JPCERT-WR-2009-2301
2009-06-17
2009-06-07
2009-06-13
2009年6月 Microsoft セキュリティ情報について
Microsoft Windows、Office、Internet Explorer および関連コンポー
ネントには、複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、権限を昇格したりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC WEEKLY REPORT 2009-05-27【1】で紹介した問題に
対する解決策も含まれています。
2009 年 6 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx
マイクロソフト セキュリティ情報 MS09-018 - 緊急
Active Directory の脆弱性により、リモートでコードが実行される (971055)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-018.mspx
マイクロソフト セキュリティ情報 MS09-019 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-019.mspx
マイクロソフト セキュリティ情報 MS09-020 - 重要
インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-020.mspx
マイクロソフト セキュリティ情報 MS09-021 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-021.mspx
マイクロソフト セキュリティ情報 MS09-022 - 緊急
Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-022.mspx
マイクロソフト セキュリティ情報 MS09-023 - 警告
Windows サーチの脆弱性により、情報漏えいが起こる (963093)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-023.mspx
マイクロソフト セキュリティ情報 MS09-024 - 緊急
Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-024.mspx
マイクロソフト セキュリティ情報 MS09-025 - 重要
Windows カーネルの脆弱性により、特権が昇格される (968537)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-025.mspx
マイクロソフト セキュリティ情報 MS09-026 - 重要
RPC の脆弱性により、特権が昇格される (970238)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-026.mspx
マイクロソフト セキュリティ情報 MS09-027 - 緊急
Microsoft Office Word の脆弱性により、リモートでコードが実行される (969514)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-027.mspx
Japan Vulnerability Notes JVN#70858401
Microsoft Works コンバーターにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN70858401/index.html
Japan Vulnerability Notes JVNTA09-160A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-160A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
「Microsoft Works コンバーター」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200906_msworks.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-018,019,020,021,022,023,024,025,026,027)
http://www.cyberpolice.go.jp/important/2009/20090610_121329.html
JPCERT/CC Alert 2009-06-10
2009年6月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090011.txt
JPCERT/CC WEEKLY REPORT 2009-05-27
【1】Microsoft IIS の WebDAV 機能に脆弱性
http://www.jpcert.or.jp/wr/2009/wr092001.html#1
Adobe Reader および Acrobat に複数の脆弱性
Adobe Reader および Acrobat には、複数の脆弱性があります。結果と
して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ
とで、アプリケーションをクラッシュさせたり、任意のコードを実行し
たりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 9.1.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 8.1.5 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 7.1.2 およびそれ以前
また、PDF ファイルを閲覧するためのプラグインも影響を受ける可能性
があります。
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。
Japan Vulnerability Notes JVNTA09-161A
Adobe Reader および Acrobat における脆弱性
http://jvn.jp/cert/JVNTA09-161A/index.html
Japan Vulnerability Notes JVNVU#568153
Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性
http://jvn.jp/cert/JVNVU568153/index.html
@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2009/20090610_122253.html
Adobe Security Bulletin APSB09-07
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-07.html
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、機密情報を取得したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.11
2009年6月16日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.11 - 2009/06/11 リリース
http://mozilla.jp/firefox/3.0.11/releasenotes/
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Red Hat Security Advisory RHSA-2009:1095-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1095.html
Red Hat Security Advisory RHSA-2009:1096-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1096.html
Safari に複数の脆弱性
Safari には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、権限を昇格したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Safari 4.0 より前のバージョン (Mac OS X 版、Windows 版)
この問題は、Apple が提供する修正済みのバージョン Safari 4.0 に更
新することで解決します。詳細については、Apple が提供する情報を参
照してください。
Apple Support HT3613
Safari 4.0 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3613?viewlocale=ja_JP
Apple Support Download
Safari 4
http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP
Ruby にサービス運用妨害の脆弱性
Ruby の標準ライブラリには、脆弱性があります。 結果として、遠隔の
第三者がサービス運用妨害 (DoS) 攻撃を行なう可能性があります。
対象となるバージョンは以下の通りです。
- 1.8.6-p368 およびそれ以前のバージョン
- 1.8.7-p160 およびそれ以前のバージョン
Ruby on Rails が使用している ActiveRecord ライブラリに影響がある
ため、多くの Rails アプリケーションはこの脆弱性の影響を受けます。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。
Riding Rails
DoS Vulnerability in Ruby
http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby
eBay Enhanced Picture Uploader ActiveX コントロールに脆弱性
eBay Enhanced Picture Uploader ActiveX コントロールには、脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで、そのユーザの権限で任意のコマンドを実行する可
能性があります。
対象となるバージョンは以下の通りです。
- eBay Enhanced Picture Uploader ActiveX コントロール 1.0.27
より前のバージョン
この問題は、eBay が提供する修正済みのバージョンに eBay Enhanced
Picture Uploader ActiveX コントロールを更新することで解決します。
詳細については、eBay が提供する情報を参照してください。
eBay Special Alert
eBay Enhanced Picture Services ActiveX Control Update
http://pages.ebay.com/securitycenter/activex/index.html
Microsoft TechNet
Microsoft Security Advisory (969898) Update Rollup for ActiveX Kill Bits
http://www.microsoft.com/technet/security/advisory/969898.mspx
A51 D.O.O. の activeCollab にクロスサイトスクリプティングの脆弱性
A51 D.O.O. のプロジェクト管理ソフトウェア activeCollab のログイ
ン画面には、クロスサイトスクリプティングの脆弱性があります。結果
として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。
対象となるバージョンは以下の通りです。
- activeCollab 0.7.1 およびそれ以前
A51 D.O.O. の情報によると、activeCollab 0.x 系は開発およびサポー
トが終了しています。A51 D.O.O. は、activeCollab 2.1 への移行を推
奨しています。詳しくは A51 D.O.O. が提供する情報を参照してくださ
い。
A51 D.O.O.
activeCollab
http://www.activecollab.com/
A51 D.O.O.
activeCollab 2.1.2
http://www.activecollab.com/docs/manuals/admin/release-notes/activecollab-2-1-2
A51 D.O.O.
Upgrading to activeCollab 2.1.2
http://www.activecollab.com/docs/manuals/admin/upgrade/activecollab-2-1
JPCERT/CC PGP 鍵更新のお知らせ
JPCERT/CC は、2009年6月18日に PGP 鍵の更新を行います。JPCERT/CC
WEEKLY REPORT についても、今後は新しい鍵で署名して配信します。
新しい公開鍵については、下記関連文書の URL から入手してください。
JPCERT/CC
PGP 公開鍵
https://www.jpcert.or.jp/jpcert-pgp.html
Windows 2000 延長サポート期間の終了について
Microsoft は Windows 2000 の延長サポートを 2010年7月13日に終了し
ます。延長サポート終了後は新たなセキュリティの問題について修正は
行われません。
1年後のサポート終了に備え、Windows 2000 のクライアントやサーバ製
品が存在していないか確認し、サポートが提供される製品への移行を計
画的に行いましょう。
2009年10月中旬には Windows 7 や Windows Server 2008 R2 のリリー
スが予定されています。
Microsoft サポートオンライン
プロダクト サポート ライフサイクル - 製品一覧
http://support.microsoft.com/gp/lifeselect
Microsoft サポートオンライン
マイクロソフトプロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?p1=3071
Microsoft サポートオンライン
マイクロソフトプロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?p1=7274