-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2013-1901
                                                                   JPCERT/CC
                                                                  2013-05-15

            <<< JPCERT/CC WEEKLY REPORT 2013-05-15 >>>

――――――――――――――――――――――――――――――――――――――
■05/05(日)〜05/11(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】「Microsoft Internet Explorer 8 に脆弱性」に関する追加情報
【2】Cisco の Unified Customer Voice Portal (CVP) に複数の脆弱性
【3】Symantec の Brightmail Gateway にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】IPA、「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2013/wr131901.html
        https://www.jpcert.or.jp/wr/2013/wr131901.xml
============================================================================


【1】「Microsoft Internet Explorer 8 に脆弱性」に関する追加情報

    情報源
      CERT/CC Vulnerability Note VU#237655
      Microsoft Internet Explorer 8 CGenericElement object use-after-free vulnerability
      http://www.kb.cert.org/vuls/id/237655

    概要
      JPCERT/CC WEEKLY REPORT 2013-05-09 号【1】で紹介した「Microsoft
      Internet Explorer 8 に脆弱性」に関する追加情報です。

      Microsoft はこの問題に対する回避策として Fix it を公開しました。
      Internet Explorer 8 ユーザの方は、速やかに適用することをおすすめします。
      詳細については、Microsoft が提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC WEEKLY REPORT 2013-05-09 号
      Microsoft Internet Explorer 8 に脆弱性
      https://www.jpcert.or.jp/wr/2013/wr131801.html#1

    関連文書 (英語)
      Microsoft TechNet Security Research & Defense
      Microsoft "Fix it" available to mitigate Internet Explorer 8 vulnerability
      http://blogs.technet.com/b/srd/archive/2013/05/08/microsoft-quot-fix-it-quot-available-to-mitigate-internet-explorer-8-vulnerability.aspx

【2】Cisco の Unified Customer Voice Portal (CVP) に複数の脆弱性

    情報源
      JC3 Bulletin
      V-152: Cisco Unified Customer Voice Portal (CVP) Multiple Vulnerabilities
      http://energy.gov/cio/articles/v-152-cisco-unified-customer-voice-portal-cvp-multiple-vulnerabilities

    概要
      Cisco の Unified Customer Voice Portal (CVP) には、複数の脆弱性がありま
      す。結果として、遠隔の第三者が任意の Web アプリケーションを実行したり、
      システムファイルにアクセスしたりする可能性があります。

      対象となるバージョンは以下の通りです。

      -  9.0.1 ES 11 より前のバージョン

      この問題は、Cisco が提供する修正済みのバージョンに CVP を更新することで
      解決します。詳細については、Cisco が提供する情報を参照して下さい。

    関連文書 (英語)
      Cisco Security Advisory
      Multiple Vulnerabilities in Cisco Unified Customer Voice Portal Software
      http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130508-cvp

      Cisco Applied Mitigation Bulletin
      Identifying and Mitigating Multiple Vulnerabilities in Cisco Unified Customer Voice Portal Software
      http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=28982

【3】Symantec の Brightmail Gateway にクロスサイトスクリプティングの脆弱性

    情報源
      JC3 Bulletin
      V-153: Symantec Brightmail Gateway Input Validation Flaw Permits Cross-Site Scripting Attacks
      http://energy.gov/cio/articles/v-153-symantec-brightmail-gateway-input-validation-flaw-permits-cross-site-scripting

    概要
      Symantec の Brightmail Gateway には、クロスサイトスクリプティングの脆弱
      性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のス
      クリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - バージョン 9.5.x およびそれ以前

      この問題は、Symantec が提供する修正済みのバージョンに Brightmail
      Gateway を更新することで解決します。詳細については、Symantec が提供する
      情報を参照して下さい。

    関連文書 (英語)
      Symantec Security Advisory
      Security Advisories Relating to Symantec Products - Symantec Brightmail Gateway Management Console Stored XSS
      http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20130508_00


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○IPA、「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」を公開

      4月26日、IPA は「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」
      を公開しました。この文書では、モバイルデバイスの紛失などによる情報漏え
      いのトラブルに備えて、利用者が自ら行える暗号化などの対策を実践的に解説
      しています。

    参考文献 (日本語)
      独立行政法人情報処理推進機構 (IPA)
      情報漏えいを防ぐためのモバイルデバイス等設定マニュアル
      https://www.ipa.go.jp/security/ipg/documents/dev_setting_crypt.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2013 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJRkt58AAoJEDF9l6Rp7OBIWI8IAJts3o9g8wnODXNJ0PSz/QaE
30EL6pknekvZT38PbBPI20mULhRPH7ENo661+WX5kzd93jkaPgI2cqjo0FxOc3mr
Lhbr2+ddJMAGjVP8Hd4ayIAoqdfcYIVP/hK9RYQhiWhZSsz4YtLuoaNUaT7DKTtX
FXmC0KGy1XtHTlPNITLMlytPf3jZEBJqcdnynnDf7jjseJShqSP/hNsdplD+rqy6
Ldjjx4mS5NED7usP9ebMKHMFIwLXesIcgNRL44SDwmtNjn8tKBHXj8p8dOdxsA75
6LhhYnoCocizVcA/awWOw1U9SU4lJkM7syh7oBFXQMA5jrzsSMDac1a1ngh2F8s=
=mey/
-----END PGP SIGNATURE-----