2008年9月 Microsoft セキュリティ情報について

JPCERT-WR-2008-3601 2008-09-18 2008-09-07 2008-09-13

2008年9月 Microsoft セキュリティ情報について US-CERT Technical Cyber Security Alert TA08-253A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-253A.html US-CERT Cyber Security Alert SA08-253A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-253A.html US-CERT Vulnerability Notes Database Search Results [ms08-aug] (全1件・2008年9月17日現在) http://www.kb.cert.org/vuls/byid?searchview&query=ms08-sep CIAC Bulletin S-372 Vulnerabilities in GDI+ http://www.ciac.org/ciac/bulletins/s-372.shtml CIAC Bulletin S-373 Vulnerability in Windows Media Encoder 9 http://www.ciac.org/ciac/bulletins/s-373.shtml CIAC Bulletin S-374 Vulnerability in Windows Media Player http://www.ciac.org/ciac/bulletins/s-374.shtml CIAC Bulletin S-375 Vulnerarability in Microsoft Office http://www.ciac.org/ciac/bulletins/s-375.shtml

Microsoft Windows、Microsoft Windows Media Encoder、Microsoft Office、Internet Explorer などの製品には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。詳細については、Microsoft が提供する情報を参照してください。この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを適用することで解決します。

2008 年 9 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms08-sep.mspx マイクロソフトセキュリティ情報 MS08-052 - 緊急 GDI+ の脆弱性により、リモートでコードが実行される (954593) http://www.microsoft.com/japan/technet/security/bulletin/ms08-052.mspx マイクロソフトセキュリティ情報 MS08-053 - 緊急 Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156) http://www.microsoft.com/japan/technet/security/bulletin/ms08-053.mspx マイクロソフトセキュリティ情報 MS08-054 - 緊急 Windows Media Player の脆弱性により、リモートでコードが実行される (954154) http://www.microsoft.com/japan/technet/security/bulletin/ms08-054.mspx マイクロソフトセキュリティ情報 MS08-055 - 緊急 Microsoft Office の脆弱性により、リモートでコードが実行される (955047) http://www.microsoft.com/japan/technet/security/bulletin/ms08-055.mspx Japan Vulnerability Notes JVNTA08-253A Microsoft 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-253A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS08-052,053,054,055) http://www.cyberpolice.go.jp/important/2008/20080913_164309.html JPCERT/CC Alert 2008-09-10 2008年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080016.txt

Movable Type にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#30385652 Movable Type におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN30385652/index.html

Movable Type には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - Movable Type 3 (3.36 およびそれ以前のバージョン) - Movable Type 4 (4.20 およびそれ以前のバージョン) - Movable Type Enterprise 1.5 (1.54 およびそれ以前のバージョン) - Movable Type Enterprise 4 (4.20 およびそれ以前のバージョン) - Movable Type Community Solution この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。

シックス・アパート Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始 http://www.sixapart.jp/movabletype/news/2008/08/07-1445.html シックス・アパート 2008年8月7日に発表したセキュリティアップデートの正式版提供開始 http://www.sixapart.jp/movabletype/news/2008/08/28-1500.html

TWiki に脆弱性 US-CERT Vulnerability Note VU#362012 TWiki command execution vulnerability http://www.kb.cert.org/vuls/id/362012

TWiki には、入力を適切に検証しないことに起因する脆弱性があります。結果として、遠隔の第三者が細工した URL にアクセスさせることで、任意の設定ファイルを閲覧したり、Web サーバプロセスの権限で任意のファイルを実行したりする可能性があります。なお、本脆弱性に関する検証コードが公開されています。対象となるバージョンは以下の通りです。 - TWiki 4.2.2 およびそれ以前この問題は、配布元が提供する修正済みのバージョンに TWiki を更新したり、TWiki を正しく設定することで解決します。

twiki.org Security Alert Arbitrary code execution in session files (CVE-2008-3195) http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195

ハイノルマ (High Norm) 製 Sound Master 2nd にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#55010230 ハイノルマ (High Norm) 製 Sound Master 2nd におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN55010230/index.html

ハイノルマ (High Norm) の Sound Master 2nd には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - Sound Master 2nd Version 1.0.0 この問題は、ハイノルマ (High Norm) が提供する修正済みのバージョンに Sound Master 2nd を更新することで解決します。

ハイノルマサウンドマスター2nd http://high-norm.rash.jp/script_soundmaster2nd.html

Tor World の複数の CGI スクリプトに脆弱性 Japan Vulnerability Notes JVN#18616622 複数の Tor World 製 CGI スクリプトにおいて任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN18616622/index.html

Tor World が提供する複数の CGI スクリプトには、脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となる製品およびバージョンは以下の通りです。 - Simple BBS Ver1.86 およびそれ以前 - Interactive BBS Ver1.57 およびそれ以前 - Topics BBS Ver1.11 およびそれ以前 - Tor Board Ver1.3 およびそれ以前この問題は、Tor World が提供する修正済みのバージョンに該当する製品を更新することで解決します。

Tor World 【ＣＧＩスクリプトの脆弱性に関する報告】 - 2008/09/05 (Fri) http://download.torworld.com/bug/20080905.html

DNSSEC の導入に向けた動き SE (スウェーデン) をはじめ、いくつかの ccTLD (Country Code Top Level Domain) ではすでに DNSSEC 対応が行われています。また、GOV、 ORG、および ARPA ドメインにおいても対応が表明されています。前回紹介した ISC の DLV registry のように、DNS ツリーの外から署名鍵を提供するための仕組みを、一般に TAR (Trust Anchor Registry) と呼びます。ISC 以外に RIPE や SecSpider project、IKS といった組織による活動があり、現在は IANA で TAR を立ち上げる計画が進んでいます。今年6月にパリで開催された ICANN 第32回会議では DNSSEC に関するトピックを集めた DNSSEC Public Meeting が開催されました。 JPCERT/CC REPORT 2008-09-03 【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions) http://www.jpcert.or.jp/wr/2008/wr083401.html#Memo JPCERT/CC REPORT 2008-09-10 【今週のひとくちメモ】DNSSEC Lookaside Validation (DLV) http://www.jpcert.or.jp/wr/2008/wr083501.html#Memo DNSSEC Deployment Initiative http://www.dnssec-deployment.org/ DNSSEC Deployment Initiative STATEMENT OF NEEDED INTERNET CAPABILITY: Trust Anchor Repositories http://www.dnssec-deployment.org/tar/tarpaper.pdf IANA (DEMO) DNSSEC STATUS https://ns.iana.org/dnssec/status.html ICANN DNSSEC Public Meeting http://par.icann.org/en/node/77 ccNSO IANA WG: DNSSEC BRIEFING and Root Zone Signing (Part I) http://ccnso.icann.org/workinggroups/ccnso-iana-wg-dnssec-paper-04feb08.pdf