JPCERT コーディネーションセンター

Weekly Report 2009-11-11号

JPCERT-WR-2009-4301
JPCERT/CC
2009-11-11

<<< JPCERT/CC WEEKLY REPORT 2009-11-11 >>>

■11/01(日)〜11/07(土) のセキュリティ関連情報

目 次

【1】Java Runtime Environment (JRE) に複数の脆弱性

【2】Adobe Shockwave Player に複数の脆弱性

【3】BlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性

【4】Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性

【5】Internet Week 2009 のお知らせ

【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第7版

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr094301.txt
https://www.jpcert.or.jp/wr/2009/wr094301.xml

【1】Java Runtime Environment (JRE) に複数の脆弱性

情報源

US-CERT Current Activity Archive
Sun Releases Update 17 for Java SE 6
http://www.us-cert.gov/current/archive/2009/11/06/archive.html#sun_releases_update_17_for

DOE-CIRC Technical Bulletin T-267
Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment
http://www.doecirc.energy.gov/bulletins/t-267.shtml

概要

Java Runtime Environment (JRE) には、複数の脆弱性があります。結
果として、遠隔の第三者が細工した Web ページを閲覧させることで認
証を回避したり、任意のコードを実行したり、サービス運用妨害 (DoS) 
攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 16 およびそれ以前
- JDK/JRE 5.0 Update 21 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。

なお、JDK/JRE 5.0 系列は、2009年10月30日でサポートを終了していま
す。今後修正プログラムは提供されません。後継のバージョンへの対応
をおすすめします。

関連文書 (英語)

Sun Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u17.html

Sun Alert 269868
The Java Update Mechanism on Non-English Versions Does Not Update the JRE When a New Version is Available
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1

Sun Alert 269869
Command Execution Vulnerability in the Java Runtime Environment Deployment Toolkit May be Leveraged to Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1

Sun Alert 269870
Security Vulnerability in the Java Web Start Installer May be Leveraged to Allow Untrusted Java Web Start Application to Run As Trusted Application
http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1

Sun Alert 270474
Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment With Processing Audio and Image Files May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1

Sun Alert 270475
A Security Vulnerability in the Java Runtime Environment With Verifying HMAC Digests may Allow Authentication to be Bypassed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1

Sun Alert 270476
Two Security Vulnerabilities in the Java Runtime Environment With Decoding DER Encoded Data and Parsing HTTP Headers may Result in a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1

【2】Adobe Shockwave Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Update for Shockwave Player
http://www.us-cert.gov/current/archive/2009/11/06/archive.html#adobe_releases_update_for_shockwave1

概要

Adobe Shockwave Player には、複数の脆弱性があります。結果として
遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任
意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Shockwave Player 11.5.2.601 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Adobe 
Shockwave Player を更新することで解決します。詳細については Adobe
が提供する情報を参照してください。

関連文書 (英語)

Adobe Security Bulletin APSB09-16
Security updates available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-16.html

【3】BlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity Archive
BlackBerry Desktop Manager Vulnerability
http://www.us-cert.gov/current/archive/2009/11/06/archive.html#blackberry_desktop_manager_vulnerability

DOE-CIRC Technical Bulletin T-265
BlackBerry Desktop Manager ActiveX Control Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-265.shtml

概要

BlackBerry Desktop Manager ActiveX コントロールには、バッファオー
バーフローの脆弱性があります。遠隔の第三者が細工した HTML 文書を
閲覧させることで、該当する ActiveX コントロールを使用しているユー
ザの権限で任意のコードを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- BlackBerry Desktop Software 5.0 およびそれ以前

この問題は、Research In Motion が提供する修正済みのバージョンに、
BlackBerry Desktop Software を更新することで解決します。詳細につ
いては、Research In Motion が提供する情報を参照してください。

関連文書 (英語)

Research In Motion - Security Advisory KB19701
Vulnerability in the BlackBerry Desktop Manager allows remote code execution
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19701

【4】Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#75694913
Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN75694913/index.html

Japan Vulnerability Notes JVN#72974205
Roundcube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN72974205/index.html

概要

Roundcube Webmail Project が提供する Web メールアプリケーション
Roundcube Webmail には、クロスサイトリクエストフォージェリの脆弱
性があります。結果として、遠隔の第三者がユーザの意図しない情報を
登録したり、意図しないメールを送信したりする可能性があります。

対象となるバージョンは以下の通りです。

- Roundcube Webmail 0.2.2 およびそれ以前

この問題は、Roundcube Webmail Project が提供する修正済みのバージョ
ンに Roundcube Webmail を更新することで解決します。

関連文書 (英語)

Roundcube Webmail Project
The Roundcube project news
http://roundcube.net/news

Roundcube Webmail Project
Downloading Roundcube webmail
http://roundcube.net/download

【5】Internet Week 2009 のお知らせ

情報源

JPCERT/CC イベント情報
Internet Week 2009
https://www.jpcert.or.jp/event/internetweek2009.html

概要

2009年11月24日(火) より 11月27日(金) まで、秋葉原コンベンション
ホールにおいて JPNIC 主催の Internet Week 2009 が開催されます。

Internet Week は、インターネットに関する技術の研究・開発、構築・
運用・サービスに関わる人々が一堂に会し、主にインターネットの基盤
技術の基礎知識や最新動向を学び、議論し、理解と交流を深めるための
イベントです。

参加登録申込みについては、以下の Web ページをご参照ください。

事前申込は 11月13日(金) 18:00 までとなっています。この期間にお申
し込みいただきますと、事前割引料金でご参加いただけます。

関連文書 (日本語)

Internet Week 2009
Internet Week 2009 お申し込みに関して
https://internetweek.jp/apply/

■今週のひとくちメモ

○マイクロソフトセキュリティインテリジェンスレポート 第7版

マイクロソフトは、2009年上半期の脆弱性やマルウエア動向についてま
とめた、マイクロソフトセキュリティインテリジェンスレポートを 
2009年11月2日に公開しています。セキュリティインテリジェンスレポー
トは、半年ごとに公開されており、今回は第7版の公開となります。

今回のレポートでは OS のバージョン毎の違いによるウイルス感染率や、
各地域で蔓延しているマルウエアの種別などが報告されています。また、
悪用された脆弱性の半分以上は 2006年に対応された古いものであるな
ど、システム管理者にとっても有益な情報が掲載されています。

レポート全文は英語のみでの公開となっていますが、要約版については
日本語でも提供されています。

参考文献 (日本語)

マイクロソフト セキュリティ ホーム
マイクロソフト セキュリティ インテリジェンス レポート
http://www.microsoft.com/japan/security/contents/sir.mspx

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter