<<< JPCERT/CC WEEKLY REPORT 2009-06-17 >>>

■06/07(日)〜06/13(土) のセキュリティ関連情報

目　次

【1】2009年6月 Microsoft セキュリティ情報について

【2】Adobe Reader および Acrobat に複数の脆弱性

【3】Mozilla 製品群に複数の脆弱性

【4】Safari に複数の脆弱性

【5】Ruby にサービス運用妨害の脆弱性

【6】eBay Enhanced Picture Uploader ActiveX コントロールに脆弱性

【7】A51 D.O.O. の activeCollab にクロスサイトスクリプティングの脆弱性

【8】JPCERT/CC PGP 鍵更新のお知らせ

【今週のひとくちメモ】Windows 2000 延長サポート期間の終了について

【1】2009年6月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA09-160A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-160A.html

US-CERT Cyber Security Alert SA09-160A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-160A.html

DOE-CIRC Technical Bulletin T-160
Microsoft Windows Print Spooler 'EnumeratePrintShares()' Remote Stack Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-160.shtml

概要

Microsoft Windows、Office、Internet Explorer および関連コンポー
ネントには、複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、権限を昇格したりする可能性があります。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC WEEKLY REPORT 2009-05-27【1】で紹介した問題に
対する解決策も含まれています。

関連文書 (日本語)

2009 年 6 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

マイクロソフト セキュリティ情報 MS09-018 - 緊急
Active Directory の脆弱性により、リモートでコードが実行される (971055)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-018.mspx

マイクロソフト セキュリティ情報 MS09-019 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-019.mspx

マイクロソフト セキュリティ情報 MS09-020 - 重要
インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-020.mspx

マイクロソフト セキュリティ情報 MS09-021 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-021.mspx

マイクロソフト セキュリティ情報 MS09-022 - 緊急
Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-022.mspx

マイクロソフト セキュリティ情報 MS09-023 - 警告
Windows サーチの脆弱性により、情報漏えいが起こる (963093)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-023.mspx

マイクロソフト セキュリティ情報 MS09-024 - 緊急
Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-024.mspx

マイクロソフト セキュリティ情報 MS09-025 - 重要
Windows カーネルの脆弱性により、特権が昇格される (968537)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-025.mspx

マイクロソフト セキュリティ情報 MS09-026 - 重要
RPC の脆弱性により、特権が昇格される (970238)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-026.mspx

マイクロソフト セキュリティ情報 MS09-027 - 緊急
Microsoft Office Word の脆弱性により、リモートでコードが実行される (969514)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-027.mspx

Japan Vulnerability Notes JVN#70858401
Microsoft Works コンバーターにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN70858401/index.html

Japan Vulnerability Notes JVNTA09-160A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-160A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
「Microsoft Works コンバーター」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200906_msworks.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-018,019,020,021,022,023,024,025,026,027)
http://www.cyberpolice.go.jp/important/2009/20090610_121329.html

JPCERT/CC Alert 2009-06-10
2009年6月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090011.txt

JPCERT/CC WEEKLY REPORT 2009-05-27
【1】Microsoft IIS の WebDAV 機能に脆弱性
http://www.jpcert.or.jp/wr/2009/wr092001.html#1

【2】Adobe Reader および Acrobat に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA09-161A
Adobe Acrobat and Reader Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-161A.html

US-CERT Cyber Security Alert SA09-161A
Adobe Acrobat and Reader Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-161A.html

US-CERT Vulnerability Note VU#568153
Adobe Reader contains multiple vulnerabilities in the processing of JPX data
http://www.kb.cert.org/vuls/id/568153

DOE-CIRC Technical Bulletin T-159
Adobe Reader and Acrobat 9.1.1 and Prior Multiple Remote Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-159.shtml

概要

Adobe Reader および Acrobat には、複数の脆弱性があります。結果と
して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ
とで、アプリケーションをクラッシュさせたり、任意のコードを実行し
たりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Reader および Acrobat (Pro、Pro Extended、および 
  Standard) 9.1.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および 
  Standard) 8.1.5 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および 
  Standard) 7.1.2 およびそれ以前

また、PDF ファイルを閲覧するためのプラグインも影響を受ける可能性
があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA09-161A
Adobe Reader および Acrobat における脆弱性
http://jvn.jp/cert/JVNTA09-161A/index.html

Japan Vulnerability Notes JVNVU#568153
Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性
http://jvn.jp/cert/JVNVU568153/index.html

@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2009/20090610_122253.html

関連文書 (英語)

Adobe Security Bulletin APSB09-07
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-07.html

【3】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.11
http://www.us-cert.gov/current/archive/2009/06/12/archive.html#mozilla_foundation_releases_firefox_34

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、機密情報を取得したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.11

2009年6月16日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.11 - 2009/06/11 リリース
http://mozilla.jp/firefox/3.0.11/releasenotes/

Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)

Red Hat Security Advisory RHSA-2009:1095-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1095.html

Red Hat Security Advisory RHSA-2009:1096-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1096.html

