JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2009 > Weekly Report 2009-04-30号

最終更新: 2009-04-30

Weekly Report 2009-04-30号


JPCERT-WR-2009-1701
JPCERT/CC
2009-04-30

<<< JPCERT/CC WEEKLY REPORT 2009-04-30 >>>

■04/19(日)〜04/25(土) のセキュリティ関連情報

目 次

【1】Mozilla 製品群に複数の脆弱性

【2】Movable Type にクロスサイトスクリプティングの脆弱性

【3】「新入社員等研修向け情報セキュリティマニュアル」公開のお知らせ

【今週のひとくちメモ】マイクロソフトセキュリティ更新プログラムの ISO イメージ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091701.txt
https://www.jpcert.or.jp/wr/2009/wr091701.xml

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.9
http://www.us-cert.gov/current/archive/2009/04/23/archive.html#mozilla_foundation_releases_firefox_32

DOE-CIRC Technical Bulletin T-115
Multiple Vulnerabilities in Firefox, Thunderbird and Seamonkey
http://www.doecirc.energy.gov/bulletins/t-115.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書または 
XML 文書を処理させることで任意のコードを実行したり、ユーザのブラ
ウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.10

なお、この問題の対策として、Firefox 3.0.9 がリリースされましたが、
一部問題があり Firefox 3.0.10 が公開されています。また、2009年4
月28日現在、Thunderbird および SeaMonkey の修正プログラムは提供
されていません。詳細については、OS のベンダや配布元が提供する情
報を参照してください。

関連文書 (日本語)

Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.10 - 2009/04/27 リリース
http://mozilla.jp/firefox/3.0.10/releasenotes/

Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)

Red Hat Security Advisory RHSA-2009:0436-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0436.html

Red Hat Security Advisory RHSA-2009:0437-2
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0437.html

【2】Movable Type にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#97248625
Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN97248625/index.html

概要

Movable Type には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 4.24 (Professional Pack、Community Pack を同梱)
- Movable Type Commercial 4.24 (Professional Pack を同梱)
- Movable Type 4.24 Enterprise
- Movable Type 4.24 (Open Source)

また、以下の環境でグローバルテンプレートの初期化が行われていない
場合、本脆弱性の影響を受けます。

- Movable Type 4.25 (Movable Type 4.24 (Professional Pack,
  Community Pack を同梱) からアップグレードした環境)
- Movable Type 4.25 (Movable Type 4.24 Enterprise からアップグレー
  ドした環境) 

この問題は、シックス・アパートが提供する修正済みのバージョンに 
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。

関連文書 (日本語)

シックス・アパート
Movable Type 4.24 でのセキュリティ上の問題について
http://www.movabletype.jp/blog/security-info_mt424.html

【3】「新入社員等研修向け情報セキュリティマニュアル」公開のお知らせ

情報源

JPCERT Coordination Center
新入社員等研修向け情報セキュリティマニュアル
http://www.jpcert.or.jp/magazine/security/newcomer.html

概要

2009年4月24日、JPCERT/CC は「新入社員等研修向け情報セキュリティ
マニュアル」を公開しました。

本文書は、企業や組織の教育担当者や情報セキュリティ担当者に向けて、
新入社員等に対して情報セキュリティに関する知識を教える際のガイド
ライン、研修資料のベースとなるような情報やトピックをまとめたもの
です。

関連文書 (日本語)

JPCERT Coordination Center セキュリティ対策講座
新入社員等研修向け情報セキュリティマニュアル
http://www.jpcert.or.jp/magazine/security/newcomer_20090424.pdf

■今週のひとくちメモ

○マイクロソフトセキュリティ更新プログラムの ISO イメージ

マイクロソフト製品のセキュリティ更新プログラムは Windows Update 
などを通じて配布されていますが、これとは別に、ISO-9660 DVD5 イメー
ジファイルとしても提供されています。このイメージファイルは月毎に
まとめられており、すべてのアーキテクチャ・各国語版のセキュリティ
更新プログラムが含まれています。

インターネットに接続していない PC に対してセキュリティ更新プログ
ラムを適用する際など、このイメージファイルを利用することで、必要
なセキュリティ更新プログラムを一括して入手することが可能です。

実際の ISO イメージファイルの入手については下記関連文書の URL を
参照してください。最新版を入手したい場合は、英語ページを参照して
ください。

参考文献 (日本語)

Microsoft サポートオンライン
Microsoft ダウンロード センターで入手できる、ISO-9660 DVD5 イメージ ファイル形式のセキュリティ更新プログラム
http://support.microsoft.com/default.aspx?scid=kb;ja;913086

参考文献 (英語)

Microsoft Help and Support
Security updates are available on ISO-9660 DVD5 image files from the Microsoft Download Center
http://support.microsoft.com/default.aspx?scid=kb;en;913086

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