<<< JPCERT/CC WEEKLY REPORT 2008-10-22 >>>
■10/12(日)〜10/18(土) のセキュリティ関連情報
目 次
【1】2008年10月 Microsoft セキュリティ情報について
【2】Adobe Flash Player に複数の脆弱性
【3】2008年10月 Oracle Critical Patch Update について
【4】Movable Type にクロスサイトスクリプティングの脆弱性
【5】MPlayer に複数の脆弱性
【6】hisa_cart に情報漏洩の脆弱性
【今週のひとくちメモ】PDF に電子署名を行う/検証する
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr084101.txt
https://www.jpcert.or.jp/wr/2008/wr084101.xml
【1】2008年10月 Microsoft セキュリティ情報について
情報源
US-CERT Technical Cyber Security Alert TA08-288A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-288A.htmlUS-CERT Cyber Security Alert SA08-288A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-288A.htmlUS-CERT Vulnerability Notes Database
Search Results [ms08-oct] (全3件・2008年10月21日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=ms08-octCIAC Bulletin T-002
Vulnerability in Host INtegration Server RPC Service
http://www.ciac.org/ciac/bulletins/t-002.shtmlCIAC Bulletin T-003
Vulnerabilities in Microsoft Excel
http://www.ciac.org/ciac/bulletins/t-003.shtmlCIAC Bulletin T-004
Cumulative Security Update for Internet Explorer
http://www.ciac.org/ciac/bulletins/t-004.shtmlCIAC Bulletin T-005
Vulnerability in Active Directory
http://www.ciac.org/ciac/bulletins/t-005.shtmlCIAC Bulletin T-006
Vulnerabilities in Windows Kernel
http://www.ciac.org/ciac/bulletins/t-006.shtmlCIAC Bulletin T-007
Vulnerability in Windows Internet Printing Service
http://www.ciac.org/ciac/bulletins/t-007.shtmlCIAC Bulletin T-008
Vulnerability in Virtual Address Descriptor Manipulation
http://www.ciac.org/ciac/bulletins/t-008.shtmlCIAC Bulletin T-009
Vulnerability in Message Queuing
http://www.ciac.org/ciac/bulletins/t-009.shtmlCIAC Bulletin T-010
Vulnerability in the Microsoft Ancillary Function Driver
http://www.ciac.org/ciac/bulletins/t-010.shtml
概要
Microsoft Windows、Microsoft Office、Internet Explorer などの製 品には、複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。
関連文書 (日本語)
2008 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct.mspxマイクロソフト セキュリティ情報 MS08-056 - 警告
Microsoft Office の脆弱性により、情報の漏えいが起こる (957699)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-056.mspxマイクロソフト セキュリティ情報 MS08-057 - 緊急
Microsoft Excel の脆弱性により、リモートでコードが実行される (956416)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-057.mspxマイクロソフト セキュリティ情報 MS08-058 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-058.mspxマイクロソフト セキュリティ情報 MS08-059 - 緊急
Host Integration Server の RPC サービスの脆弱性により、リモートでコードが実行される (956695)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-059.mspxマイクロソフト セキュリティ情報 MS08-060 - 緊急
Active Directory の脆弱性により、リモートでコードが実行される (957280)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-060.mspxマイクロソフト セキュリティ情報 MS08-061 - 重要
Windows カーネルの脆弱性により、特権が昇格される (954211)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-061.mspxマイクロソフト セキュリティ情報 MS08-062 - 重要
Windows インターネット印刷サービスの脆弱性により、リモートでコードが実行される (953155)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-062.mspxマイクロソフト セキュリティ情報 MS08-063 - 重要
SMB の脆弱性により、リモートでコードが実行される (957095)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-063.mspxマイクロソフト セキュリティ情報 MS08-064 - 重要
仮想アドレス記述子の処理の脆弱性により、特権が昇格される (956841)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-064.mspxマイクロソフト セキュリティ情報 MS08-065 - 重要
メッセージ キューの脆弱性により、リモートでコードが実行される (951071)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-065.mspxマイクロソフト セキュリティ情報 MS08-066 - 重要
Microsoft Ancillary Function ドライバーの脆弱性により、特権が昇格される (956803)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-066.mspxJapan Vulnerability Notes JVNTA08-288A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-288A/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-056,057,058,059,060,061,062,063,064,065,066)
http://www.cyberpolice.go.jp/important/2008/20081015_110510.htmlJPCERT/CC Alert 2008-10-15
2008年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080017.txt
【2】Adobe Flash Player に複数の脆弱性
情報源
Adobe - Security Advisories
