JPCERT-WR-2009-4501 2009-11-26 2009-11-15 2009-11-21

マイクロソフト セキュリティ アドバイザリ(977981) http://www.microsoft.com/japan/technet/security/advisory/977981.mspx

Microsoft Internet Explorer には脆弱性があります。結果として遠隔 の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Internet Explorer 6 - Microsoft Internet Explorer 7 なお、Internet Explorer 5.01 SP4 及び Internet Explorer 8 はこの 問題の影響を受けません。 2009年11月25日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。回避策としては、Windows のデータ実行防止 (DEP) 機能を有効にする、アクティブスクリプトを無効にするなどの方 法があります。詳細はマイクロソフトのアドバイザリを参照してくださ い。

Japan Vulnerability Notes JVNVU#515749 http://jvn.jp/cert/JVNVU515749/index.html US-CERT Vulnerability Note VU#515749 http://www.kb.cert.org/vuls/id/515749 Microsoft Help and Support http://support.microsoft.com/kb/977981/en-us/

VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2009/000070.html

VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意 のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware vCenter Server 4.0 (Update 1 より前のバージョン) - VMware ESXi 4.0 (ESXi400-200911201-UG 未適用のもの) - VMware ESX 4.0 (ESX400-200911201-UG、ESX400-200911223-UG、 ESX400-200911232-SG、ESX400-200911233-SG、ESX400-200911234-SG、 ESX400-200911235-SG、ESX400-200911237-SG、ESX400-200911238-SG 未適用のもの) - VMware vMA 4.0 (patch 02 より前のバージョン) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細については、VMware が提供する情報を参照してく ださい。

DOE-CIRC Technical Bulletin T-272 http://www.doecirc.energy.gov/bulletins/t-272.shtml

Google Chrome には、脆弱性があります。結果として、遠隔の第三者が、 攻撃を意図したリンクをユーザにクリックさせることで、ユーザの権限 で任意のコードを実行したり、ブラウザをクラッシュさせたりする可能 性があります。 対象となるバージョンは以下の通りです。 - Google Chrome 3.0.195.32 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョ ンに更新することで解決します。

Google Chrome Releases http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html chromium http://code.google.com/p/chromium/issues/detail?id=22205

Japan Vulnerability Notes JVN#01245481 https://jvn.jp/jp/JVN01245481/index.html Japan Vulnerability Notes JVN#87341298 https://jvn.jp/jp/JVN87341298/index.html

オープンソースのプロジェクト管理ソフトウェア Redmine には、複数 の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ 上で任意のスクリプトを実行したり、ログインしているユーザに、細工 した Web ページを読み込ませることで Redmine のデータの改ざんを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Redmine 0.8.5 およびそれ以前 この問題は、Redmine を修正済みのバージョンに更新することで解決し ます。なお、Redmine の開発元では、別の脆弱性を修正した Redmine 0.8.7 を公開しています。

Redmine http://www.redmine.org/news/29 Redmine http://www.redmine.org/news/30 Redmine http://www.redmine.org/wiki/redmine/Changelog Redmine http://www.redmine.org/wiki/redmine/Changelog

JPCERT/CC イベント情報 https://www.jpcert.or.jp/event/securityday2009.html

2009年12月16日(水) 13時 (開場12時30分) より工学院大学 (新宿キャ ンパス) において SecurityDay2009 (JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、JCAF 主催) が開催されます。 SecurityDay2009 では、情報セキュリティに関わる方を対象に参加者と 一緒に議論をするパネルディスカッションによって、情報提供、情報共 有をする場として考えています。今回扱うテーマは、古くて新しい問題 であり、すぐには結論が出せないものもありますが、このような問題に 正面から向き合い、参加者全員の意識の共有を行い、どこがクリティカ ルポイントで、どのような対応が考えられるのか、課題は何か、等々に ついて忌憚の無い意見交換を行い、次の時代を造るきっかけにしたいと 考えています。 参加費は無料ですが、事前参加申込みが必要です。事前参加申込みは、 JNSA 提供のサイトからお申し込みいただけます。

SecurityDay2009 http://securityday.jp/ SecurityDay2009 http://securityday.jp/?register NPO日本ネットワークセキュリティ協会 https://www.jnsa.org/seminar/2009/1216/entry.html

Apple Mac OS X のセキュリティアップデートは、多くの場合、最新お よびひとつ前のバージョンを対象としています。例えば、前回の Weekly Report でご紹介したセキュリティアップデートは Mac OS X 10.6 および 10.5 を対象としており、Mac OS X 10.4 は対象外となっ ています。 現在のところ Apple 社からは、セキュリティアップデートの提供ポリ シーに関する情報は公開されていません。 Mac OS X のシステムを運用する場合には、使用しているソフトウエア のバージョンを確認し、セキュリティアップデートはすみやかに適用で きるように、運用体制を整えることをお勧めします。 Apple http://support.apple.com/kb/HT1222?viewlocale=ja_JP