JPCERT-WR-2009-24012009-06-242009-06-142009-06-20Java for Mac OS X に複数の脆弱性US-CERT Current Activity ArchiveApple Releases Java Updates for Mac OS X 10.4 and 10.5http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_java_updates_for1DOE-CIRC Technical Bulletin T-164Sun Java Runtime Environment Aqua Look and Feel Privilege Escalation Vulnerabilityhttp://www.doecirc.energy.gov/bulletins/t-164.shtml
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは以下のとおりです。
- Java for Mac OS X 10.5 Update 4 より前のバージョン
- Java for Mac OS X 10.4 Release 9 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。JPCERT/CC REPORT 2009-04-01【2】Java Runtime Environment (JRE) に複数の脆弱性https://www.jpcert.or.jp/wr/2009/wr091301.html#2Apple Support HT3632About the security content of Java for Mac OS X 10.5 Update 4http://support.apple.com/kb/HT3632?viewlocale=en_USApple Support HT3633About the security content of Java for Mac OS X 10.4 Release 9http://support.apple.com/kb/HT3633?viewlocale=en_USApple Support DownloadJava for Mac OS X 10.5 Update 4http://support.apple.com/downloads/Java_for_Mac_OS_X_10_5_Update_4Apple Support DownloadJava for Mac OS X 10.4, Release 9http://support.apple.com/downloads/Java_for_Mac_OS_X_10_4__Release_9iPhone OS に複数の脆弱性US-CERT Current Activity ArchiveApple Releases iPhone OS 3.0http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_iphone_os_3
iPhone OS には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。
対象となるバージョンは以下のとおりです。
- iPhone OS 1.0 から 2.2.1 まで
- iPhone OS for iPod touch 1.1 から 2.2.1 まで
この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。Apple Support HT3639iPhone OS 3.0 ソフトウェアアップデートのセキュリティコンテンツについてhttp://support.apple.com/kb/HT3639?viewlocale=ja_JPJapan Vulnerability Notes JVN#87239696iPhone OS におけるサービス運用妨害 (DoS) の脆弱性http://jvn.jp/jp/JVN87239696/index.html独立行政法人 情報処理推進機構 セキュリティセンター「iPhone OS」におけるセキュリティ上の弱点(脆弱性)の注意喚起http://www.ipa.go.jp/security/vuln/documents/2009/200906_iphone.htmlFoxit Reader に複数の脆弱性US-CERT Vulnerability Note VU#251793Foxit Reader contains multiple vulnerabilities in the processing of JPX datahttp://www.kb.cert.org/vuls/id/251793
Foxit Software の Foxit Reader には、JPX (JPEG2000) ストリームの
処理に起因する複数の脆弱性があります。結果として、遠隔の第三者が
細工した PDF 文書を閲覧させることで、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
JPEG2000 / JBIG Decoder アドオンがインストールされていなければ、
この問題の影響は受けません。
対象となるバージョンは以下のとおりです。
- Foxit Reader 3.0 Build 1817 より前のバージョン
この問題は、Foxit Software が提供する修正済みのバージョンに Foxit
Reader を更新することで解決します。Foxit SoftwareTwo Security Vulnerabilities Fixed in Foxit Reader 3.0 and JPEG2000/JBIG2 Decoderhttp://www.foxitsoftware.com/pdf/reader/security.htm#0602XOOPS マニアの PukiWikiMod にクロスサイトスクリプティングの脆弱性Japan Vulnerability Notes JVN#12244807XOOPS マニア製 PukiWikiMod におけるクロスサイトスクリプティングの脆弱性http://jvn.jp/jp/JVN12244807/index.html