APSB08-18: Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-18.html
概要
Adobe Flash Player には、複数の脆弱性があります。結果として、遠 隔の第三者が細工した Flash コンテンツにアクセスさせることで、ユー ザが意図しないボタンもしくはリンクをクリックさせる可能性がありま す。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 9.0.124.0 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョン 10.0.12.36 に Flash Player を更新することで解決します。なお、複数のウェブブラ ウザを使用している環境においては、各ウェブブラウザごとに Flash Player を更新する必要があります。詳細については、Adobe が提供す る情報を参照してください。
関連文書 (英語)
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Player
http://www.us-cert.gov/current/archive/2008/10/16/archive.html#adobe_releases_security_bulletin_for
【3】2008年10月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for October 2008
http://www.us-cert.gov/current/archive/2008/10/16/archive.html#oracle_releases_critical_patch_update4CIAC Bulletin T-011
Oracle Critical Patch Update Advisory - October 2008
http://www.ciac.org/ciac/bulletins/t-011.shtml
概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が認証を回避するなどの可能性があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2009年1月にリリー スされる予定です。 2008年4月29日、Oracle の BEA Systems, Inc. 買収により、BEA 製品 のセキュリティ関連情報は Oracle Critical Patch Update に掲載され ます。
関連文書 (日本語)
Oracle internet Support Center
[CPUOct2008] Oracle Critical Patch Update Advisory - October 2008 日本語翻訳版
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=129194Oracle Technology Network
Critical Patch Update - October 2008
http://www.oracle.com/technology/global/jp/security/081017_84/top.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2008.html
【4】Movable Type にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#81490697
Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN81490697/index.html
概要
Movable Type には、管理画面にクロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type 4 (4.21 およびそれ以前のバージョン) - Movable Type Enterprise 4 (4.21 およびそれ以前のバージョン) - Movable Type Community Solution 4 (4.21 およびそれ以前のバー ジョン) - Movable Type 4 (Open Source) (4.21 およびそれ以前のバージョン) この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。
関連文書 (日本語)
シックス・アパート
セキュリティアップデート Movable Type 4.22 の提供を開始
http://www.sixapart.jp/movabletype/news/2008/10/15-1400.html
【5】MPlayer に複数の脆弱性
情報源
CIAC Bulletin T-012
MPlayer Vulnerability
http://www.ciac.org/ciac/bulletins/t-012.shtml
概要
MPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が 細工したビデオファイルを処理させることで、ユーザの権限で任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - MPlayer 1.0rc2 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに MPlayer を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1644-1
mplayer -- 整数オーバフロー
http://www.debian.org/security/2008/dsa-1644.ja.html
関連文書 (英語)
MPlayer
News
http://www.mplayerhq.hu/design7/news.htmloCERT Advisories
#2008-013 MPlayer Real demuxer heap overflow
http://www.ocert.org/advisories/ocert-2008-013.html
【6】hisa_cart に情報漏洩の脆弱性
情報源
Japan Vulnerability Notes JVN#67334580
hisa_cart における情報漏洩の脆弱性
http://jvn.jp/jp/JVN67334580/index.html
概要
久長電機が提供する XOOPS 用のショッピングカートモジュール hisa_cart には、情報漏洩の脆弱性があります。結果として、遠隔の第 三者が登録ユーザ情報などを取得する可能性があります。 対象となるバージョンは以下の通りです。 - hisa_cart v1.29 およびそれ以前 この問題は、久長電機が提供する修正済みのバージョンに hisa_cart を更新することで解決します。
関連文書 (日本語)
株式会社久長電機
セキュリティ情報のご案内
http://hisacart.chushokigyo.net/modules/info/index.php/intro/url.html
■今週のひとくちメモ
○PDF に電子署名を行う/検証する
1. 電子署名を行う PDF ファイルに電子署名を行うためには、署名に使う証明書/秘密鍵を 用意する必要があります。Adobe Acrobat では、認証局から発行された 証明書/秘密鍵を使用する方法と、独自に自己署名証明書を生成して使 用する方法があります。 Adobe Acrobat では電子署名として「承認用署名」と「証明用署名」の 2種類があります。これは、ISO32000-1 仕様における document signature (承認用署名) と MDP signature (証明用署名) に対応する ものです。 2. 電子署名を検証する Adobe Acrobat や Adobe Reader では証明書リポジトリを独自に持って おり、電子署名の検証に使う証明書については、Windows の証明書スト アや LDAP サーバなどを参照することもできます。 適切な証明書を取り込んであり、取り込んだ証明書に対する信頼度の設 定も適切に行われているにも関わらず検証結果が無効と出る場合には、 PDF ファイルが改竄されている可能性が高いと判断することができます。
参考文献 (日本語)
JPCERT/CC REPORT 2008-10-16
【今週のひとくちメモ】PDF (Portable Document Format) における電子署名
http://www.jpcert.or.jp/wr/2008/wr084001.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/