレンスの参加者に対し、セキュリティを確実にするには、匿名での 行動は許さず、身元が明らかで信頼されている人間だけがアクセスできる新し いインターネットを創造するしかないと言及した。また、FBIは機密情報を完 全にオフラインにする考えを推進している。

http://www.executivegov.com/2011/10/fbis-shawn-henry-proposes-alternate-internet-to-secure-critical-infrastructures/
http://www.google.com/hostednews/ap/article/ALeqM5gaNalQ-2_nO0nDy6FaeF0hYa1EmA?docId=390fd39ef9214a6ca6059d3abfaad04b

【編集者メモ】 NewsBitesの編集者の中には、このようなプランの実行可能性について否定的 な人もいる。しかし、このプランは、その実現の可能性を探求して当然である と言っていいほど必要とされているものなのだ。
この探求に有効な貢献をもたらしてくれるのが、「全米科学財団サイバーセキュ リティ研究責任者会(National Science Foundation Cyber Security Principal Investigator's meeting)」でMicrosoft ResearchのButler Mansonが「説明責任」 と「自由」について語った基調プレゼンテーションである。彼はこのプレゼンテー ションで、赤と緑のインターネットについて話をしている。「赤」の方は現在 我々が使用している方で、「緑」の方は、「悪者をなかなか侵入させないくら いには錠がかかるようになっており、侵入行為に及ぶことを思いとどまらせる には十分なほどに、侵入者を捕まえたり懲罰を与えられたりする」ようになっ ているという。これを完璧に実現することはできなくても、「赤」よりは大幅 に安全な「緑のインターネット」について、考慮する価値はあろう。

────────────────

◆中国国連大使 国連にインターネットの「通信ルール」設置を求める(2011.10.21)

情報とサイバー空間のセキュリティについての国連総会第1委員会(First Committee of the United Nations General Assembly on Information and Cyberspace Security)にて、国連軍縮局(disarmament affairs)の中国国連大 使Wang Qunは、インターネットのための包括的な通信ルールの作成を求めた。 Wang Qun大使は、「情報とサイバー空間のセキュリティを維持することは、一 国のセキュリティだけではなく、国際コミュニティ全体のセキュリティを維持 することになる」と述べた上で、「国連は、そのような基準やルールを考案す るには最も適切なフォーラムだ」と続けた。

http://www.chinadaily.com.cn/usa/china/2011-10/21/content_13944760.htm
この発言の文書はこちら:http://www.china-un.org/eng/hyyfy/t869445.htm

【編集者メモ】(Ranum):
これは、前進する上で大きな一歩になりうる。国連が、セキュリティや攻撃に 関する要因や管轄について何らかの枠組みを提案すればなおもよい。そうすれ ば、Stuxnetのような国家が後援しているサイバーテロ攻撃が発生した際、そ の原因となった国に対し制裁措置を講じることができるようになる。

────────────────


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・出展のイベント     (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月15日                      <東京 汐留本社>
 セキュアリモートアクセス体感セミナー      【ユーザ企業様限定】
 ~BYOD時代のセキュアリモートアクセスとデバイスマネジメント~
http://www.nri-secure.co.jp/seminar/2011/byod01.html?xmid=61&xlinkid=21

○11月16日・12月14日                 <東京 汐留本社>
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~IT統制、PCI DSS、情報漏洩対策。
     今求められるアクセス管理を短期・安価で実現する方法とは~
http://www.nri-secure.co.jp/seminar/2011/ac03.html?xmid=61&xlinkid=22

○11月18日・12月9日                  <東京 汐留本社>
 メールセキュリティ対策実践セミナー
 ~情報漏えい・誤送信対策ソリューションのご紹介~
http://www.nri-secure.co.jp/seminar/2011/mail01.html?xmid=61&xlinkid=23

○11月25日・12月16日                 <東京 汐留本社>
 情報資産識別・管理ソリューションミーティング
 ~実効力ある情報漏えい防止、いますべき対策とは~
http://www.nri-secure.co.jp/seminar/2011/label02.html?xmid=61&xlinkid=24

○11月11日:仙台・11月17日:名古屋・11月18日:札幌
 今後求められる、IT資産管理の新基準!!
 ~クラウド活用によって実現する次世代IT管理とは~ にてセッション講演
http://www.motex.co.jp/seminar/2011_asset-seminar.html

