JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2010 > Weekly Report 2010-06-09号

最終更新: 2010-06-09

Weekly Report 2010-06-09号


JPCERT-WR-2010-2101
JPCERT/CC
2010-06-09

<<< JPCERT/CC WEEKLY REPORT 2010-06-09 >>>

■05/30(日)〜06/05(土) のセキュリティ関連情報

目 次

【1】Adobe Flash Player、Reader および Acrobat に脆弱性

【2】一太郎シリーズに脆弱性

【3】VMware 製品群に複数の脆弱性

【4】e-Pares に複数の脆弱性

【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中

【今週のひとくちメモ】短縮 URL へのアクセスに注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102101.txt
https://www.jpcert.or.jp/wr/2010/wr102101.xml

【1】Adobe Flash Player、Reader および Acrobat に脆弱性

情報源

US-CERT Vulnerability Note VU#486225
Adobe Flash ActionScript AVM2 newfunction vulnerability
http://www.kb.cert.org/vuls/id/486225

概要

Adobe Flash Player、Reader および Acrobat には、脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。
なお、Adobe によると、本脆弱性を使用した攻撃が確認されているとの
ことです。

対象となる製品は以下の通りです。

- Adobe Flash Player 10.0.45.2 およびそれ以前の 10.0.x 系
- Adobe Flash Player 9.0.262 およびそれ以前の 9.0.x 系
- Adobe Reader、Adobe Acrobat 9.3.2 およびそれ以前の 9.x 系

2010年6月8日現在、この問題に対する解決策は提供されていません。回
避策としては、Adobe Flash Player の場合は、Flash Player 10.1 
Release Candidate を使用する、Adobe Reader および Acrobat の場合
は、同梱の authplay.dll の削除、名前変更、アクセス制限を行うなど
の方法があります。詳細については、Adobe が提供する情報を参照して
ください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#486225
Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
https://jvn.jp/cert/JVNVU486225/index.html

関連文書 (英語)

Adobe Security Bulletin APSA10-01
Security Advisory for Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-01.html

【2】一太郎シリーズに脆弱性

情報源

Japan Vulnerability Notes JVN#17293765
一太郎シリーズにおける任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN17293765/index.html

概要

ジャストシステムの一太郎シリーズには、脆弱性があります。結果とし
て、遠隔の第三者が細工したファイルをユーザに開かせたりブラウザで
閲覧させたりすることで、任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- 一太郎
- 一太郎ガバメント
- ジャストスクール

この問題は、ジャストシステムが提供するアップデートモジュールを該
当する製品に適用することで解決します。詳細についてはジャストシス
テムが提供する情報を参照してください。

関連文書 (日本語)

ジャストシステム セキュリティ情報 JS10002
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js10002.html

独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20100601.html

@police
ジャストシステム社ワープロソフト一太郎の脆弱性について
https://www.npa.go.jp/cyberpolice/topics/?seq=3683

【3】VMware 製品群に複数の脆弱性

情報源

VMware Security Advisories (VMSAs)
VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
http://www.vmware.com/security/advisories/VMSA-2010-0009.html

概要

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。2010年6月8日現在、一部の問題につい
ては修正版が提供されていません。詳細については、VMware が提供す
る情報を参照してください。

関連文書 (英語)

VMware Security Announcements
VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
http://lists.vmware.com/pipermail/security-announce/2010/000093.html

【4】e-Pares に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#58439007
e-Pares におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58439007/index.html

Japan Vulnerability Notes JVN#82465391
e-Pares におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN82465391/index.html

Japan Vulnerability Notes JVN#36925871
e-Pares におけるセッション固定の脆弱性
https://jvn.jp/jp/JVN36925871/index.html

概要

富士通の施設情報管理システム e-Pares には、複数の脆弱性がありま
す。結果として、遠隔の第三者が登録ユーザになりすまして任意の操作
を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする
可能性があります。

対象となるバージョンは以下の通りです。

- e-Pares V01L01、V01L03、V01L10、V01L20、V01L30、V01L40

この問題は、富士通が提供するアップデートモジュールを該当する製品
に適用することで解決します。詳細については、富士通が提供する情報
を参照してください。

関連文書 (日本語)

富士通
JVN#36925871, JVN#58439007, JVN#82465391に関する影響
http://software.fujitsu.com/jp/security/vulnerabilities/jvn-36925871-58439007-82465391.html

富士通九州システムズ
施設予約システム「e-Pares」のセキュリティ脆弱性について
http://jp.fujitsu.com/group/kyushu/services/local-gvt/epares/security-infomation-201006.html

【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内
https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場
として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ
るってご参加ください。

  [日時] part 1 <セキュアコーディング概論・文字列>
      2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)
      part 2 <整数・コードレビュー>
      2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜)

  [会場] クリスタルタワー 20階 E会議室
         大阪市中央区城見1-2-27
         (MAP) http://www4.ocn.ne.jp/~crystalt/map.html

  [受講料] 無料

  [定員] 70名/回
          (参加者多数の場合はお申し込み先着順となります)

  [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ
          クトマネージャ、コードレビュアー、品質管理担当者、プログラ
          マ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 お申し込み
https://www.jpcert.or.jp/event/securecoding-OSK-application.html

■今週のひとくちメモ

○短縮 URL へのアクセスに注意

Twitter の人気に伴い、長い URL を短い文字列に置き換える短縮 URL 
の利用が拡大しています。

短縮 URL にアクセスすると、登録されているサイトにリダイレクトさ
れます。通常、最終的にリダイレクトされる先をあらかじめ知ることは
できず、マルウエアへの誘導に使われる例が報告されています。

短縮 URL にアクセスする際には、信頼できる情報かを確認し、必要に
応じてリダイレクト先を確認するようにしてください。例えば、
Firefox では、短縮 URL のリダイレクト先を確認したり、リダイレク
ト時に実際にアクセスするかどうかをダイアログで確認できるアドオン
が提供されています。

参考文献 (英語)

Add-ons for Firefox
RequestPolicy 0.5.13
https://addons.mozilla.org/ja/firefox/addon/9727/

Add-ons for Firefox
Verify Redirect 1.1.0
https://addons.mozilla.org/ja/firefox/addon/48582/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english