JPCERT-WR-2010-1801 2010-05-19 2010-05-09 2010-05-15

US-CERT Technical Cyber Security Alert TA10-131A http://www.us-cert.gov/cas/techalerts/TA10-131A.html US-CERT Cyber Security Alert SA10-131A http://www.us-cert.gov/cas/alerts/SA10-131A.html DOE-CIRC Technical Bulletin T-363 http://www.doecirc.energy.gov/bulletins/t-363.shtml

Microsoft Outlook Express、Windows Mail、Windows Live Mail、 Office などの製品および関連コンポーネントには、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。

2010 年 5 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-may.mspx Japan Vulnerability Notes JVNTA10-131A https://jvn.jp/cert/JVNTA10-131A/index.html @police https://www.npa.go.jp/cyberpolice/topics/?seq=3517 JPCERT/CC Alert 2010-05-12 JPCERT-AT-2010-0012 https://www.jpcert.or.jp/at/2010/at100012.txt

US-CERT Vulnerability Note VU#943165 http://www.kb.cert.org/vuls/id/943165 US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/05/14/archive.html#apple_safari_vulnerability

Apple Safari には、window オブジェクトの処理に起因する脆弱性があ ります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させる ことで、ユーザの権限で任意のコードを実行する可能性があります。な お、本脆弱性を使用した攻撃コードが公開されています。 対象となるバージョンは以下の通りです。 - Apple Safari 4.0.5 for Windows その他のプラットフォームおよびバージョンも影響を受ける可能性があ ります。 2010年5月19日現在、この問題に対する解決策は提供されていません。 回避策としては、JavaScript を無効にするなどの方法があります。

Japan Vulnerability Notes JVNVU#943165 https://jvn.jp/cert/JVNVU943165/index.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/05/14/archive.html#adobe_releases_update_for_shockwave2 DOE-CIRC Technical Bulletin T-364 http://www.doecirc.energy.gov/bulletins/t-364.shtml

Adobe Shockwave Player には、複数の脆弱性があります。結果として 遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.2.606 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player を更新することで解決します。詳細については Adobe が提供する情報を参照してください。

Adobe TechNote APSB10-12 http://kb2.adobe.com/jp/cps/844/cpsid_84415.html Adobe Security Bulletin APSB10-12 http://www.adobe.com/support/security/bulletins/apsb10-12.html

Japan Vulnerability Notes JVN#92854093 https://jvn.jp/jp/JVN92854093/index.html

Movable Type には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type Open Source 5.0 および 5.01 - Movable Type 5.0 および 5.01 (Professional Pack、Community Pack を同梱) この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。詳細については、シック ス・アパートが提供する情報を参照してください。

シックス・アパート http://www.sixapart.jp/movabletype/news/2010/05/12-1015.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/05/14/archive.html#cisco_releases_updates_for_pgw

Cisco PGW 2200 Softswitch には、複数の脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり ます。 対象となるバージョンは以下の通りです。 - Cisco PGW 2200 Softswitch 9.7(3)S11 より前のバージョン - Cisco PGW 2200 Softswitch 9.8(1)S5 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco PGW 2200 Softswitch を更新することで解決します。詳細については、Cisco が 提供する情報を参照してください。

Cisco Security Advisory 111870 http://www.cisco.com/warp/public/707/cisco-sa-20100512-pgw.shtml Cisco Applied Mitigation Bulletin 111988 http://www.cisco.com/warp/public/707/cisco-amb-20100512-pgw.shtml

Japan Vulnerability Notes JVNVU#602801 https://jvn.jp/cert/JVNVU602801/index.html

Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) には、 複数の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で任意のコードを実行したり、 SYSTEM 権限を取得したりする可能性があります。 対象となる製品は以下の通りです。 - Intelligent Assistance Suite (IAS) この問題は、Consona が提供するパッチを該当する製品に適用すること で解決します。詳細について Consona が提供する情報を参照してくだ さい。

US-CERT Vulnerability Note VU#602801 http://www.kb.cert.org/vuls/id/602801 Consona http://www.consona.com/Content/CRM/Support/SecurityBulletin_April2010.pdf

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。「C/C++ セキュアコーディングセミナー 2010 ＠福岡」は、九 州地区のプログラム開発者の方々に受講いただけるよう、福岡を会場と して 5月27日、28日の 2回コースで開催いたします。 開催まで残り一週間となりました。ひきつづき、参加申し込みをお待 ちしております。奮ってご参加ください。 [日時] part 1 ＜セキュアコーディング概論・文字列＞ 2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜) part 2 ＜整数・コードレビュー＞ 2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] 福岡ソフトリサーチパーク 研修室１ 福岡市早良区百道浜２丁目１番２２号 [定員] 50名／回 [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プロ グラマ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-FUK-application.html

Thunderbird 2 のサポートが 2010年6月上旬で終了します。2010年3月 17日にリリースされた現行の Thunderbird 2.0.0.24 が最後のバージョ ンとなる予定です。 Thunderbird 3 へ移行していないユーザは、使用するアドオンの対応状 況や他アプリケーションとの連携などの確認を行い、早めに Thunderbird 3 へ移行することをお勧めします。 Mozilla Japan ブログ http://mozilla.jp/blog/entry/5456/ Mozilla Messaging http://support.mozillamessaging.com/ja/kb/FAQ+Upgrading+Thunderbird+2+to+3