JPCERT-WR-2009-4901
2009-12-24
2009-12-13
2009-12-19
Adobe Reader および Acrobat に脆弱性
Adobe Reader および Acrobat には、解放済みメモリが使用される
(use-after-free) 脆弱性があります。結果として、遠隔の第三者が細
工した PDF ファイルを閲覧させることで任意のコードを実行したり,
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
本脆弱性を使用した攻撃活動が観測されています。
対象となるバージョンは以下の通りです。
- Adobe Reader および Acrobat 9.2 およびそれ以前
2009年12月22日現在、この問題に対する解決策は提供されていません。
回避策としては、Adobe Reader および Acrobat で JavaScript を無効
にする、ブラウザ上での PDF ファイルの表示を無効にする、不審な PDF
ファイルを開かないなどの方法があります。詳細については、Adobe が
提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#508357
Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
https://jvn.jp/cert/JVNVU508357/index.html
Adobe - Security Advisories: APSA09-07
Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-07.html
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、権限を昇格したりする可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.16
- Firefox 3.5.6
- SeaMonkey 2.0
なお、2009年12月22日現在、Thunderbird の修正プログラムは提供され
ていません。詳細については、OS のベンダや配布元が提供する情報を
参照してください。
Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.6 - 2009/12/15 リリース
http://mozilla.jp/firefox/3.5.6/releasenotes/
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.16 - 2009/12/15 リリース
http://mozilla.jp/firefox/3.0.16/releasenotes/
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.6
Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.16 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.16
The SeaMonkey Project
SeaMonkey 2.0
http://www.seamonkey-project.org/releases/seamonkey2.0/
Red Hat Security Advisory RHSA-2009:1674-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1674.html
Red Hat Security Advisory RHSA-2009:1673-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1673.html
VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性
VMware 製品群のヘルプ機能には、クロスサイトスクリプティングの脆
弱性があります。結果として遠隔の第三者が、該当する製品にログイン
しているユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。
対象となる製品およびバージョンは以下の通りです。
- VMware ESX 4.0 (ESX400-200911223-UG 未適用のもの)
- VMware Server 2.0.2
- VMware vCenter Server 4.0 GA
- VMware Lab Manager 2.x
- VMware vCenter Lab Manager 3.x
- VMware vCenter Lab Manager 4.0
- VMware vCenter Stage Manager 1.x
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。
WebWorks.com
WebWorks.com Security Advisory 2009-0001
http://www.webworks.com/Security/2009-0001/
Microsoft Windows の Indeo コーデックに複数の脆弱性
Microsoft Windows に含まれている Indeo コーデックには、複数の脆
弱性があります。結果として、遠隔の第三者が細工したビデオコンテン
ツを Windows Media Player、Internet Explorer や Windows Explorer
など Indeo コーデックを使用するアプリケーションで閲覧させること
で任意のコードを実行する可能性があります。
対象となるプラットフォームは以下の通りです。
- Microsoft Windows 2000
- Windows XP
- Windows Server 2003
2009年12月22日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。
回避策としては、Indeo コーデックの登録を解除するなどの方法があり
ます。また、マイクロソフトは回避策として Indeo コーデックの登録
を解除する「Fix it」を公開しています。詳細については、下記関連文
書を参照してください。
マイクロソフト セキュリティ アドバイザリ (954157)
Indeo コーデックのセキュリティ強化機能
http://www.microsoft.com/japan/technet/security/advisory/954157.mspx
マイクロソフト セキュリティ アドバイザリ
Indeo コーデックの脆弱性により、リモートでコードが実行される (2009 年 12 月 8 日)
http://support.microsoft.com/kb/954157
Japan Vulnerability Notes JVNVU#228561
Indeo コーデックに複数の脆弱性
https://jvn.jp/cert/JVNVU228561/index.html
P forum にディレクトリトラバーサルの脆弱性
Rocomotion の電子掲示板ソフトウェア P forum には、ディレクトリト
ラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバ内
にある任意のファイルを閲覧する可能性があります。
対象となるバージョンは以下の通りです。
- P forum ver 1.27 およびそれ以前
この問題は、Rocomotion が提供する修正済みのバージョンに P forum
を更新することで解決します。
Rocomotion
P forumをお使いの方へ
http://another.rocomotion.jp/12604561773482.html
Rocomotion
P forum 1.28
http://another.rocomotion.jp/12568911093444.html
アンチウイルス製品のサポート期間にご注意
2009年のひとくちメモの発行も本号が最後となりました。JPCERT/CC で
は「冬期の長期休暇を控えて」という文章を発行しましたが、そこでは
取り上げなかったトピックを一つご紹介させていただきます。
アンチウイルス製品を使用する際には、製品本体のサポート期間とウイ
ルス検知のためのパターンファイルの提供期間 (ライセンス有効期限)
に注意が必要です。
製品本体のサポート期間中であってもパターンファイルの提供期間を過
ぎていたり、逆にパターンファイルの提供期間中であっても製品本体の
サポート期間を過ぎていると、最新のウイルスを検知できなくなる危険
があります。
お休み中にご家庭で使用しているパソコンのアンチウイルス製品のサポー
ト期間もチェックし、必要に応じて更新しましょう。
2009年も JPCERT/CC Weekly Report をご愛顧いただきありがとうござ
いました。2010年の発行は 1月14日からの予定です。
ではみなさま、良いお年を。
JPCERT/CC
冬期の長期休暇を控えて 2009/12
http://www.jpcert.or.jp/pr/2009/pr090007.txt
トレンドマイクロ
ウイルスバスターサポート終了情報
http://jp.trendmicro.com/jp/support/personal/end_support/index.html
Kaspersky
製品のサポート期間について
http://www.kaspersky.co.jp/service/support_rules