JPCERT-WR-2008-3601
2008-09-18
2008-09-07
2008-09-13
2008年9月 Microsoft セキュリティ情報について
Microsoft Windows、Microsoft Windows Media Encoder、Microsoft
Office、Internet Explorer などの製品には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、サービス運用
妨害 (DoS) 攻撃を行ったりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
2008 年 9 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-sep.mspx
マイクロソフト セキュリティ情報 MS08-052 - 緊急
GDI+ の脆弱性により、リモートでコードが実行される (954593)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-052.mspx
マイクロソフト セキュリティ情報 MS08-053 - 緊急
Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-053.mspx
マイクロソフト セキュリティ情報 MS08-054 - 緊急
Windows Media Player の脆弱性により、リモートでコードが実行される (954154)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-054.mspx
マイクロソフト セキュリティ情報 MS08-055 - 緊急
Microsoft Office の脆弱性により、リモートでコードが実行される (955047)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-055.mspx
Japan Vulnerability Notes JVNTA08-253A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-253A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-052,053,054,055)
http://www.cyberpolice.go.jp/important/2008/20080913_164309.html
JPCERT/CC Alert 2008-09-10
2008年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080016.txt
Movable Type にクロスサイトスクリプティングの脆弱性
Movable Type には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Movable Type 3 (3.36 およびそれ以前のバージョン)
- Movable Type 4 (4.20 およびそれ以前のバージョン)
- Movable Type Enterprise 1.5 (1.54 およびそれ以前のバージョン)
- Movable Type Enterprise 4 (4.20 およびそれ以前のバージョン)
- Movable Type Community Solution
この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。
シックス・アパート
Movable Type 4.2 RC5 とセキュリティアップデートの提供を開始
http://www.sixapart.jp/movabletype/news/2008/08/07-1445.html
シックス・アパート
2008年8月7日に発表したセキュリティアップデートの正式版提供開始
http://www.sixapart.jp/movabletype/news/2008/08/28-1500.html
TWiki に脆弱性
TWiki には、入力を適切に検証しないことに起因する脆弱性があります。
結果として、遠隔の第三者が細工した URL にアクセスさせることで、
任意の設定ファイルを閲覧したり、Web サーバプロセスの権限で任意の
ファイルを実行したりする可能性があります。なお、本脆弱性に関する
検証コードが公開されています。
対象となるバージョンは以下の通りです。
- TWiki 4.2.2 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに TWiki を更新
したり、TWiki を正しく設定することで解決します。
twiki.org Security Alert
Arbitrary code execution in session files (CVE-2008-3195)
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195
ハイ ノルマ (High Norm) 製 Sound Master 2nd にクロスサイトスクリプティングの脆弱性
ハイ ノルマ (High Norm) の Sound Master 2nd には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Sound Master 2nd Version 1.0.0
この問題は、ハイ ノルマ (High Norm) が提供する修正済みのバージョ
ンに Sound Master 2nd を更新することで解決します。
ハイ ノルマ
サウンドマスター2nd
http://high-norm.rash.jp/script_soundmaster2nd.html
Tor World の複数の CGI スクリプトに脆弱性
Tor World が提供する複数の CGI スクリプトには、脆弱性があります。
結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを
実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Simple BBS Ver1.86 およびそれ以前
- Interactive BBS Ver1.57 およびそれ以前
- Topics BBS Ver1.11 およびそれ以前
- Tor Board Ver1.3 およびそれ以前
この問題は、Tor World が提供する修正済みのバージョンに該当する製
品を更新することで解決します。
Tor World
【CGIスクリプトの脆弱性に関する報告】 - 2008/09/05 (Fri)
http://download.torworld.com/bug/20080905.html
DNSSEC の導入に向けた動き
SE (スウェーデン) をはじめ、いくつかの ccTLD (Country Code Top
Level Domain) ではすでに DNSSEC 対応が行われています。また、GOV、
ORG、および ARPA ドメインにおいても対応が表明されています。
前回紹介した ISC の DLV registry のように、DNS ツリーの外から署
名鍵を提供するための仕組みを、一般に TAR (Trust Anchor Registry)
と呼びます。ISC 以外に RIPE や SecSpider project、IKS といった組
織による活動があり、現在は IANA で TAR を立ち上げる計画が進んで
います。
今年6月にパリで開催された ICANN 第32回会議では DNSSEC に関するト
ピックを集めた DNSSEC Public Meeting が開催されました。
JPCERT/CC REPORT 2008-09-03
【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)
http://www.jpcert.or.jp/wr/2008/wr083401.html#Memo
JPCERT/CC REPORT 2008-09-10
【今週のひとくちメモ】DNSSEC Lookaside Validation (DLV)
http://www.jpcert.or.jp/wr/2008/wr083501.html#Memo
DNSSEC Deployment Initiative
http://www.dnssec-deployment.org/
DNSSEC Deployment Initiative
STATEMENT OF NEEDED INTERNET CAPABILITY: Trust Anchor Repositories
http://www.dnssec-deployment.org/tar/tarpaper.pdf
IANA
(DEMO) DNSSEC STATUS
https://ns.iana.org/dnssec/status.html
ICANN
DNSSEC Public Meeting
http://par.icann.org/en/node/77
ccNSO IANA WG:
DNSSEC BRIEFING and Root Zone Signing (Part I)
http://ccnso.icann.org/workinggroups/ccnso-iana-wg-dnssec-paper-04feb08.pdf