JPCERT-WR-2010-2101 2010-06-09 2010-05-30 2010-06-05

US-CERT Vulnerability Note VU#486225 http://www.kb.cert.org/vuls/id/486225

Adobe Flash Player、Reader および Acrobat には、脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 なお、Adobe によると、本脆弱性を使用した攻撃が確認されているとの ことです。 対象となる製品は以下の通りです。 - Adobe Flash Player 10.0.45.2 およびそれ以前の 10.0.x 系 - Adobe Flash Player 9.0.262 およびそれ以前の 9.0.x 系 - Adobe Reader、Adobe Acrobat 9.3.2 およびそれ以前の 9.x 系 2010年6月8日現在、この問題に対する解決策は提供されていません。回 避策としては、Adobe Flash Player の場合は、Flash Player 10.1 Release Candidate を使用する、Adobe Reader および Acrobat の場合 は、同梱の authplay.dll の削除、名前変更、アクセス制限を行うなど の方法があります。詳細については、Adobe が提供する情報を参照して ください。

Japan Vulnerability Notes JVNVU#486225 https://jvn.jp/cert/JVNVU486225/index.html Adobe Security Bulletin APSA10-01 http://www.adobe.com/support/security/advisories/apsa10-01.html

Japan Vulnerability Notes JVN#17293765 https://jvn.jp/jp/JVN17293765/index.html

ジャストシステムの一太郎シリーズには、脆弱性があります。結果とし て、遠隔の第三者が細工したファイルをユーザに開かせたりブラウザで 閲覧させたりすることで、任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - 一太郎 - 一太郎ガバメント - ジャストスクール この問題は、ジャストシステムが提供するアップデートモジュールを該 当する製品に適用することで解決します。詳細についてはジャストシス テムが提供する情報を参照してください。

ジャストシステム セキュリティ情報 JS10002 http://www.justsystems.com/jp/info/js10002.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/about/press/20100601.html @police https://www.npa.go.jp/cyberpolice/topics/?seq=3683

VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0009.html

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年6月8日現在、一部の問題につい ては修正版が提供されていません。詳細については、VMware が提供す る情報を参照してください。

VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2010/000093.html

Japan Vulnerability Notes JVN#58439007 https://jvn.jp/jp/JVN58439007/index.html Japan Vulnerability Notes JVN#82465391 https://jvn.jp/jp/JVN82465391/index.html Japan Vulnerability Notes JVN#36925871 https://jvn.jp/jp/JVN36925871/index.html

富士通の施設情報管理システム e-Pares には、複数の脆弱性がありま す。結果として、遠隔の第三者が登録ユーザになりすまして任意の操作 を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする 可能性があります。 対象となるバージョンは以下の通りです。 - e-Pares V01L01、V01L03、V01L10、V01L20、V01L30、V01L40 この問題は、富士通が提供するアップデートモジュールを該当する製品 に適用することで解決します。詳細については、富士通が提供する情報 を参照してください。

富士通 http://software.fujitsu.com/jp/security/vulnerabilities/jvn-36925871-58439007-82465391.html 富士通九州システムズ http://jp.fujitsu.com/group/kyushu/services/local-gvt/epares/security-infomation-201006.html

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場 として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ るってご参加ください。 [日時] part 1 ＜セキュアコーディング概論・文字列＞ 　　　　2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜) 　　　 part 2 ＜整数・コードレビュー＞ 　　　　2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] クリスタルタワー　20階　Ｅ会議室 大阪市中央区城見1-2-27 (MAP) http://www4.ocn.ne.jp/~crystalt/map.html [受講料] 無料 [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-OSK-application.html

Twitter の人気に伴い、長い URL を短い文字列に置き換える短縮 URL の利用が拡大しています。 短縮 URL にアクセスすると、登録されているサイトにリダイレクトさ れます。通常、最終的にリダイレクトされる先をあらかじめ知ることは できず、マルウエアへの誘導に使われる例が報告されています。 短縮 URL にアクセスする際には、信頼できる情報かを確認し、必要に 応じてリダイレクト先を確認するようにしてください。例えば、 Firefox では、短縮 URL のリダイレクト先を確認したり、リダイレク ト時に実際にアクセスするかどうかをダイアログで確認できるアドオン が提供されています。 Add-ons for Firefox https://addons.mozilla.org/ja/firefox/addon/9727/ Add-ons for Firefox https://addons.mozilla.org/ja/firefox/addon/48582/