JPCERT-WR-2009-2901 2009-07-29 2009-07-19 2009-07-25

US-CERT Technical Cyber Security Alert TA09-204A http://www.us-cert.gov/cas/techalerts/TA09-204A.html US-CERT Vulnerability Note VU#259425 http://www.kb.cert.org/vuls/id/259425 DOE-CIRC Technical Bulletin T-191 http://www.doecirc.energy.gov/bulletins/t-191.shtml

複数の Adobe 製品には Flash に起因する脆弱性があります。結果とし て、遠隔の第三者が細工した HTML 文書または PDF ファイルを閲覧さ せることで、任意のコードを実行する可能性があります。なお、本脆弱 性を使用した攻撃活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 9.0.159.0 およびそれ以前 - Adobe Flash Player 10.0.22.87 およびそれ以前 - Adobe Reader および Acrobat 9.1.2 およびそれ以前 Adobe によると Flash サポートが搭載されている他の Adobe 製品も影 響を受ける可能性があります。 2009年7月28日現在、この問題に対する解決策は提供されていません。 なお、Adobe によると、Flash Player は、米国時間 2009年7月30日、 Reader と Acrobat については、7月31日に対策版を提供するとのこと です。 回避策としては、Flash プラグインを無効にするなどの方法があります。 詳細については、Adobe が提供する情報を参照してください。

Japan Vulnerability Notes JVNTA09-204A https://jvn.jp/cert/JVNTA09-204A/index.html Japan Vulnerability Notes JVNVU#259425 https://jvn.jp/cert/JVNVU259425/index.html Adobe Security Bulletin APSA09-03 http://www.adobe.com/support/security/advisories/apsa09-03.html Adobe TechNote http://kb2.adobe.com/cps/141/tn_14157.html

Mozilla Developer News https://developer.mozilla.org/devnews/index.php/2009/07/21/firefox-3-0-12-security-and-stability-release-now-available/

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.0 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.12 なお、Firefox 3.5.1 は本脆弱性の影響を受けません。 2009年7月28日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。

Firefox 3.0 セキュリティアドバイザリ http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12

DOE-CIRC Technical Bulletin T-189 http://www.doecirc.energy.gov/bulletins/t-189.shtml

Cisco Unified Contact Center Express (Cisco Unified CCX) サーバ には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報 を取得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品は以下の通りです。 - 以下の製品が動作する Cisco Unified CCX サーバ - Cisco Customer Response Solution (CRS) 3.x、4.x、5.x、6.x、7.x - Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) 3.x、4.x、5.x、6.x、7.x - Cisco Unified CCX 4.x、5.x、6.x、7.x - Cisco Unified IP Contact Center Express 3.x、5.x、6.x、7.x - Cisco Customer Response Applications 3.x - Cisco IP Queue Manager (IP QM) 3.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified CCX サーバを更新することで解決します。

Cisco Security Advisory 110307 http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 先週もお知らせしましたが、「C/C++ セキュアコーディングハーフデイ キャンプ」part2 は 8月7日に開催予定です。奮ってお申し込み下さい。 日時: part2 ＜ファイル入出力 part1,part2,part3＞ 2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-application.html

Java JDK/JRE を更新した際、古いバージョンが削除されずにインストー ルされたままになっている場合があります (例えば Windows 版など)。 そのまま放置しておくと、古いバージョンにある脆弱性を攻撃に悪用さ れる可能性があります。更新作業を行なったら、コントロールパネルや ブラウザの設定画面から、JDK/JRE のどのバージョンが使える状態であ るかを確認し、古いバージョンは可能なかぎり速やかに削除しましょう。 Java テクノロジ FAQ http://java.com/ja/download/faq/remove_olderversions.xml Java ヘルプセンター http://java.com/ja/download/help/5000012100.xml Java ヘルプセンター http://java.com/ja/download/help/uninstall_java.xml JPCERT/CC REPORT 2009-02-25 http://www.jpcert.or.jp/wr/2009/wr090801.html#Memo