JPCERT-WR-2010-1801

JPCERT/CC

2010-05-19

<<< JPCERT/CC WEEKLY REPORT 2010-05-19 >>>

■05/09(日)〜05/15(土) のセキュリティ関連情報

目　次

【1】2010年5月 Microsoft セキュリティ情報について

【2】Apple Safari の window オブジェクト処理に脆弱性

【3】Adobe Shockwave Player に複数の脆弱性

【4】Movable Type にクロスサイトスクリプティングの脆弱性

【5】Cisco PGW 2200 Softswitch に複数の脆弱性

【6】Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性

【7】C/C++ セキュアコーディングセミナー 2010 ＠福岡開催せまる

【今週のひとくちメモ】Thunderbird 2 のサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr101801.txt
https://www.jpcert.or.jp/wr/2010/wr101801.xml

【1】2010年5月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA10-131A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-131A.html

US-CERT Cyber Security Alert SA10-131A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-131A.html

DOE-CIRC Technical Bulletin T-363
Microsoft Security Bulletin Summary for May 2010
http://www.doecirc.energy.gov/bulletins/t-363.shtml

概要

Microsoft Outlook Express、Windows Mail、Windows Live Mail、
Office などの製品および関連コンポーネントには、複数の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

【2】Apple Safari の window オブジェクト処理に脆弱性

情報源

US-CERT Vulnerability Note VU#943165
Apple Safari window object invalid pointer vulnerability
http://www.kb.cert.org/vuls/id/943165

US-CERT Current Activity Archive
Apple Safari Vulnerability
http://www.us-cert.gov/current/archive/2010/05/14/archive.html#apple_safari_vulnerability

概要

Apple Safari には、window オブジェクトの処理に起因する脆弱性があ
ります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させる
ことで、ユーザの権限で任意のコードを実行する可能性があります。な
お、本脆弱性を使用した攻撃コードが公開されています。

対象となるバージョンは以下の通りです。

- Apple Safari 4.0.5 for Windows

その他のプラットフォームおよびバージョンも影響を受ける可能性があ
ります。

2010年5月19日現在、この問題に対する解決策は提供されていません。
回避策としては、JavaScript を無効にするなどの方法があります。

【3】Adobe Shockwave Player に複数の脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Update for Shockwave Player
http://www.us-cert.gov/current/archive/2010/05/14/archive.html#adobe_releases_update_for_shockwave2

DOE-CIRC Technical Bulletin T-364
Multiple Adobe Shockwave Player Remote Code Execution Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-364.shtml

概要

Adobe Shockwave Player には、複数の脆弱性があります。結果として
遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任
意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Adobe Shockwave Player 11.5.2.606 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Adobe
Shockwave Player を更新することで解決します。詳細については 
Adobe が提供する情報を参照してください。

【4】Movable Type にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#92854093
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN92854093/index.html

概要

Movable Type には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type Open Source 5.0 および 5.01
- Movable Type 5.0 および 5.01 (Professional Pack、Community Pack 
  を同梱)

この問題は、シックス・アパートが提供する修正済みのバージョンに 
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。

【5】Cisco PGW 2200 Softswitch に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Updates for PGW Softswitch
http://www.us-cert.gov/current/archive/2010/05/14/archive.html#cisco_releases_updates_for_pgw

概要

Cisco PGW 2200 Softswitch には、複数の脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。

対象となるバージョンは以下の通りです。

- Cisco PGW 2200 Softswitch 9.7(3)S11 より前のバージョン
- Cisco PGW 2200 Softswitch 9.8(1)S5 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco PGW 2200 
Softswitch を更新することで解決します。詳細については、Cisco が
提供する情報を参照してください。

【6】Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#602801
Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性
https://jvn.jp/cert/JVNVU602801/index.html

概要

Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) には、
複数の脆弱性があります。結果として、遠隔の第三者が細工した HTML 
文書を閲覧させることで、ユーザの権限で任意のコードを実行したり、
SYSTEM 権限を取得したりする可能性があります。

対象となる製品は以下の通りです。

- Intelligent Assistance Suite (IAS)

この問題は、Consona が提供するパッチを該当する製品に適用すること
で解決します。詳細について Consona が提供する情報を参照してくだ
さい。

【7】C/C++ セキュアコーディングセミナー 2010 ＠福岡開催せまる

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠福岡のご案内
https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。「C/C++ セキュアコーディングセミナー 2010 ＠福岡」は、九
州地区のプログラム開発者の方々に受講いただけるよう、福岡を会場と
して 5月27日、28日の 2回コースで開催いたします。

開催まで残り一週間となりました。ひきつづき、参加申し込みをお待
ちしております。奮ってご参加ください。

  [日時] part 1 ＜セキュアコーディング概論・文字列＞
         2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜)
         part 2 ＜整数・コードレビュー＞
         2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜)

  [会場] 福岡ソフトリサーチパーク 研修室１
         福岡市早良区百道浜２丁目１番２２号

  [定員] 50名／回

  [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ
         クトマネージャ、コードレビュアー、品質管理担当者、プロ
         グラマ・エンジニアの教育担当者、等

■今週のひとくちメモ

○Thunderbird 2 のサポート終了

Thunderbird 2 のサポートが 2010年6月上旬で終了します。2010年3月
17日にリリースされた現行の Thunderbird 2.0.0.24 が最後のバージョ
ンとなる予定です。

Thunderbird 3 へ移行していないユーザは、使用するアドオンの対応状
況や他アプリケーションとの連携などの確認を行い、早めに
Thunderbird 3 へ移行することをお勧めします。

参考文献 (日本語)

Mozilla Japan ブログ
Thunderbird 2 のサポート終了予定について
http://mozilla.jp/blog/entry/5456/

Mozilla Messaging
Thunderbird 2 から 3 へのアップグレードにおけるよくある質問（FAQ）
http://support.mozillamessaging.com/ja/kb/FAQ+Upgrading+Thunderbird+2+to+3

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2010-05-19号

<<< JPCERT/CC WEEKLY REPORT 2010-05-19 >>>

■05/09(日)〜05/15(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Thunderbird 2 のサポート終了

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次