2009年7月 Microsoft セキュリティ情報について

JPCERT-WR-2009-2801 2009-07-23 2009-07-12 2009-07-18

2009年7月 Microsoft セキュリティ情報について US-CERT Technical Cyber Security Alert TA09-195A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-195A.html US-CERT Cyber Security Alert SA09-195A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-195A.html DOE-CIRC Technical Bulletin T-184 Microsoft Monthly Updates http://www.doecirc.energy.gov/bulletins/t-184.shtml

Microsoft Windows、DirectShow、Virtual PC、Office Publisher、ISA Server および関連コンポーネントには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。詳細については、マイクロソフトが提供する情報を参照してください。この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを適用することで解決します。なお、セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT 2009-06-03【1】および JPCERT/CC WEEKLY REPORT 2009-07-15【1】で紹介した問題に対する解決策も含まれています。

2009 年 7 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx マイクロソフトセキュリティ情報 MS09-028 - 緊急 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971633) http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx マイクロソフトセキュリティ情報 MS09-029 - 緊急 Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (961371) http://www.microsoft.com/japan/technet/security/bulletin/ms09-029.mspx マイクロソフトセキュリティ情報 MS09-030 - 重要 Microsoft Office Publisher の脆弱性により、リモートでコードが実行される (969516) http://www.microsoft.com/japan/technet/security/bulletin/ms09-030.mspx マイクロソフトセキュリティ情報 MS09-031 - 重要 Microsoft ISA Server 2006 の脆弱性により、特権が昇格される (970953) http://www.microsoft.com/japan/technet/security/bulletin/ms09-031.mspx マイクロソフトセキュリティ情報 MS09-032 - 緊急 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973346) http://www.microsoft.com/japan/technet/security/bulletin/ms09-032.mspx マイクロソフトセキュリティ情報 MS09-033 - 重要 Virtual PC および Virtual Server の脆弱性により、特権が昇格する (969856) http://www.microsoft.com/japan/technet/security/bulletin/ms09-033.mspx Japan Vulnerability Notes JVNTA09-195A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA09-195A/index.html Japan Vulnerability Notes JVNTA09-187A Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNTA09-187A/index.html 独立行政法人情報処理推進機構セキュリティセンター Microsoft DirectShow の脆弱性(MS09-028)について http://www.ipa.go.jp/security/ciadr/vul/20090715-ms09-028.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-028,029,030,031,032,033)(7/15) http://www.cyberpolice.go.jp/important/2009/20090715_105545.html JPCERT/CC Alert 2009-07-15 2009年7月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090013.txt JPCERT/CC WEEKLY REPORT 2009-06-03 【1】Microsoft DirectShow に脆弱性 http://www.jpcert.or.jp/wr/2009/wr092101.html#1 JPCERT/CC WEEKLY REPORT 2009-07-15 【1】Microsoft Video ActiveX コントロールにバッファオーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2009/wr092701.html#1

Microsoft Office Web コンポーネントの ActiveX コントロールに脆弱性 US-CERT Vulnerability Note VU#545228 Microsoft Office Web Components Spreadsheet ActiveX control vulnerability http://www.kb.cert.org/vuls/id/545228 DOE-CIRC Technical Bulletin T-183 Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution http://www.doecirc.energy.gov/bulletins/t-183.shtml

Microsoft Office Web コンポーネントの ActiveX コントロールには、脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で任意のコードを実行する可能性があります。なお、本脆弱性を使用した攻撃活動が確認されています。対象となる製品は以下の通りです。 - Microsoft Office XP Service Pack 3 - Microsoft Office 2003 Service Pack 3 - Microsoft Office XP Web コンポーネント Service Pack 3 - Microsoft Office 2003 Web コンポーネント Service Pack 3 - 2007 Microsoft Office system Service Pack 1 用の Microsoft Office 2003 Web コンポーネント - Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3 - Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 - Microsoft Internet Security and Acceleration Server 2006 - Internet Security and Acceleration Server 2006 Supportability Update - Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 - Microsoft Office Small Business Accounting 2006 2009年7月22日現在、この問題に対するセキュリティ更新プログラムは提供されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インターネットゾーンで ActiveX コントロールを無効にするなどの方法があります。また、マイクロソフトは Office Web コンポーネントの ActiveX コントロールを無効にする回避策として「Fix it」を公開しています。詳細については、下記関連文書を参照してください。