XOOPS マニアの PukiWikiMod には、クロスサイトスクリプティングの
脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で
任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下のとおりです。
- PukiWikiMod 1.6.6.2 およびそれ以前
この問題は、XOOPS マニアが提供する修正済みのバージョンに
PukiWikiMod を更新することで解決します。XOOPS マニアVer 1.6.7 XSS脆弱性の修正http://xoops.hypweb.net/wiki/6005.html「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏」参加者募集のお知らせJPCERT/CCC/C++ セキュアコーディング ハーフデイキャンプのご案内https://www.jpcert.or.jp/event/half-day_Camp-seminar.html
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を前回と同じく、全3回コースにて開催いたします。
このセミナーはソフトウエア等の脆弱性対策に関する事業の一環として
開催しており、一人でも多くのプログラム開発者の方々に受講していた
だけるよう、今年も参加費を無料としております。
第1回は 2009年7月16日開催予定です。
日時: part1 <文字列・整数>
2009年7月16日 (木) 13:00〜18:00 (受付 12:30〜)
会場: 株式会社インターネットイニシアティブ 大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員: 80名
JPCERT/CCC/C++セキュアコーディングハーフデイキャンプお申し込みhttps://www.jpcert.or.jp/event/half-day_Camp-application.htmlIT セキュリティ予防接種調査報告書公開JPCERT/CCIT セキュリティ予防接種実施調査報告書 概要https://www.jpcert.or.jp/research/2009/inoculation-summary_20090619.pdfJPCERT/CCIT セキュリティ予防接種実施調査報告書https://www.jpcert.or.jp/research/2009/inoculation_20090619.pdf
これまで JPCERT/CC では、企業や地方公共団体に対し、電子メールに
起因する脅威への適切な対応をおこなうための訓練「IT セキュリティ
予防接種」を実施してきました。
のべ約 2600人に予防接種を実施した結果から、企業の組織形態や従業
員の属性に応じ効果を高める実施方法を考察し、報告書にとりまとめま
した。セキュリティ教育の一環としてご活用ください。JPCERT/CC標準的攻撃対策手法に関する調査報告書https://www.jpcert.or.jp/research/2008/inoculation_200808.pdfJPCERT/CC標的型攻撃についての調査https://www.jpcert.or.jp/research/2007/targeted_attack.pdfUSB メモリ経由の感染機能を持つマルウエア調査報告書公開JPCERT/CCUSB メモリ経由の感染機能を持つマルウエア調査報告書https://www.jpcert.or.jp/research/2009/usbmalware_20090619.pdf
近年、USB メモリをはじめとするリムーバブルメディアを経由して感染
を広げるマルウエアが観測されるようになりました。
2008年末頃から世界的に話題となった Downad (あるいは Conficker、
Kido) と呼ばれるマルウエアも、変化の過程でリムーバブルメディアを
経由して感染する手段を持ち、さらに感染を広げてきたと言われていま
す。
このようなリムーバブルメディアを経由して感染するマルウエアの特徴
や被害実態を、事例や分析結果の紹介をまじえて調査報告書にまとめま
した。リムーバブルメディアの安全な運用を検討する際の参考にしてく
ださい。Linuxサーバー構築標準教科書 (Ver1.0.1)
特定非営利活動法人エルピーアイジャパンは「Linuxサーバー構築標準
教科書(Ver1.0.1)」を公開しました。
このドキュメントは Linux 技術者教育に使われることを想定し、Linux
初心者が実際に Linux を導入して Web サーバやメールサーバの設定を
行って動作を理解するためのテキストです。設定などを含めてステップ
バイステップで記述されているので、Linux 初心者にとって、サーバの
設定を行い、動作を理解する上ではよい参考になるでしょう。
実際にインターネットで利用するサーバの構築については、各サーバの
動作を理解した後、このドキュメントでは省略されているセキュリティ
の設定を行い、公開前にセキュリティ上の問題がないかテストを行いま
しょう。また、公開後も情報収集を継続し、必要な対策を講じていくこ
とが重要です。特定非営利活動法人エルピーアイジャパン『Linuxサーバー構築標準教科書』開発プロジェクトhttp://www.lpi.or.jp/linuxservertext/日本の Linux 情報Linux 関連リンク/セキュリティhttp://www.linux.or.jp/link/security.html