JPCERT-WR-2008-1501 2008-04-16 2008-04-06 2008-04-12

US-CERT Technical Cyber Security Alert TA08-099A http://www.us-cert.gov/cas/techalerts/TA08-099A.html US-CERT Cyber Security Alert SA08-099A http://www.us-cert.gov/cas/alerts/SA08-099A.html US-CERT Vulnerability Notes Database http://www.kb.cert.org/vuls/byid?searchview&query=ms08-apr CIAC Bulletin S-251 http://www.ciac.org/ciac/bulletins/s-251.shtml CIAC Bulletin S-252 http://www.ciac.org/ciac/bulletins/s-252.shtml CIAC Bulletin S-253 http://www.ciac.org/ciac/bulletins/s-253.shtml CIAC Bulletin S-254 http://www.ciac.org/ciac/bulletins/s-254.shtml CIAC Bulletin S-255 http://www.ciac.org/ciac/bulletins/s-255.shtml CIAC Bulletin S-256 http://www.ciac.org/ciac/bulletins/s-256.shtml CIAC Bulletin S-257 http://www.ciac.org/ciac/bulletins/s-257.shtml CIAC Bulletin S-258 http://www.ciac.org/ciac/bulletins/s-258.shtml CIAC Bulletin S-259 http://www.ciac.org/ciac/bulletins/s-259.shtml

Microsoft Windows、Internet Explorer、Microsoft Office 各製品に は、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、管理者権限を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update、Office Update などを用いて、セキュ リティ更新プログラムを適用することで解決します。

2008 年 4 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx マイクロソフト セキュリティ情報 MS08-018 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-018.mspx マイクロソフト セキュリティ情報 MS08-019 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms08-019.mspx マイクロソフト セキュリティ情報 MS08-020 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms08-020.mspx マイクロソフト セキュリティ情報 MS08-021 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-021.mspx マイクロソフト セキュリティ情報 MS08-022 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-022.mspx マイクロソフト セキュリティ情報 MS08-023 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-023.mspx マイクロソフト セキュリティ情報 MS08-024 - 緊急 http://www.microsoft.com/japan/technet/security/bulletin/ms08-024.mspx マイクロソフト セキュリティ情報 MS08-025 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms08-025.mspx Japan Vulnerability Notes JVNTA08-099A http://jvn.jp/cert/JVNTA08-099A/index.html Japan Vulnerability Notes JVNVU#155563 http://jvn.jp/cert/JVNVU%23155563/index.html Japan Vulnerability Notes JVNVU#632963 http://jvn.jp/cert/JVNVU%23632963/index.html JPCERT/CC Alert 2008-04-09 http://www.jpcert.or.jp/at/2008/at080006.txt @police http://www.cyberpolice.go.jp/important/2008/20080409_110852.html

US-CERT Technical Cyber Security Alert TA08-100A http://www.us-cert.gov/cas/techalerts/TA08-100A.html US-CERT Cyber Security Alert SA08-100A http://www.us-cert.gov/cas/alerts/SA08-100A.html

Adobe Flash Player には、複数の脆弱性があります。結果として、遠 隔の第三者が細工した SWF ファイルにアクセスさせることで、任意の コードを実行したり、ユーザのブラウザ上で任意のスクリプトを実行し たりする可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 9.0.115.0 およびそれ以前 - Adobe Flash Player 8.0.39.0 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新することで解決します。なお、複数のウェブブラウザを使用して いる環境においては、各ウェブブラウザごとに Flash Player を更新す る必要があります。詳細については、Adobe が提供する情報を参照して ください。

Japan Vulnerability Notes JVNTA08-100A http://jvn.jp/cert/JVNTA08-100A/index.html @police http://www.cyberpolice.go.jp/important/2008/20080409_111257.html Adobe Security bulletin APSB08-11 http://www.adobe.com/support/security/bulletins/apsb08-11.html

IBM Technote http://www-1.ibm.com/support/docview.wss?uid=swg21298453

Lotus Notes には、複数のバッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が細工したメール添付ファイルを Lotus Notes 上で閲覧させる (ダブルクリックして"表示"を選択させる) こと で、任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - IBM Lotus Notes Version 8.X - IBM Lotus Notes Version 7.X - IBM Lotus Notes Version 6.X - IBM Lotus Notes Version 5.X なお、本脆弱性は Lotus Notes が使用している Autonomy 社の Keyview という製品の脆弱性に起因しています。同様に Autonomy 社の Keyview を使用している製品 (例えば Symantec Mail Security など) にも影響します。 Lotus Notes Version 6.x から 8.x までをお使いの場合、IBM のサポー ト窓口から Notes クライアントのパッチを入手してください。Lotus Notes Version 5.x をお使いの場合、パッチが提供されませんので、 IBM の Web サイトの "How to disable viewers within Notes:" のセ クションを参照の上、ビューア機能を無効にしてください。

Symantec Security Advisory http://securityresponse.symantec.com/avcenter/security/Content/2008.04.08e.html

CIAC Bulletin S-261 http://www.ciac.org/ciac/bulletins/s-261.shtml

メディアプレーヤライブラリ Xine には、複数のバッファオーバーフロー の脆弱性があります。結果として、遠隔の第三者が細工したメディアコ ンテンツを表示させることで、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。

Debian セキュリティ勧告 DSA-1536-1 http://www.debian.org/security/2008/dsa-1536.ja.html

APWG http://www.apwg.org/events/2008_operationsSummit_jp.html

来る 2008年5月26、27日に APWG (Anti Phishing Working Group) 主催 のネット犯罪対策運用サミット（CeCOS II: The second annual Counter-eCrime Operations Summit) が開催されます。 APWG はフィッシングやオンライン詐欺の対策を目的とした国際的組織 です。米国を中心に 3000 を超える世界中の CSIRT、金融機関、法執行 機関、セキュリティベンダーや学術研究機関がメンバーとして名を連ね ています。JPCERT/CC はリサーチパートナーとして APWG の活動に参画 しています。 APWG は通常、年に 2回定例の会合をおこなっており、今回はその会合 が初めて日本で開催されます。国内外の専門家がフィッシングなどの問 題について発表をおこない、その模様は全て同時通訳されます。 申し込み方法: 下記 Web サイトの専用フォームにて受付 5月9日までの申し込みには早期割引が適用されます。

CeCOS II 東京　：第2回 ネット犯罪対策運用サミット http://shop.ns-research.jp/3/8/11208.html

2008年4月7日、Sun は J2SE 1.4.2 のサポートを 2008年10月30日に終 了すると発表しました。これまで 2008年夏頃の予定と発表していたサ ポート終了日を確定し、サポート期限の方針を変更しています。 J2SE 1.4.2 を使用したサービス提供者や開発者は、サポート終了日ま でに移行完了するように移行計画を立てることを推奨します。 なお、J2SE 5.0 についても 2008年4月からサポート終了期間に入って おり、2009年10月30日にサポート終了の予定です。 JPCERT/CC REPORT 2007-10-24 http://www.jpcert.or.jp/wr/2007/wr074101.html#Memo Sun Developer Network http://java.sun.com/products/archive/eol.policy.html