マイクロソフトセキュリティアドバイザリ (973472) Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/973472.mspx マイクロソフトサポート技術情報 (973472) マイクロソフトセキュリティアドバイザリ: Microsoft Office Web コンポーネントコントロールの脆弱性により、リモートでコードが実行される http://support.microsoft.com/kb/973472/ja Japan Vulnerability Notes JVNVU#545228 Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性 https://jvn.jp/cert/JVNVU545228/index.html

2009年7月 Oracle Critical Patch Update について US-CERT Current Activity Archive Oracle Releases Critical Patch Update for July 2009 http://www.us-cert.gov/current/archive/2009/07/16/archive.html#oracle_releases_critical_patch_update7

Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。この問題は、Oracle が提供するパッチを該当する製品に適用することで解決します。詳細については Oracle が提供する情報を参照してください。なお、次回の Oracle Critical Patch Update は、2009年10月にリリースされる予定です。

Oracle internet Support Center [CPUJuly2009] Oracle Critical Patch Update Advisory - July 2009 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=135413 Oracle Technology Network Critical Patch Update - July 2009 http://www.oracle.com/technology/global/jp/security/090717_87/top.html Oracle Technology Network Oracle Critical Patch Update Advisory - July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Mozilla Firefox 3.5 に脆弱性 US-CERT Vulnerability Note VU#443060 Mozilla Firefox 3.5 TraceMonkey JavaScript engine uninitialized memory vulnerability http://www.kb.cert.org/vuls/id/443060 DOE-CIRC Technical Bulletin T-185 Two Remote Code Execution Vulnerabilities in Firefox http://www.doecirc.energy.gov/bulletins/t-185.shtml DOE-CIRC Technical Bulletin T-186 Mozilla Firefox 3.5 'Tracemonkey' Component Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-186.shtml

Mozilla Firefox 3.5 の JavaScript エンジンには、脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を処理させることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Firefox 3.5 この問題は、Mozilla が提供する修正済みのバージョンに、該当する製品を更新することで解決します。Mozilla からは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.5.1 詳細については、Mozilla 提供する情報を参照してください。

Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.1 - 2009/07/16 リリース http://mozilla.jp/firefox/3.5.1/releasenotes/ Japan Vulnerability Notes JVNVU#443060 Mozilla Firefox 3.5 に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU443060/index.html Mozilla Foundation Security Advisory 2009-41 Corrupt JIT state after deep return from native function http://www.mozilla.org/security/announce/2009/mfsa2009-41.html

ISC DHCP dhclient にバッファオーバーフローの脆弱性 US-CERT Vulnerability Note VU#410676 ISC DHCP dhclient stack buffer overflow http://www.kb.cert.org/vuls/id/410676

ISC DHCP dhclient には、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工したパケットを送信することで、DHCP クライアントが動作するシステムの root 権限で任意のコードを実行する可能性があります。対象となるバージョンは以下の通りです。 - ISC DHCP 4.1 系 - ISC DHCP 4.0 系 - ISC DHCP 3.1 系 - ISC DHCP 3.0 系 - ISC DHCP 2.0 系なお、ISC によると 3.0 系および 2.0 系はサポート対象外です。詳細については、ISC が提供する情報を参照してください。この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに DHCP クライアントを更新することで解決します。

Japan Vulnerability Notes JVNVU#410676 ISC DHCP dhclient におけるバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU410676/index.html Internet Systems Consortium DHCP Stack Overflow in 'dhclient' script_write_params() https://www.isc.org/node/468 Red Hat Security Advisory RHSA-2009:1136-1 Critical: dhcp security update https://rhn.redhat.com/errata/RHSA-2009-1136.html Red Hat Security Advisory RHSA-2009:1154-1 Critical: dhcp security update https://rhn.redhat.com/errata/RHSA-2009-1154.html Debian Security Advisory DSA-1833-1 dhcp3 -- several vulnerabilities http://www.debian.org/security/2009/dsa-1833.en.html

VMware ESX に複数の脆弱性 US-CERT Current Activity Archive VMware Releases Security Advisory VMSA-2009-0009 and Updates Security Advisory VMSA-2009-0008.1 http://www.us-cert.gov/current/archive/2009/07/16/archive.html#vmware_releases_security_advisory_vmsa3

VMware ESX には、複数の脆弱性があります。結果として、ローカルユーザが権限を昇格したり、遠隔の第三者が任意のコマンドを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - ESX 4.0.0 (ESX400-200906411-SG、ESX400-200906406-SG、 ESX400-200906407-SG 未適用のもの) この問題は、VMware が提供する修正済みのバージョンに VMware ESX を更新することで解決します。詳細については、VMware が提供する情報を参照してください。

