JPCERT-WR-2009-1601
2009-04-22
2009-04-12
2009-04-18
2009年4月 Microsoft セキュリティ情報について
US-CERT Technical Cyber Security Alert TA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-104A.html
US-CERT Cyber Security Alert SA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-104A.html
Microsoft Windows、Windows Server、Office、ISA Server および関連
コンポーネントには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx
マイクロソフト セキュリティ情報 MS09-009 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx
マイクロソフト セキュリティ情報 MS09-010 - 緊急
ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx
マイクロソフト セキュリティ情報 MS09-011 - 緊急
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx
マイクロソフト セキュリティ情報 MS09-012 - 重要
Windows の脆弱性により、特権が昇格される (959454)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx
マイクロソフト セキュリティ情報 MS09-013 - 緊急
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx
マイクロソフト セキュリティ情報 MS09-014 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx
マイクロソフト セキュリティ情報 MS09-015 - 警告
SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-015.mspx
マイクロソフト セキュリティ情報 MS09-016 - 重要
Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-016.mspx
Japan Vulnerability Notes JVNTA09-104A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-104A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Excel の脆弱性(MS09-009)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-009.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft ワードパッドおよび Office テキストコンバーターの脆弱性(MS09-010)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-010.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows の特権昇格の脆弱性(MS09-012)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-012.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016)
http://www.cyberpolice.go.jp/important/2009/20090415_111614.html
JPCERT/CC Alert 2009-04-15
2009年4月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090007.txt
2009年4月 Oracle Critical Patch Update について
US-CERT Technical Cyber Security Alert TA09-105A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-105A.html
DOE-CIRC Technical Bulletin T-111
Oracle April 2009 Critical Patch Update
http://www.doecirc.energy.gov/bulletins/t-111.shtml
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。
なお、次回の Oracle Critical Patch Update は、2009年7月にリリー
スされる予定です。
Oracle internet Support Center
[CPUApril2009] Oracle Critical Patch Update Advisory - April 2009
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=133019
Oracle Technology Network
Critical Patch Update - April 2009
http://www.oracle.com/technology/global/jp/security/090417_86/top.html
Japan Vulnerability Notes JVNTA09-105A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-105A/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
Xpdf と poppler に複数の脆弱性
US-CERT Vulnerability Note VU#196617
Xpdf and poppler contain multiple vulnerabilities in the processing of JBIG2 data
http://www.kb.cert.org/vuls/id/196617
Xpdf、および Xpdf に基づくコードが含まれている poppler には、
JBIG2 データの処理にかかわる複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF 文書を閲覧させることで、PDF 閲覧ソフ
トウェアをクラッシュさせたり、任意のコードを実行したりする可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- Xpdf 3.02pl2 およびそれ以前
- poppler 0.10.5 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#196617
Xpdf および poppler の JBIG2 データの処理における複数の脆弱性
http://jvn.jp/cert/JVNVU196617/index.html
Glyph & Cog, LLC
Xpdf 3.02pl3 was released 2009-apr-16
http://www.foolabs.com/xpdf/download.html
Poppler
Poppler 0.10 Releases - poppler-0.10.6.tar.gz (Thu Apr 16, 2009)
http://poppler.freedesktop.org/releases.html
Red Hat Security Advisory RHSA-2009:0429-1
Important: cups security update
https://rhn.redhat.com/errata/RHSA-2009-0429.html
Red Hat Security Advisory RHSA-2009:0431-1
Important: kdegraphics security update
https://rhn.redhat.com/errata/RHSA-2009-0431.html
Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性
US-CERT Vulnerability Note VU#789121
Microsoft Whale Intelligent Application Gateway Whale Client Components ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/789121
Microsoft Whale Intelligent Application Gateway の Whale Client
Components ActiveX コントロールには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲
覧させることで、そのユーザの権限で任意のコードを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- Microsoft Intelligent Application Gateway 3.7 SP2 より前のバー
ジョン
この問題は、マイクロソフトが提供する修正済みのバージョンに
Microsoft Intelligent Application Gateway を更新することで解決し
ます。
Microsoft Technet Library
Intelligent Application Gateway (IAG) 2007 Service Pack 2 release notes
http://technet.microsoft.com/en-us/library/dd282918.aspx
Microsoft Download Center
Microsoft Whale Communications Intelligent Application Gateway 2007 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=e69dfd1d-d333-4c27-9246-279ada224317&displaylang=en
LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性
Japan Vulnerability Notes JVN#82744714
LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN82744714/index.html
LovPop.net の apricot.php には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。
対象となる製品は以下の通りです。
- apricot.php
なお、apricot.php は 2009年3月19日をもって、公開およびメンテナン
スを終了しています。引き続きアクセスログ解析を行う場合は、同等の
機能が実装された他製品の使用を推奨します。
LovPop.net
無料アクセス解析プログラム ─ apricot.php 1.20
http://www.lovpop.net/apricot/
Windows XP メインストリームサポート終了
2009年4月14日(米国時間)、Windows XP のメインストリームサポート期
間が終了し、延長サポート期間となりました。今後、延長サポート期間
中はセキュリティ更新プログラムサポートは継続されますが、セキュリ
ティ関連以外の機能拡張などは提供されません。Windows XP の延長サ
ポート期間は、2014年4月までの予定です。
マイクロソフト製品のビジネス、開発用ソフトウェアのサポートは「メ
インストリームサポート」、「延長サポート」のふたつのフェーズで提
供されています。サポートサイクルのポリシーの詳細については、下記
関連文書を参照してください。
Microsoft
Windows XP メインストリームサポートの終了
http://www.microsoft.com/japan/windows/products/windowsxp/future.mspx
Microsoft サポート オンライン
マイクロソフト サポート ライフサイクル
http://support.microsoft.com/gp/lifecycle