JPCERT-WR-2009-2101 2009-06-03 2009-05-24 2009-05-30

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/05/29/archive.html#microsoft_releases_security_advisory_971778 DOE-CIRC Technical Bulletin T-148 http://www.doecirc.energy.gov/bulletins/t-148.shtml

Microsoft DirectX に含まれる Microsoft DirectShow には、 QuickTime メディアファイルの処理に起因する脆弱性があります。結果 として、遠隔の第三者が細工した QuickTime メディアファイルを閲覧 させることで、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - 現在サポートされている Windows 2000, XP, Server 2003 で動作す る Microsoft DirectX 7.0 〜 9.0c なお、Windows Vista および Server 2008 で動作する DirectX 10 は 影響しません。 2009年6月2日現在、この問題に対するセキュリティ更新プログラムは提 供されていません。回避策としては、quartz.dll による QuickTime の 解析を無効化するなどの方法があります。詳細は Microsoft のアドバ イザリを参照してください。

マイクロソフト セキュリティ アドバイザリ (971778) http://www.microsoft.com/japan/technet/security/advisory/971778.mspx Microsoft Help and Support http://support.microsoft.com/kb/971778/en

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/05/29/archive.html#vmware_releases_security_advisory2

VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - VMware Workstation 6.5.1 およびそれ以前 - VMware Player 2.5.1 およびそれ以前 - VMware ACE 2.5.1 およびそれ以前 - VMware Server 2.0 - VMware Server 1.0.8 およびそれ以前 - VMware Fusion 2.0.1 およびそれ以前 - VMware ESXi 3.5 , パッチ ESXe350-200904402-T-BG 未適用の製品 - VMware ESX 3.5 , パッチ ESX350-200904401-BG 未適用の製品 - VMware ESX 3.0.3 , パッチ ESX303-200905401-SG 未適用の製品 - VMware ESX 3.0.2 , パッチ ESX-1008420 未適用の製品 - VMware ESX 2.5.5 , パッチ update patch 13 未適用の製品 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。

VMware Security Advisories VMSA-2009-0007 http://www.vmware.com/security/advisories/VMSA-2009-0007.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/05/29/archive.html#blackberry_security_advisory2 DOE-CIRC Technical Bulletin T-146 http://www.doecirc.energy.gov/bulletins/t-146.shtml

BlackBerry Attachment Service の PDF 生成機能には複数の脆弱性が あります。結果として、遠隔の第三者が細工した PDF ファイルを閲覧 させることで、Attachment Service を実行するサーバ上で任意のコー ドを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から 5.0 - BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4) この問題は、Research In Motion が提供する修正済みのバージョンに、 該当する製品を更新することで解決します。詳細については、Research In Motion が提供する情報を参照してください。

Research In Motion - Security Advisory KB18327 http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327

Japan Vulnerability Notes JVN#01115659 http://jvn.jp/jp/JVN01115659/index.html Japan Vulnerability Notes JVN#70836284 http://jvn.jp/jp/JVN70836284/index.html

MT312 の複数の製品には、クロスサイトスクリプティングの脆弱性があ ります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスク リプトを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - 含まれている "config.php" および "model.php" ファイルの日付が 2009年5月21日より前の携帯対応掲示板 REP-BBS (repbbs.lzh) - 含まれている "model.php" ファイルの日付が 2009年5月21日より前 の写メール掲示板 IMG-BBS (imgbbs.lzh) この問題は、MT312 が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。

MT312 http://www.mt312.com/script/11/ MT312 http://www.mt312.com/script/12/

Japan Vulnerability Notes JVN#57036470 http://jvn.jp/jp/JVN57036470/index.html

有限会社アドシステムズのＷｅｂ会議室予約 フリー（無料）版 leger には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - Ｗｅｂ会議室予約 フリー（無料）版 leger 2009年05月22日版 (Ver.1.6.4) およびそれ以前 この問題は、配布元が提供する修正済みのバージョンにＷｅｂ会議室予 約 フリー（無料）版 leger を更新することで解決します。

有限会社アドシステムズ http://www.ad2000.co.jp/service/index.html

2009年5月26日、マイクロソフトは Windows Vista および Server 2008 SP2 をリリースしました。これまでのセキュリティ更新プログラムのほ か、パフォーマンスの向上やいくつかの機能の追加などが提供されてい ます。 管理者の方は、業務アプリケーションが SP2 で正しく動作するかなど、 対応を確認してください。なお、互換性に問題がある場合などのために、 自動更新を一定の期間ブロックするブロッカーツールが提供されていま す。 Microsoft ダウンロードセンター http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&DisplayLang=ja Microsoft ダウンロードセンター http://www.microsoft.com/downloads/details.aspx?FamilyID=ec662f0f-4167-44e7-ba79-766679892ba2&DisplayLang=ja The Windows Blog http://windowsteamblog.com/blogs/windowsvista/archive/2009/05/26/windows-vista-and-windows-server-2008-sp2-rtw.aspx