JPCERT コーディネーションセンター

Weekly Report 2009-11-26号

JPCERT-WR-2009-4501
JPCERT/CC
2009-11-26

<<< JPCERT/CC WEEKLY REPORT 2009-11-26 >>>

■11/15(日)〜11/21(土) のセキュリティ関連情報

目 次

【1】Microsoft Internet Explorer に脆弱性

【2】VMware 製品群に脆弱性

【3】Google Chrome に脆弱性

【4】Redmine に複数の脆弱性

【5】SecurityDay2009 のお知らせ

【今週のひとくちメモ】Mac OS X のセキュリティアップデートの提供期間に注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr094501.txt
https://www.jpcert.or.jp/wr/2009/wr094501.xml

【1】Microsoft Internet Explorer に脆弱性

情報源

マイクロソフト セキュリティ アドバイザリ(977981)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/977981.mspx

概要

Microsoft Internet Explorer には脆弱性があります。結果として遠隔
の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7

なお、Internet Explorer 5.01 SP4 及び Internet Explorer 8 はこの
問題の影響を受けません。

2009年11月25日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。回避策としては、Windows のデータ実行防止 
(DEP) 機能を有効にする、アクティブスクリプトを無効にするなどの方
法があります。詳細はマイクロソフトのアドバイザリを参照してくださ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#515749
Microsoft Internet Explorer に脆弱性
http://jvn.jp/cert/JVNVU515749/index.html

関連文書 (英語)

US-CERT Vulnerability Note VU#515749
Microsoft Internet Explorer CSS style element vulnerability
http://www.kb.cert.org/vuls/id/515749

Microsoft Help and Support
Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/977981/en-us/

【2】VMware 製品群に脆弱性

情報源

VMware Security Announcements
VMSA-2009-0016 VMware vCenter and ESX update release and vMA patch release address multiple security issue in third party components
http://lists.vmware.com/pipermail/security-announce/2009/000070.html

概要

VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意
のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware vCenter Server 4.0 (Update 1 より前のバージョン)
- VMware ESXi 4.0 (ESXi400-200911201-UG 未適用のもの)
- VMware ESX 4.0 (ESX400-200911201-UG、ESX400-200911223-UG、
  ESX400-200911232-SG、ESX400-200911233-SG、ESX400-200911234-SG、
  ESX400-200911235-SG、ESX400-200911237-SG、ESX400-200911238-SG 
  未適用のもの)
- VMware vMA 4.0 (patch 02 より前のバージョン)

この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細については、VMware が提供する情報を参照してく
ださい。

【3】Google Chrome に脆弱性

情報源

DOE-CIRC Technical Bulletin T-272
Google Chrome prior to 3.0.195.32 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-272.shtml

概要

Google Chrome には、脆弱性があります。結果として、遠隔の第三者が、
攻撃を意図したリンクをユーザにクリックさせることで、ユーザの権限
で任意のコードを実行したり、ブラウザをクラッシュさせたりする可能
性があります。

対象となるバージョンは以下の通りです。

- Google Chrome 3.0.195.32 より前のバージョン

この問題は、Google Chrome を Google が提供する修正済みのバージョ
ンに更新することで解決します。

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html

chromium
Issue 22205: Chrome: Crash Report - Stack Signature: WebKit::WebURL::WebURL(WebKit::WebURL const &)-3DB0FD
http://code.google.com/p/chromium/issues/detail?id=22205

【4】Redmine に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#01245481
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN01245481/index.html

Japan Vulnerability Notes JVN#87341298
Redmine におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN87341298/index.html

概要

オープンソースのプロジェクト管理ソフトウェア Redmine には、複数
の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ
上で任意のスクリプトを実行したり、ログインしているユーザに、細工
した Web ページを読み込ませることで Redmine のデータの改ざんを行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Redmine 0.8.5 およびそれ以前

この問題は、Redmine を修正済みのバージョンに更新することで解決し
ます。なお、Redmine の開発元では、別の脆弱性を修正した Redmine
0.8.7 を公開しています。

関連文書 (英語)

Redmine
Redmine 0.8.6 released
http://www.redmine.org/news/29

Redmine
Redmine 0.8.7 security release
http://www.redmine.org/news/30

Redmine
Changelog - v0.8.6 (2009-11-04)
http://www.redmine.org/wiki/redmine/Changelog

Redmine
Changelog - v0.8.7 (2009-11-15)
http://www.redmine.org/wiki/redmine/Changelog

【5】SecurityDay2009 のお知らせ

情報源

JPCERT/CC イベント情報
SecurityDay2009
https://www.jpcert.or.jp/event/securityday2009.html

概要

2009年12月16日(水) 13時 (開場12時30分) より工学院大学 (新宿キャ
ンパス) において SecurityDay2009 (JPCERT/CC、JAIPA、Telecom-ISAC
Japan、JNSA、JCAF 主催) が開催されます。

SecurityDay2009 では、情報セキュリティに関わる方を対象に参加者と
一緒に議論をするパネルディスカッションによって、情報提供、情報共
有をする場として考えています。今回扱うテーマは、古くて新しい問題
であり、すぐには結論が出せないものもありますが、このような問題に
正面から向き合い、参加者全員の意識の共有を行い、どこがクリティカ
ルポイントで、どのような対応が考えられるのか、課題は何か、等々に
ついて忌憚の無い意見交換を行い、次の時代を造るきっかけにしたいと
考えています。

参加費は無料ですが、事前参加申込みが必要です。事前参加申込みは、
JNSA 提供のサイトからお申し込みいただけます。

関連文書 (日本語)

SecurityDay2009
SecurityDay2009 開催概要
http://securityday.jp/

SecurityDay2009
参加申し込み方法
http://securityday.jp/?register

NPO日本ネットワークセキュリティ協会
Security Day 2009 参加申し込み
https://www.jnsa.org/seminar/2009/1216/entry.html

■今週のひとくちメモ

○Mac OS X のセキュリティアップデートの提供期間に注意

Apple Mac OS X のセキュリティアップデートは、多くの場合、最新お
よびひとつ前のバージョンを対象としています。例えば、前回の 
Weekly Report でご紹介したセキュリティアップデートは Mac OS X
10.6 および 10.5 を対象としており、Mac OS X 10.4 は対象外となっ
ています。

現在のところ Apple 社からは、セキュリティアップデートの提供ポリ
シーに関する情報は公開されていません。

Mac OS X のシステムを運用する場合には、使用しているソフトウエア
のバージョンを確認し、セキュリティアップデートはすみやかに適用で
きるように、運用体制を整えることをお勧めします。

参考文献 (日本語)

Apple
アップルセキュリティアップデート (Apple Security Update)
http://support.apple.com/kb/HT1222?viewlocale=ja_JP

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter