JPCERT-WR-2010-0901 2010-03-10 2010-02-28 2010-03-06

US-CERT Vulnerability Note VU#612021 http://www.kb.cert.org/vuls/id/612021 DOE-CIRC Technical Bulletin T-317 http://www.doecirc.energy.gov/bulletins/t-317.shtml

Microsoft Internet Explorer の VBScript には、脆弱性があります。 結果として、遠隔の第三者が細工した HTML 文書を閲覧させ、[F1] キー を押させることでアプリケーションを実行しているユーザの権限で任意 のコードを実行する可能性があります。なお、この脆弱性を使用した攻 撃コードが公開されています。 対象となるプラットフォームは以下の通りです。 - Microsoft Windows 2000 Service Pack 4 - Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems および Windows Server 2003 x64 Edition Service Pack 2 2010年3月9日現在、この問題に対するセキュリティ更新プログラムは提 供されていません。 セキュリティ更新プログラムが提供されるまでの間、以下の回避策を適 用することで、本脆弱性の影響を軽減することが可能です。 - HTML 文書の表示中に [F1] キーを押さない - Windows ヘルプへのアクセスを制限する - [インターネット] および [ローカル イントラネット] ゾーンのセキュ リティ設定を "高" にする - [インターネット] および [ローカル イントラネット] ゾーンのセ キュリティ設定において、[アクティブ スクリプト] の項目を "ダイ アログを表示する" もしくは "無効にする" に設定する 詳細については、マイクロソフトが提供する情報を参照してください。

マイクロソフト セキュリティ アドバイザリ (981169) http://www.microsoft.com/japan/technet/security/advisory/981169.mspx Japan Vulnerability Notes JVNVU#612021 https://jvn.jp/cert/JVNVU612021/index.html

US-CERT Vulnerability Note VU#576029 http://www.kb.cert.org/vuls/id/576029

libpng には、特定の PNG ファイルの処理に脆弱性があります。結果と して、遠隔の第三者が細工した PNG ファイルを処理させることで、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - libpng 1.4.0 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。

Japan Vulnerability Notes JVNVU#576029 https://jvn.jp/cert/JVNVU576029/index.html LIBPNG http://libpng.sourceforge.net/ADVISORY-1.4.1.html LIBPNG http://libpng.sourceforge.net/decompression_bombs.html

Japan Vulnerability Notes JVN#06874657 https://jvn.jp/jp/JVN06874657/index.html

オープンソースの SNS 構築ソフトウェア OpenPNE の IP アドレス帯域 制限機能の処理には、アクセス制限が回避される脆弱性があります。結 果として、遠隔の第三者が携帯電話向けのかんたんログイン機能におい て、登録ユーザになりすましてログインする可能性があります。 対象となるバージョンは以下の通りです。 - OpenPNE 2.13.2 から 2.14.4 まで この問題は、配布元が提供する修正済みのバージョンに OpenPNE を更 新することで解決します。

OpenPNEプロジェクト http://www.openpne.jp/archives/4612/ 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/alert/201003_openpne.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/03/04/archive.html#cicso_releases_multiple_security_advisories

Cisco の製品群には、複数の脆弱性があります。結果として、設定を変 更したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり ます。 対象となる製品は以下の通りです。 - Cisco Digital Media Player 5.2 より前のバージョン - Cisco Digital Media Manager 5.2 より前のバージョン - Cisco Unified Communications Manager 4.x、5.x、6.x、7.x この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。

Cisco Security Advisory 111581 http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b925.shtml Cisco Security Advisory 111578 http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b923.shtml Cisco Security Advisory 111579 http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b924.shtml Cisco Applied Mitigation Bulletin 111803 http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b1b926.html

US-CERT Vulnerability Note VU#154421 http://www.kb.cert.org/vuls/id/154421

Energizer DUO USB バッテリチャージャ付属の充電状況表示ソフトウェ アには、脆弱性があります。結果として、遠隔の第三者がユーザの権限 で任意のコードを実行する可能性があります。 2010年3月9日現在、この問題に対する修正プログラムは提供されていま せん。 回避策としては、Energizer UsbCharger ソフトウェアを削除する、 Arucer.dll ファイルを削除する、ネットワークアクセスを禁止または 制限するなどの方法があります。なお、該当製品の販売は現在終了して います。

Energizer http://www.energizerrecharge.eu/en/range/chargers/usb

JPCERT/CC では、フィッシングの対象となるサイトが金融機関だけでな く、ポータルサイトや SNS、オンラインゲームサイトへひろがっている ことを確認しています。また、米国 RSA Security の月例レポートにお いて、大学のポータルサイトなどを対象にしたフィッシングが急増して いるとの指摘がされています。 日本でも、多くの大学がポータルサイトや Web メールサービスの提供 を始めており、今後、日本国内の大学のサイトにも被害がひろがること が危惧されます。 JPCERT/CC Weekly Report https://www.jpcert.or.jp/wr/2010/wr100301.html#Memo フィッシング対策協議会 http://www.antiphishing.jp/database/ RSA Online Fraud Report http://www.rsa.com/solutions/consumer_authentication/intelreport/10763_Online_Fraud_report_0210.pdf