○11月9日               <ニューヨーク The Nippon Club>
 クラウド時代の情報セキュリティリスク
 ~クラウド利用が進む中、
    新たなリスクの対処に向けて海外オフィスは今、何をすべきか~
http://nikkeibp-america.com/NRI/

※各セミナーともにそれぞれにおける競合にあたる会社様のお申込みはご遠慮下さい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               (NRIセキュア)
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月5日
 セキュアWebアプリケーション実習:基本編
http://www.nri-secure.co.jp/service/learning/original3.html?xmid=61&xlinkid=25

○12月6日~7日
 セキュアWebアプリケーション実習:応用編(Java/JavaEE)
http://www.nri-secure.co.jp/service/learning/original5.html?xmid=61&xlinkid=26

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年10月21日 Vol.10 No.43)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Other Microsoft Products
1
Third Party Windows Apps
2
Mac Os
1
Solaris
1
Cross Platform
12 (#1,#2,#3)Web Application - Cross Site Scripting
3
Web Application - SQL Injection
1
Web Application
4
Network Device
1
======================================================================
1.危険度【高】:Apple製品にさまざまなセキュリティの脆弱性

<影響を受ける製品>
Apple OS X 10.7.2以前のバージョン
Apple Safari 5.1.1以前のバージョン
Apple iOS 5

<詳細>
Appleは、同社製OSのOS X、SafariのWebブラウザ、iOSモバイルOSに影響を及 ぼすセキュリティの脆弱性にパッチをリリースした。問題の脆弱性には、PHP だけでなく、QuickTimeやSafariなどAppleのソフトウェア、サードパーティへ のアップデートなどがある。
QuickTimeにある問題は、ほとんどがバッファオーバーフローであり、それら を悪用するには、攻撃者はターゲットに悪意のあるファイルを閲覧するように 仕向けなければならない。iOSの脆弱性には、画像ライブラリ(image library) にある脆弱性、WebKitのようなクライアント側のコンポーネントにある脆弱性 など、さまざまな手法で悪用できるものもある。SafariやWebKitのアップデー トを行った場合、ターゲットが悪意のあるサイトを訪問するように仕向けられ るとコードを実行されてしまうおそれが生じる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com

アップルのセキュリティアドバイザリ
http://support.apple.com/kb/HT4999
http://support.apple.com/kb/HT5000
http://support.apple.com/kb/HT5002

Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-295/

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/37118
http://www.securityfocus.com/bid/37865
http://www.securityfocus.com/bid/39635
http://www.securityfocus.com/bid/40370
http://www.securityfocus.com/bid/40863
http://www.securityfocus.com/bid/41544
http://www.securityfocus.com/bid/44723
http://www.securityfocus.com/bid/45015
http://www.securityfocus.com/bid/45133
http://www.securityfocus.com/bid/45137
http://www.securityfocus.com/bid/45668
http://www.securityfocus.com/bid/46164
http://www.securityfocus.com/bid/46174
http://www.securityfocus.com/bid/46177
http://www.securityfocus.com/bid/46262
http://www.securityfocus.com/bid/46354
http://www.securityfocus.com/bid/46365
http://www.securityfocus.com/bid/46429
http://www.securityfocus.com/bid/46464
http://www.securityfocus.com/bid/46614
http://www.securityfocus.com/bid/46658
http://www.securityfocus.com/bid/46767
http://www.securityfocus.com/bid/46785
http://www.securityfocus.com/bid/46786
http://www.securityfocus.com/bid/46811
http://www.securityfocus.com/bid/46854
http://www.securityfocus.com/bid/46965
http://www.securityfocus.com/bid/46967
http://www.securityfocus.com/bid/46968
http://www.securityfocus.com/bid/46969
http://www.securityfocus.com/bid/46970
http://www.securityfocus.com/bid/46975
http://www.securityfocus.com/bid/46977
http://www.securityfocus.com/bid/46992
http://www.securityfocus.com/bid/47020
http://www.securityfocus.com/bid/47024
http://www.securityfocus.com/bid/47029
http://www.securityfocus.com/bid/47604
http://www.securityfocus.com/bid/47820
http://www.securityfocus.com/bid/48007
http://www.securityfocus.com/bid/48250
http://www.securityfocus.com/bid/48422
http://www.securityfocus.com/bid/48429
http://www.securityfocus.com/bid/48440
http://www.securityfocus.com/bid/48479
http://www.securityfocus.com/bid/48566
http://www.securityfocus.com/bid/48618
http://www.securityfocus.com/bid/48619
http://www.securityfocus.com/bid/48660
http://www.securityfocus.com/bid/48823
http://www.securityfocus.com/bid/48832
http://www.securityfocus.com/bid/48833
http://www.securityfocus.com/bid/48840
http://www.securityfocus.com/bid/48842
http://www.securityfocus.com/bid/48843
http://www.securityfocus.com/bid/48844
http://www.securityfocus.com/bid/48845
http://www.securityfocus.com/bid/48846
http://www.securityfocus.com/bid/48847
http://www.securityfocus.com/bid/48848
http://www.securityfocus.com/bid/48850
http://www.securityfocus.com/bid/48852
http://www.securityfocus.com/bid/48853
http://www.securityfocus.com/bid/48854
http://www.securityfocus.com/bid/48855
http://www.securityfocus.com/bid/48856
http://www.securityfocus.com/bid/48857
http://www.securityfocus.com/bid/48858
http://www.securityfocus.com/bid/48859
http://www.securityfocus.com/bid/48960
http://www.securityfocus.com/bid/48993
http://www.securityfocus.com/bid/49038
http://www.securityfocus.com/bid/49279
http://www.securityfocus.com/bid/49303
http://www.securityfocus.com/bid/49658
http://www.securityfocus.com/bid/49778
http://www.securityfocus.com/bid/49850
http://www.securityfocus.com/bid/50066
http://www.securityfocus.com/bid/50067
http://www.securityfocus.com/bid/50068
http://www.securityfocus.com/bid/50087
http://www.securityfocus.com/bid/50088
http://www.securityfocus.com/bid/50091
http://www.securityfocus.com/bid/50092
http://www.securityfocus.com/bid/50095
http://www.securityfocus.com/bid/50098
http://www.securityfocus.com/bid/50099
http://www.securityfocus.com/bid/50100
http://www.securityfocus.com/bid/50101
http://www.securityfocus.com/bid/50109
http://www.securityfocus.com/bid/50111
http://www.securityfocus.com/bid/50112
http://www.securityfocus.com/bid/50113
http://www.securityfocus.com/bid/50114
http://www.securityfocus.com/bid/50115
http://www.securityfocus.com/bid/50115
http://www.securityfocus.com/bid/50116
http://www.securityfocus.com/bid/50117
http://www.securityfocus.com/bid/50120
http://www.securityfocus.com/bid/50121
http://www.securityfocus.com/bid/50122
http://www.securityfocus.com/bid/50123
http://www.securityfocus.com/bid/50124
http://www.securityfocus.com/bid/50127
http://www.securityfocus.com/bid/50129
http://www.securityfocus.com/bid/50130
http://www.securityfocus.com/bid/50131
http://www.securityfocus.com/bid/50143
http://www.securityfocus.com/bid/50144
http://www.securityfocus.com/bid/50146
http://www.securityfocus.com/bid/50147
http://www.securityfocus.com/bid/50149
http://www.securityfocus.com/bid/50150
http://www.securityfocus.com/bid/50151
http://www.securityfocus.com/bid/50152
http://www.securityfocus.com/bid/50153
http://www.securityfocus.com/bid/50154
http://www.securityfocus.com/bid/50155
http://www.securityfocus.com/bid/50156
http://www.securityfocus.com/bid/50157
http://www.securityfocus.com/bid/50158
http://www.securityfocus.com/bid/50159
http://www.securityfocus.com/bid/50161
http://www.securityfocus.com/bid/50162
http://www.securityfocus.com/bid/50163
http://www.securityfocus.com/bid/50169
http://www.securityfocus.com/bid/50180
────────────────

2.危険度【高】:Oracle Javaにさまざまなセキュリティの脆弱性

<影響を受ける製品>
JDKおよびRE 7のJava SE
JDKおよびJRE 6のUpdate 27までのバージョンのJava SE
JDKおよびJRE 5.0 Update 31までのバージョンのJava SE
SDKおよびJRE 1.4.2_33までのバージョンのJava SE
JavaFX 2.0 JavaFX
JRockit R28.1.4とそれ以前のバージョン(JDKおよびJREのバージョン6と5.0)
のJRockit