【4】Safari に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-157
Apple Safari Prior to 4.0 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-157.shtml

概要

Safari には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、権限を昇格したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Safari 4.0 より前のバージョン (Mac OS X 版、Windows 版)

この問題は、Apple が提供する修正済みのバージョン Safari 4.0 に更
新することで解決します。詳細については、Apple が提供する情報を参
照してください。

関連文書 (日本語)

Apple Support HT3613
Safari 4.0 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3613?viewlocale=ja_JP

Apple Support Download
Safari 4
http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP

【5】Ruby にサービス運用妨害の脆弱性

情報源

Ruby
BigDecimal の DoS 脆弱性
http://www.ruby-lang.org/ja/news/2009/06/10/dos-vulnerability-in-bigdecimal/

概要

Ruby の標準ライブラリには、脆弱性があります。 結果として、遠隔の
第三者がサービス運用妨害 (DoS) 攻撃を行なう可能性があります。
 
対象となるバージョンは以下の通りです。

- 1.8.6-p368 およびそれ以前のバージョン 
- 1.8.7-p160 およびそれ以前のバージョン 

Ruby on Rails が使用している ActiveRecord ライブラリに影響がある
ため、多くの Rails アプリケーションはこの脆弱性の影響を受けます。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

Riding Rails
DoS Vulnerability in Ruby
http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby

【6】eBay Enhanced Picture Uploader ActiveX コントロールに脆弱性

情報源

US-CERT Vulnerability Note VU#983731
eBay Enhanced Picture Uploader ActiveX control vulnerable to arbitrary command execution
http://www.kb.cert.org/vuls/id/983731

概要

eBay Enhanced Picture Uploader ActiveX コントロールには、脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで、そのユーザの権限で任意のコマンドを実行する可
能性があります。

対象となるバージョンは以下の通りです。

- eBay Enhanced Picture Uploader ActiveX コントロール 1.0.27 
  より前のバージョン

この問題は、eBay が提供する修正済みのバージョンに eBay Enhanced
Picture Uploader ActiveX コントロールを更新することで解決します。
詳細については、eBay が提供する情報を参照してください。

関連文書 (英語)

eBay Special Alert
eBay Enhanced Picture Services ActiveX Control Update
http://pages.ebay.com/securitycenter/activex/index.html

Microsoft TechNet
Microsoft Security Advisory (969898) Update Rollup for ActiveX Kill Bits
http://www.microsoft.com/technet/security/advisory/969898.mspx

【7】A51 D.O.O. の activeCollab にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#55752635
A51 D.O.O. 製 activeCollab におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN55752635/index.html

概要

A51 D.O.O. のプロジェクト管理ソフトウェア activeCollab のログイ
ン画面には、クロスサイトスクリプティングの脆弱性があります。結果
として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- activeCollab 0.7.1 およびそれ以前

A51 D.O.O. の情報によると、activeCollab 0.x 系は開発およびサポー
トが終了しています。A51 D.O.O. は、activeCollab 2.1 への移行を推
奨しています。詳しくは A51 D.O.O. が提供する情報を参照してくださ
い。

関連文書 (英語)

A51 D.O.O.
activeCollab
http://www.activecollab.com/

A51 D.O.O.
activeCollab 2.1.2
http://www.activecollab.com/docs/manuals/admin/release-notes/activecollab-2-1-2

A51 D.O.O.
Upgrading to activeCollab 2.1.2
http://www.activecollab.com/docs/manuals/admin/upgrade/activecollab-2-1

【8】JPCERT/CC PGP 鍵更新のお知らせ

情報源

JPCERT/CC
JPCERT/CC PGP 鍵更新のお知らせ
https://www.jpcert.or.jp/pr/2009/pr090004.txt

概要

JPCERT/CC は、2009年6月18日に PGP 鍵の更新を行います。JPCERT/CC
WEEKLY REPORT についても、今後は新しい鍵で署名して配信します。

新しい公開鍵については、下記関連文書の URL から入手してください。

関連文書 (日本語)

JPCERT/CC
PGP 公開鍵
https://www.jpcert.or.jp/jpcert-pgp.html

■今週のひとくちメモ

○Windows 2000 延長サポート期間の終了について

Microsoft は Windows 2000 の延長サポートを 2010年7月13日に終了し
ます。延長サポート終了後は新たなセキュリティの問題について修正は
行われません。
 
1年後のサポート終了に備え、Windows 2000 のクライアントやサーバ製
品が存在していないか確認し、サポートが提供される製品への移行を計
画的に行いましょう。

2009年10月中旬には Windows 7 や Windows Server 2008 R2 のリリー
スが予定されています。

参考文献 (日本語)

Microsoft サポートオンライン
プロダクト サポート ライフサイクル - 製品一覧
http://support.microsoft.com/gp/lifeselect

Microsoft サポートオンライン
マイクロソフトプロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?p1=3071

Microsoft サポートオンライン
マイクロソフトプロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?p1=7274

■JPCERT/CC からのお願い