Java Runtime Environment (JRE) に複数の脆弱性

JPCERT-WR-2009-4301 2009-11-11 2009-11-01 2009-11-07

Java Runtime Environment (JRE) に複数の脆弱性 US-CERT Current Activity Archive Sun Releases Update 17 for Java SE 6 http://www.us-cert.gov/current/archive/2009/11/06/archive.html#sun_releases_update_17_for DOE-CIRC Technical Bulletin T-267 Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment http://www.doecirc.energy.gov/bulletins/t-267.shtml

Java Runtime Environment (JRE) には、複数の脆弱性があります。結果として、遠隔の第三者が細工した Web ページを閲覧させることで認証を回避したり、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 16 およびそれ以前 - JDK/JRE 5.0 Update 21 およびそれ以前この問題は、Sun が提供する修正済みのバージョンに、該当する製品を更新することで解決します。なお、JDK/JRE 5.0 系列は、2009年10月30日でサポートを終了しています。今後修正プログラムは提供されません。後継のバージョンへの対応をおすすめします。

Sun Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u17.html Sun Alert 269868 The Java Update Mechanism on Non-English Versions Does Not Update the JRE When a New Version is Available http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1 Sun Alert 269869 Command Execution Vulnerability in the Java Runtime Environment Deployment Toolkit May be Leveraged to Execute Arbitrary Code http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1 Sun Alert 269870 Security Vulnerability in the Java Web Start Installer May be Leveraged to Allow Untrusted Java Web Start Application to Run As Trusted Application http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1 Sun Alert 270474 Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment With Processing Audio and Image Files May Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1 Sun Alert 270475 A Security Vulnerability in the Java Runtime Environment With Verifying HMAC Digests may Allow Authentication to be Bypassed http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1 Sun Alert 270476 Two Security Vulnerabilities in the Java Runtime Environment With Decoding DER Encoded Data and Parsing HTTP Headers may Result in a Denial of Service (DoS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1

Adobe Shockwave Player に複数の脆弱性 US-CERT Current Activity Archive Adobe Releases Update for Shockwave Player http://www.us-cert.gov/current/archive/2009/11/06/archive.html#adobe_releases_update_for_shockwave1

Adobe Shockwave Player には、複数の脆弱性があります。結果として遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任意のコードを実行する可能性があります。対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.2.601 およびそれ以前この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player を更新することで解決します。詳細については Adobe が提供する情報を参照してください。

Adobe Security Bulletin APSB09-16 Security updates available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb09-16.html

BlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性 US-CERT Current Activity Archive BlackBerry Desktop Manager Vulnerability http://www.us-cert.gov/current/archive/2009/11/06/archive.html#blackberry_desktop_manager_vulnerability DOE-CIRC Technical Bulletin T-265 BlackBerry Desktop Manager ActiveX Control Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-265.shtml

BlackBerry Desktop Manager ActiveX コントロールには、バッファオーバーフローの脆弱性があります。遠隔の第三者が細工した HTML 文書を閲覧させることで、該当する ActiveX コントロールを使用しているユーザの権限で任意のコードを実行する可能性があります。対象となるバージョンは以下のとおりです。 - BlackBerry Desktop Software 5.0 およびそれ以前この問題は、Research In Motion が提供する修正済みのバージョンに、 BlackBerry Desktop Software を更新することで解決します。詳細については、Research In Motion が提供する情報を参照してください。

Research In Motion - Security Advisory KB19701 Vulnerability in the BlackBerry Desktop Manager allows remote code execution http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19701

Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性 Japan Vulnerability Notes JVN#75694913 Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN75694913/index.html Japan Vulnerability Notes JVN#72974205 Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN72974205/index.html

Roundcube Webmail Project が提供する Web メールアプリケーション Roundcube Webmail には、クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がユーザの意図しない情報を登録したり、意図しないメールを送信したりする可能性があります。対象となるバージョンは以下の通りです。 - Roundcube Webmail 0.2.2 およびそれ以前この問題は、Roundcube Webmail Project が提供する修正済みのバージョンに Roundcube Webmail を更新することで解決します。

Roundcube Webmail Project The Roundcube project news http://roundcube.net/news Roundcube Webmail Project Downloading Roundcube webmail http://roundcube.net/download

Internet Week 2009 のお知らせ JPCERT/CC イベント情報 Internet Week 2009 https://www.jpcert.or.jp/event/internetweek2009.html

2009年11月24日(火) より 11月27日(金) まで、秋葉原コンベンションホールにおいて JPNIC 主催の Internet Week 2009 が開催されます。 Internet Week は、インターネットに関する技術の研究・開発、構築・運用・サービスに関わる人々が一堂に会し、主にインターネットの基盤技術の基礎知識や最新動向を学び、議論し、理解と交流を深めるためのイベントです。参加登録申込みについては、以下の Web ページをご参照ください。事前申込は 11月13日(金) 18:00 までとなっています。この期間にお申し込みいただきますと、事前割引料金でご参加いただけます。

Internet Week 2009 Internet Week 2009 お申し込みに関して https://internetweek.jp/apply/

マイクロソフトセキュリティインテリジェンスレポート第7版マイクロソフトは、2009年上半期の脆弱性やマルウエア動向についてまとめた、マイクロソフトセキュリティインテリジェンスレポートを 2009年11月2日に公開しています。セキュリティインテリジェンスレポートは、半年ごとに公開されており、今回は第7版の公開となります。今回のレポートでは OS のバージョン毎の違いによるウイルス感染率や、各地域で蔓延しているマルウエアの種別などが報告されています。また、悪用された脆弱性の半分以上は 2006年に対応された古いものであるなど、システム管理者にとっても有益な情報が掲載されています。レポート全文は英語のみでの公開となっていますが、要約版については日本語でも提供されています。マイクロソフトセキュリティホームマイクロソフトセキュリティインテリジェンスレポート http://www.microsoft.com/japan/security/contents/sir.mspx