<詳細>
Oracleは、Javaのバーチャルマシンに影響を及ぼすさまざまなセキュリティの 脆弱性にパッチをリリースした。これらの脆弱性の多くについては、悪用する 際、攻撃者はターゲットに悪意のあるサイトを閲覧するように仕向けられれば、 任意のコードを実行できるようになる。通常、ブラウザが自動的にロードして 実行するアプレットは、サンドボックス化されるようになっているが、これら の脆弱性のいくつかを悪用すれば、アプレットはサンドボックスを抜け出して、 内在しているブラウザの特権を使ってコードを実行できるようになってしまう。 Javaは広範に展開されており、マルチプラットフォームで利用されているため、 Javaの脆弱性はとりわけ、マルウェアの作成者にとって魅力的なターゲットに なっている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49778
http://www.securityfocus.com/bid/50211
http://www.securityfocus.com/bid/50215
http://www.securityfocus.com/bid/50216
http://www.securityfocus.com/bid/50218
http://www.securityfocus.com/bid/50220
http://www.securityfocus.com/bid/50223
http://www.securityfocus.com/bid/50224
http://www.securityfocus.com/bid/50226
http://www.securityfocus.com/bid/50229
http://www.securityfocus.com/bid/50231
http://www.securityfocus.com/bid/50234
http://www.securityfocus.com/bid/50236
http://www.securityfocus.com/bid/50237
http://www.securityfocus.com/bid/50239
http://www.securityfocus.com/bid/50242
http://www.securityfocus.com/bid/50243
http://www.securityfocus.com/bid/50246
http://www.securityfocus.com/bid/50248
http://www.securityfocus.com/bid/50250
────────────────

3.危険度【高】:Adobeの製品にさまざまなセキュリティの脆弱性

<影響を受ける製品>
Windows and Macintosh用Adobe Reader X (10.1)までのバージョン
UNIX用Adobe Reader 9.4.2までのバージョン
Windows and Macintosh用Adobe Acrobat X (10.1)までのバージョン

<詳細>
Adobeは、同社製ReaderとAcrobat製品に影響を及ぼすさまざまなセキュリティ の脆弱性にパッチをリリースしている。攻撃者は、悪意のある文書を閲覧する ようにターゲットを仕向けることができれば、これらの脆弱性を悪用してター ゲットのマシン上に任意のコードを実行できるようになる。最初の2つの脆弱 性は、画像解析ライブラリにあるバッファオーバーフローである。最後の脆弱 性は、フォントをレンダリングする際に複合グリフの処理を行うコードにある バッファオーバーフローである。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-24.html

Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-11-283/
http://www.zerodayinitiative.com/advisories/ZDI-11-284/

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/49572
http://www.securityfocus.com/bid/49575
http://www.securityfocus.com/bid/49576
http://www.securityfocus.com/bid/49577
http://www.securityfocus.com/bid/49578
http://www.securityfocus.com/bid/49579
http://www.securityfocus.com/bid/49580
http://www.securityfocus.com/bid/49581
http://www.securityfocus.com/bid/49582
http://www.securityfocus.com/bid/49583
http://www.securityfocus.com/bid/49584
http://www.securityfocus.com/bid/49585
http://www.securityfocus.com/bid/49586
────────────────

Security NewsLetter(NRI Secure Information)は、情報セキュリティの専門 機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK) をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコ メントが掲載されています。原版は、およそ20万人のセキュリティのコミュニ ティに配信され、資料価値のあるニュースソースとして活用されています。
組織のセキュリティ管理に関する参考情報としてお役立てください。掲載され ている情報は、e-mailを介して自由に他の方に再送していただいて結構です。
ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、 弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、SANS関連のイベントに参加された方、その他イベント等 における弊社講演枠に登録された方、弊社からの情報を希望された方、メール マガジン配信を申し込まれた方を中心に配信しています。
今後、配信をご希望されない方は件名に【配信不要】、配信先変更をご希望の 方は件名に【配信先変更希望】とご記入いただき、新・旧配信先をご記入のう え info@sans-japan.jp までご返信をお願い致します。