VMware Security Advisories (VMSAs) VMSA-2009-0009 ESX Service Console updates for udev, sudo, and curl http://www.vmware.com/security/advisories/VMSA-2009-0009.html

Nagios にコマンドインジェクションの脆弱性 DOE-CIRC Technical Bulletin T-182 Nagios 'statuswml.cgi' Remote Arbitrary Shell Command Injection Vulnerability http://www.doecirc.energy.gov/bulletins/t-182.shtml

Nagios には、コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が細工したリクエストを処理させることで、任意のコマンドを実行する可能性があります。対象となるバージョンは以下のとおりです。 - Nagios 3.1.1 より前のバージョンこの問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに Nagios を更新することで解決します。

Debian セキュリティ勧告 DSA-1825-1 nagios2, nagios3 -- 入力の不十分な検証 http://www.debian.org/security/2009/dsa-1825.ja.html Nagios 3 Version History 3.1.1 - 06/22/2009 http://www.nagios.org/development/history/core-3x

XML 署名の検証に認証回避の問題 US-CERT Vulnerability Note VU#466161 XML signature HMAC truncation authentication bypass http://www.kb.cert.org/vuls/id/466161

XML 署名 (XMLDsig) には、HMAC truncation に起因する認証回避の問題があります。詳細については、下記関連文書を参照してください。

Japan Vulnerability Notes JVNVU#466161 XML 署名の検証において認証回避が可能な問題 https://jvn.jp/cert/JVNVU466161/index.html World Wide Web Consortium - Errata for XML Signature 2nd Edition E03: HMAC truncation (CVE-2009-0217) http://www.w3.org/2008/06/xmldsigcore-errata.html#e03 IBM Possible security exposure with XML digital signature with IBM WebSphere Application Server (PK80596 and PK80627) http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg21384925 Sun SECURITY BLOG US-CERT Vulnerability Note VU#466161 - XML signature HMAC truncation authentication bypass http://blogs.sun.com/security/entry/cert_vulnerability_note_vu_466161 Oracle Technology Network Oracle Critical Patch Update Advisory - July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

shiromuku(fs6)DIARY にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#31110006 shiromuku(fs6)DIARY におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN31110006/index.html

Perl CGI's By Mrs.Shiromuku のウェブ日記作成支援ソフトウェア shiromuku(fs6)DIARY には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下のとおりです。 - shiromuku(fs6)DIARY バージョン 2.40 およびそれ以前この問題は、配布元が提供する修正済みのバージョンに shiromuku(fs6)DIARY を更新することで解決します。

Perl CGI's By Mrs.Shiromuku shiromuku(fs6)DIARYをご利用の方へバージョンアップのお願い http://www.t-okada.com/cgi-bin/s_news/s_news.cgi?action=show_detail&txtnumber=log&mynum=345

「C/C++ セキュアコーディングハーフデイキャンプ 2009夏 part2」参加者募集のお知らせ JPCERT/CC C/C++ セキュアコーディングハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナー「C/C++ セキュアコーディングハーフデイキャンプ」を開催いたします。 7月16日に開催した part1 はおかげさまで定員を超えるご応募を頂きました。次回 part2 もふるってお申込み下さい。多くの方のご参加をお待ちしております。日時: part2 ＜ファイル入出力 part1,part2,part3＞ 2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階受講料: 無料定員: 80名

JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html

夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意マイクロソフトの 8月度のセキュリティ更新プログラムが 8月12日に予定されています。日本のお盆休みの時期に重なっており、業務上利用している PC の管理には注意が必要です。休み中に重要なセキュリティ更新プログラムがリリースされる可能性があります。休み明けには、新しいセキュリティ更新プログラムがリリースされていないか確認し、必要に応じてネットワークから隔離した状態でセキュリティ更新プログラムを適用することも検討してください。また、最近は多くのソフトウエアベンダも、セキュリティ更新プログラムを定期的にリリースするようになってきています。利用しているソフトウエアの情報を確認しましょう。 JPCERT/CC WEEKLY REPORT 2009-04-30 【今週のひとくちメモ】マイクロソフトセキュリティ更新プログラムの ISO イメージ http://www.jpcert.or.jp/wr/2009/wr091701.html#Memo