今回は下記3点についてのお知らせです。
1.Internet Explorer の脆弱性の回避策について
2.「ATOK for Android」における学習情報ファイルのアクセス権限に関する問題
3.「Trend Micro Control Manager」における SQL インジェクションの脆弱性
以下をご一読いただき、ご対応くださいますようお願いいたします。
————————————————————–
1.Internet Explorer の脆弱性の回避策について
■概要
日本マイクロソフト社の Internet Explorer にリモートからコード(命令)が実行される等の脆弱性が存在します。
(1)OnMove の解放後使用の脆弱性 – CVE-2012-1529
(2)イベント リスナーの解放後使用の脆弱性 – CVE-2012-2546
(3)textBlock の解放後使用の脆弱性 – CVE-2012-2548
(4)cloneNode の解放後使用の脆弱性 – CVE-2012-2557
(5)execCommand の解放後使用の脆弱性 – CVE-2012-4969
このうち(5)の脆弱性を悪用した攻撃が確認されました。この脆弱性は、Internet Explorer のメモリ管理の処理に存在します。
■想定される影響
攻撃者は、この脆弱性を悪用した攻撃コードを埋め込んだウェブサイトを作成し、利用者を誘導します。利用者が Internet Explorer でそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。
■対象
Internet Explorer 6・7・8・9
■対策
1. 脆弱性の解消 – 修正プログラムの適用
日本マイクロソフト社から提供されている修正プログラムを適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。
◎Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。http://windowsupdate.microsoft.com/
※なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。
◎個別の修正プログラムをダウンロードしてインストールする方法
下記の日本マイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-063
2.回避策
Enhanced Mitigation Experience Toolkit (EMET) を使用する
EMET は、ソフトウェアの脆弱性が悪用されるのを防止するためのツールです。導入する際には、次のページを参考にしてください。
⇒Enhanced Mitigation Experience Toolkit
http://support.microsoft.com/kb/2458544/ja
==================================================
2.「ATOK for Android」における学習情報ファイルのアクセス権限に関する問題
■概要
ジャストシステムが提供する「ATOK for Android」には、アクセス制限不備の問題が存在します。
■想定される影響
ユーザが、不正な他の Android アプリケーションを使用した場合、学習情報ファイルを取得される可能性があります。
■対象
ATOK for Android バージョン 1.0.4 より前のバージョン
※バージョン情報の確認手順※
文字入力画面で「あA1」をロングタッチして、ATOKメニュー→ 「ATOKの設定」をタップします。最下位行に表示されるバージョン情報を確認します。
日本語入力システム ATOK
Ver.1.X.X ← この数字がバージョン番号
■対策
開発者の提供する情報をもとに、最新版へアップデートしてください。
==================================================
3.「Trend Micro Control Manager」における SQL インジェクションの脆弱性
■概要
トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、アドホッククエリのモジュールに問題があり、SQL インジェクションの脆弱性が存在します。
■想定される影響
当該製品が使用しているデータベース上で、任意の SQL コマンドが実行される可能性があります。
■対象
•Trend Micro Control Manager 5.5.0.1823 (日本語版) より前のバージョン
•Trend Micro Control Manager 5.5.0.1823 (英語版) より前のバージョン
•Trend Micro Control Manager 6.0.0.1449 (英語版) より前のバージョン
■対策
開発者が提供する情報をもとに、対応するパッチを適用してください。
————————————————————–
以上となります。どうぞよろしくお願いいたします。
何かございましたらお気軽にご連絡ください。
