<<< JPCERT/CC WEEKLY REPORT 2009-12-24 >>>

■12/13(日)〜12/19(土) のセキュリティ関連情報

目　次

【1】Adobe Reader および Acrobat に脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

【5】P forum にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】アンチウイルス製品のサポート期間にご注意

【1】Adobe Reader および Acrobat に脆弱性

情報源

US-CERT Vulnerability Note VU#508357
Adobe Acrobat and Reader contain a use-after-free vulnerability in the JavaScript Doc.media.newPlayer method
http://www.kb.cert.org/vuls/id/508357

DOE-CIRC Technical Bulletin T-280
New Adobe Reader, Acrobat Vulnerability
http://www.doecirc.energy.gov/bulletins/t-280.shtml

概要

Adobe Reader および Acrobat には、解放済みメモリが使用される 
(use-after-free) 脆弱性があります。結果として、遠隔の第三者が細
工した PDF ファイルを閲覧させることで任意のコードを実行したり, 
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
本脆弱性を使用した攻撃活動が観測されています。

対象となるバージョンは以下の通りです。

- Adobe Reader および Acrobat 9.2 およびそれ以前

2009年12月22日現在、この問題に対する解決策は提供されていません。

回避策としては、Adobe Reader および Acrobat で JavaScript を無効
にする、ブラウザ上での PDF ファイルの表示を無効にする、不審な PDF
ファイルを開かないなどの方法があります。詳細については、Adobe が
提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#508357
Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
https://jvn.jp/cert/JVNVU508357/index.html

関連文書 (英語)

Adobe - Security Advisories: APSA09-07
Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-07.html

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 3.5.6 and Firefox 3.0.16
http://www.us-cert.gov/current/archive/2009/12/18/archive.html#mozilla_releases_firefox_3_51

DOE-CIRC Technical Bulletin T-281
Mozilla Firefox and SeaMonkey MFSA 2009-65 through -71 Multiple Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-281.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、権限を昇格したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.16
- Firefox 3.5.6
- SeaMonkey 2.0

なお、2009年12月22日現在、Thunderbird の修正プログラムは提供され
ていません。詳細については、OS のベンダや配布元が提供する情報を
参照してください。

関連文書 (日本語)

Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.6 - 2009/12/15 リリース
http://mozilla.jp/firefox/3.5.6/releasenotes/

Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.16 - 2009/12/15 リリース
http://mozilla.jp/firefox/3.0.16/releasenotes/

Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.6

Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.16 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.16

関連文書 (英語)

The SeaMonkey Project
SeaMonkey 2.0
http://www.seamonkey-project.org/releases/seamonkey2.0/

Red Hat Security Advisory RHSA-2009:1674-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1674.html

Red Hat Security Advisory RHSA-2009:1673-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1673.html

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

情報源

VMware Security Advisories (VMSAs)
VMSA-2009-0017 VMware vCenter, ESX patch and vCenter Lab Manager releases address cross-site scripting issues
http://www.vmware.com/security/advisories/VMSA-2009-0017.html

概要

VMware 製品群のヘルプ機能には、クロスサイトスクリプティングの脆
弱性があります。結果として遠隔の第三者が、該当する製品にログイン
しているユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESX 4.0 (ESX400-200911223-UG 未適用のもの)
- VMware Server 2.0.2
- VMware vCenter Server 4.0 GA
- VMware Lab Manager 2.x
- VMware vCenter Lab Manager 3.x
- VMware vCenter Lab Manager 4.0
- VMware vCenter Stage Manager 1.x

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

関連文書 (英語)

WebWorks.com
WebWorks.com Security Advisory 2009-0001
http://www.webworks.com/Security/2009-0001/

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

情報源

US-CERT Vulnerability Note VU#228561
Microsoft Indeo video codecs contain multiple vulnerabilities
http://www.kb.cert.org/vuls/id/228561

概要

Microsoft Windows に含まれている Indeo コーデックには、複数の脆
弱性があります。結果として、遠隔の第三者が細工したビデオコンテン
ツを Windows Media Player、Internet Explorer や Windows Explorer
など Indeo コーデックを使用するアプリケーションで閲覧させること
で任意のコードを実行する可能性があります。

対象となるプラットフォームは以下の通りです。

- Microsoft Windows 2000
- Windows XP
- Windows Server 2003

2009年12月22日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。

回避策としては、Indeo コーデックの登録を解除するなどの方法があり
ます。また、マイクロソフトは回避策として Indeo コーデックの登録
を解除する「Fix it」を公開しています。詳細については、下記関連文
書を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (954157)
Indeo コーデックのセキュリティ強化機能
http://www.microsoft.com/japan/technet/security/advisory/954157.mspx

マイクロソフト セキュリティ アドバイザリ
Indeo コーデックの脆弱性により、リモートでコードが実行される (2009 年 12 月 8 日)
http://support.microsoft.com/kb/954157

Japan Vulnerability Notes JVNVU#228561
Indeo コーデックに複数の脆弱性
https://jvn.jp/cert/JVNVU228561/index.html

【5】P forum にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#00152874
P forum におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN00152874/index.html

概要

Rocomotion の電子掲示板ソフトウェア P forum には、ディレクトリト
ラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバ内
にある任意のファイルを閲覧する可能性があります。

対象となるバージョンは以下の通りです。

- P forum ver 1.27 およびそれ以前

この問題は、Rocomotion が提供する修正済みのバージョンに P forum 
を更新することで解決します。

関連文書 (日本語)

Rocomotion
P forumをお使いの方へ
http://another.rocomotion.jp/12604561773482.html

Rocomotion
P forum 1.28
http://another.rocomotion.jp/12568911093444.html

■今週のひとくちメモ

○アンチウイルス製品のサポート期間にご注意

2009年のひとくちメモの発行も本号が最後となりました。JPCERT/CC で
は「冬期の長期休暇を控えて」という文章を発行しましたが、そこでは
取り上げなかったトピックを一つご紹介させていただきます。

アンチウイルス製品を使用する際には、製品本体のサポート期間とウイ
ルス検知のためのパターンファイルの提供期間 (ライセンス有効期限) 
に注意が必要です。

製品本体のサポート期間中であってもパターンファイルの提供期間を過
ぎていたり、逆にパターンファイルの提供期間中であっても製品本体の
サポート期間を過ぎていると、最新のウイルスを検知できなくなる危険
があります。

お休み中にご家庭で使用しているパソコンのアンチウイルス製品のサポー
ト期間もチェックし、必要に応じて更新しましょう。

2009年も JPCERT/CC Weekly Report をご愛顧いただきありがとうござ
いました。2010年の発行は 1月14日からの予定です。

ではみなさま、良いお年を。

参考文献 (日本語)

JPCERT/CC
冬期の長期休暇を控えて 2009/12
http://www.jpcert.or.jp/pr/2009/pr090007.txt

トレンドマイクロ
ウイルスバスターサポート終了情報
http://jp.trendmicro.com/jp/support/personal/end_support/index.html

Kaspersky
製品のサポート期間について
http://www.kaspersky.co.jp/service/support_rules

■JPCERT/CC からのお願い