JPCERT コーディネーションセンター

Weekly Report 2009-04-22号

JPCERT-WR-2009-1601
JPCERT/CC
2009-04-22

<<< JPCERT/CC WEEKLY REPORT 2009-04-22 >>>

■04/12(日)〜04/18(土) のセキュリティ関連情報

目 次

【1】2009年4月 Microsoft セキュリティ情報について

【2】2009年4月 Oracle Critical Patch Update について

【3】Xpdf と poppler に複数の脆弱性

【4】Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性

【5】LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Windows XP メインストリームサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091601.txt
https://www.jpcert.or.jp/wr/2009/wr091601.xml

【1】2009年4月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-104A.html

US-CERT Cyber Security Alert SA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-104A.html

概要

Microsoft Windows、Windows Server、Office、ISA Server および関連
コンポーネントには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)

2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

マイクロソフト セキュリティ情報 MS09-009 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx

マイクロソフト セキュリティ情報 MS09-010 - 緊急
ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx

マイクロソフト セキュリティ情報 MS09-011 - 緊急
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx

マイクロソフト セキュリティ情報 MS09-012 - 重要
Windows の脆弱性により、特権が昇格される (959454)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx

マイクロソフト セキュリティ情報 MS09-013 - 緊急
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx

マイクロソフト セキュリティ情報 MS09-014 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx

マイクロソフト セキュリティ情報 MS09-015 - 警告
SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-015.mspx

マイクロソフト セキュリティ情報 MS09-016 - 重要
Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-016.mspx

Japan Vulnerability Notes JVNTA09-104A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-104A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Excel の脆弱性(MS09-009)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-009.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft ワードパッドおよび Office テキストコンバーターの脆弱性(MS09-010)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-010.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows の特権昇格の脆弱性(MS09-012)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-012.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016)
http://www.cyberpolice.go.jp/important/2009/20090415_111614.html

JPCERT/CC Alert 2009-04-15
2009年4月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090007.txt

【2】2009年4月 Oracle Critical Patch Update について

情報源

US-CERT Technical Cyber Security Alert TA09-105A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-105A.html

DOE-CIRC Technical Bulletin T-111
Oracle April 2009 Critical Patch Update
http://www.doecirc.energy.gov/bulletins/t-111.shtml

概要

Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。

なお、次回の Oracle Critical Patch Update は、2009年7月にリリー
スされる予定です。

関連文書 (日本語)

Oracle internet Support Center
[CPUApril2009] Oracle Critical Patch Update Advisory - April 2009
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=133019

Oracle Technology Network
Critical Patch Update - April 2009
http://www.oracle.com/technology/global/jp/security/090417_86/top.html

Japan Vulnerability Notes JVNTA09-105A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-105A/index.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

【3】Xpdf と poppler に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#196617
Xpdf and poppler contain multiple vulnerabilities in the processing of JBIG2 data
http://www.kb.cert.org/vuls/id/196617

概要

Xpdf、および Xpdf に基づくコードが含まれている poppler には、
JBIG2 データの処理にかかわる複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF 文書を閲覧させることで、PDF 閲覧ソフ
トウェアをクラッシュさせたり、任意のコードを実行したりする可能性
があります。

対象となる製品およびバージョンは以下の通りです。

- Xpdf 3.02pl2 およびそれ以前
- poppler 0.10.5 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#196617
Xpdf および poppler の JBIG2 データの処理における複数の脆弱性
http://jvn.jp/cert/JVNVU196617/index.html

関連文書 (英語)

Glyph & Cog, LLC
Xpdf 3.02pl3 was released 2009-apr-16
http://www.foolabs.com/xpdf/download.html

Poppler
Poppler 0.10 Releases - poppler-0.10.6.tar.gz (Thu Apr 16, 2009)
http://poppler.freedesktop.org/releases.html

Red Hat Security Advisory RHSA-2009:0429-1
Important: cups security update
https://rhn.redhat.com/errata/RHSA-2009-0429.html

Red Hat Security Advisory RHSA-2009:0431-1
Important: kdegraphics security update
https://rhn.redhat.com/errata/RHSA-2009-0431.html

【4】Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#789121
Microsoft Whale Intelligent Application Gateway Whale Client Components ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/789121

概要

Microsoft Whale Intelligent Application Gateway の Whale Client
Components ActiveX コントロールには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲
覧させることで、そのユーザの権限で任意のコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- Microsoft Intelligent Application Gateway 3.7 SP2 より前のバー
  ジョン

この問題は、マイクロソフトが提供する修正済みのバージョンに 
Microsoft Intelligent Application Gateway を更新することで解決し
ます。

関連文書 (英語)

Microsoft Technet Library
Intelligent Application Gateway (IAG) 2007 Service Pack 2 release notes
http://technet.microsoft.com/en-us/library/dd282918.aspx

Microsoft Download Center
Microsoft Whale Communications Intelligent Application Gateway 2007 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=e69dfd1d-d333-4c27-9246-279ada224317&displaylang=en

【5】LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#82744714
LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN82744714/index.html

概要

LovPop.net の apricot.php には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。

対象となる製品は以下の通りです。

- apricot.php

なお、apricot.php は 2009年3月19日をもって、公開およびメンテナン
スを終了しています。引き続きアクセスログ解析を行う場合は、同等の
機能が実装された他製品の使用を推奨します。

関連文書 (日本語)

LovPop.net
無料アクセス解析プログラム ─ apricot.php 1.20
http://www.lovpop.net/apricot/

■今週のひとくちメモ

○Windows XP メインストリームサポート終了

2009年4月14日(米国時間)、Windows XP のメインストリームサポート期
間が終了し、延長サポート期間となりました。今後、延長サポート期間
中はセキュリティ更新プログラムサポートは継続されますが、セキュリ
ティ関連以外の機能拡張などは提供されません。Windows XP の延長サ
ポート期間は、2014年4月までの予定です。

マイクロソフト製品のビジネス、開発用ソフトウェアのサポートは「メ
インストリームサポート」、「延長サポート」のふたつのフェーズで提
供されています。サポートサイクルのポリシーの詳細については、下記
関連文書を参照してください。

参考文献 (日本語)

Microsoft
Windows XP メインストリームサポートの終了
http://www.microsoft.com/japan/windows/products/windowsxp/future.mspx

参考文献 (英語)

Microsoft サポート オンライン
マイクロソフト サポート ライフサイクル
http://support.microsoft.com/gp/lifecycle

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter