JPCERT-WR-2008-4101
2008-10-22
2008-10-12
2008-10-18
2008年10月 Microsoft セキュリティ情報について
Microsoft Windows、Microsoft Office、Internet Explorer などの製
品には、複数の脆弱性があります。結果として、遠隔の第三者が任意の
コードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
2008 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct.mspx
マイクロソフト セキュリティ情報 MS08-056 - 警告
Microsoft Office の脆弱性により、情報の漏えいが起こる (957699)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-056.mspx
マイクロソフト セキュリティ情報 MS08-057 - 緊急
Microsoft Excel の脆弱性により、リモートでコードが実行される (956416)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-057.mspx
マイクロソフト セキュリティ情報 MS08-058 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-058.mspx
マイクロソフト セキュリティ情報 MS08-059 - 緊急
Host Integration Server の RPC サービスの脆弱性により、リモートでコードが実行される (956695)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-059.mspx
マイクロソフト セキュリティ情報 MS08-060 - 緊急
Active Directory の脆弱性により、リモートでコードが実行される (957280)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-060.mspx
マイクロソフト セキュリティ情報 MS08-061 - 重要
Windows カーネルの脆弱性により、特権が昇格される (954211)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-061.mspx
マイクロソフト セキュリティ情報 MS08-062 - 重要
Windows インターネット印刷サービスの脆弱性により、リモートでコードが実行される (953155)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-062.mspx
マイクロソフト セキュリティ情報 MS08-063 - 重要
SMB の脆弱性により、リモートでコードが実行される (957095)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-063.mspx
マイクロソフト セキュリティ情報 MS08-064 - 重要
仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-064.mspx
マイクロソフト セキュリティ情報 MS08-065 - 重要
メッセージ キューの脆弱性により、リモートでコードが実行される (951071)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-065.mspx
マイクロソフト セキュリティ情報 MS08-066 - 重要
Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-066.mspx
Japan Vulnerability Notes JVNTA08-288A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-288A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-056,057,058,059,060,061,062,063,064,065,066)
http://www.cyberpolice.go.jp/important/2008/20081015_110510.html
JPCERT/CC Alert 2008-10-15
2008年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080017.txt
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には、複数の脆弱性があります。結果として、遠
隔の第三者が細工した Flash コンテンツにアクセスさせることで、ユー
ザが意図しないボタンもしくはリンクをクリックさせる可能性がありま
す。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 9.0.124.0 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョン 10.0.12.36 に
Flash Player を更新することで解決します。なお、複数のウェブブラ
ウザを使用している環境においては、各ウェブブラウザごとに Flash
Player を更新する必要があります。詳細については、Adobe が提供す
る情報を参照してください。
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Player
http://www.us-cert.gov/current/archive/2008/10/16/archive.html#adobe_releases_security_bulletin_for
2008年10月 Oracle Critical Patch Update について
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が認証を回避するなどの可能性があります。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。
なお、次回の Oracle Critical Patch Update は、2009年1月にリリー
スされる予定です。
2008年4月29日、Oracle の BEA Systems, Inc. 買収により、BEA 製品
のセキュリティ関連情報は Oracle Critical Patch Update に掲載され
ます。
Oracle internet Support Center
[CPUOct2008] Oracle Critical Patch Update Advisory - October 2008 日本語翻訳版
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=129194
Oracle Technology Network
Critical Patch Update - October 2008
http://www.oracle.com/technology/global/jp/security/081017_84/top.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2008.html
Movable Type にクロスサイトスクリプティングの脆弱性
Movable Type には、管理画面にクロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Movable Type 4 (4.21 およびそれ以前のバージョン)
- Movable Type Enterprise 4 (4.21 およびそれ以前のバージョン)
- Movable Type Community Solution 4 (4.21 およびそれ以前のバー
ジョン)
- Movable Type 4 (Open Source) (4.21 およびそれ以前のバージョン)
この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。
シックス・アパート
セキュリティアップデート Movable Type 4.22 の提供を開始
http://www.sixapart.jp/movabletype/news/2008/10/15-1400.html
MPlayer に複数の脆弱性
MPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が
細工したビデオファイルを処理させることで、ユーザの権限で任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となるバージョンは以下の通りです。
- MPlayer 1.0rc2 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに MPlayer を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1644-1
mplayer -- 整数オーバフロー
http://www.debian.org/security/2008/dsa-1644.ja.html
MPlayer
News
http://www.mplayerhq.hu/design7/news.html
oCERT Advisories
#2008-013 MPlayer Real demuxer heap overflow
http://www.ocert.org/advisories/ocert-2008-013.html
hisa_cart に情報漏洩の脆弱性
久長電機が提供する XOOPS 用のショッピングカートモジュール
hisa_cart には、情報漏洩の脆弱性があります。結果として、遠隔の第
三者が登録ユーザ情報などを取得する可能性があります。
対象となるバージョンは以下の通りです。
- hisa_cart v1.29 およびそれ以前
この問題は、久長電機が提供する修正済みのバージョンに hisa_cart
を更新することで解決します。
株式会社久長電機
セキュリティ情報のご案内
http://hisacart.chushokigyo.net/modules/info/index.php/intro/url.html
PDF に電子署名を行う/検証する
1. 電子署名を行う
PDF ファイルに電子署名を行うためには、署名に使う証明書/秘密鍵を
用意する必要があります。Adobe Acrobat では、認証局から発行された
証明書/秘密鍵を使用する方法と、独自に自己署名証明書を生成して使
用する方法があります。
Adobe Acrobat では電子署名として「承認用署名」と「証明用署名」の
2種類があります。これは、ISO32000-1 仕様における document
signature (承認用署名) と MDP signature (証明用署名) に対応する
ものです。
2. 電子署名を検証する
Adobe Acrobat や Adobe Reader では証明書リポジトリを独自に持って
おり、電子署名の検証に使う証明書については、Windows の証明書スト
アや LDAP サーバなどを参照することもできます。
適切な証明書を取り込んであり、取り込んだ証明書に対する信頼度の設
定も適切に行われているにも関わらず検証結果が無効と出る場合には、
PDF ファイルが改竄されている可能性が高いと判断することができます。
JPCERT/CC REPORT 2008-10-16
【今週のひとくちメモ】PDF (Portable Document Format) における電子署名
http://www.jpcert.or.jp/wr/2008/wr084001.html#Memo