-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1601 JPCERT/CC 2009-04-22 <<< JPCERT/CC WEEKLY REPORT 2009-04-22 >>> ―――――――――――――――――――――――――――――――――――――― ■04/12(日)〜04/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2009年4月 Microsoft セキュリティ情報について 【2】2009年4月 Oracle Critical Patch Update について 【3】Xpdf と poppler に複数の脆弱性 【4】Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性 【5】LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Windows XP メインストリームサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091601.html http://www.jpcert.or.jp/wr/2009/wr091601.xml ============================================================================ 【1】2009年4月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA09-104A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-104A.html US-CERT Cyber Security Alert SA09-104A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-104A.html 概要 Microsoft Windows、Windows Server、Office、ISA Server および関連 コンポーネントには、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2009 年 4 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx マイクロソフト セキュリティ情報 MS09-009 - 緊急 Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557) http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx マイクロソフト セキュリティ情報 MS09-010 - 緊急 ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477) http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx マイクロソフト セキュリティ情報 MS09-011 - 緊急 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373) http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx マイクロソフト セキュリティ情報 MS09-012 - 重要 Windows の脆弱性により、特権が昇格される (959454) http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx マイクロソフト セキュリティ情報 MS09-013 - 緊急 Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803) http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx マイクロソフト セキュリティ情報 MS09-014 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027) http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx マイクロソフト セキュリティ情報 MS09-015 - 警告 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426) http://www.microsoft.com/japan/technet/security/bulletin/ms09-015.mspx マイクロソフト セキュリティ情報 MS09-016 - 重要 Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759) http://www.microsoft.com/japan/technet/security/bulletin/ms09-016.mspx Japan Vulnerability Notes JVNTA09-104A Microsoft 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA09-104A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft Excel の脆弱性(MS09-009)について http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-009.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft ワードパッドおよび Office テキストコンバーターの脆弱性(MS09-010)について http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-010.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft Windows の特権昇格の脆弱性(MS09-012)について http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-012.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016) http://www.cyberpolice.go.jp/important/2009/20090415_111614.html JPCERT/CC Alert 2009-04-15 2009年4月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090007.txt 【2】2009年4月 Oracle Critical Patch Update について 情報源 US-CERT Technical Cyber Security Alert TA09-105A Oracle Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-105A.html DOE-CIRC Technical Bulletin T-111 Oracle April 2009 Critical Patch Update http://www.doecirc.energy.gov/bulletins/t-111.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取 得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2009年7月にリリー スされる予定です。 関連文書 (日本語) Oracle internet Support Center [CPUApril2009] Oracle Critical Patch Update Advisory - April 2009 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=133019 Oracle Technology Network Critical Patch Update - April 2009 http://www.oracle.com/technology/global/jp/security/090417_86/top.html Japan Vulnerability Notes JVNTA09-105A Oracle 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA09-105A/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - April 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html 【3】Xpdf と poppler に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#196617 Xpdf and poppler contain multiple vulnerabilities in the processing of JBIG2 data http://www.kb.cert.org/vuls/id/196617 概要 Xpdf、および Xpdf に基づくコードが含まれている poppler には、 JBIG2 データの処理にかかわる複数の脆弱性があります。結果として、 遠隔の第三者が細工した PDF 文書を閲覧させることで、PDF 閲覧ソフ トウェアをクラッシュさせたり、任意のコードを実行したりする可能性 があります。 対象となる製品およびバージョンは以下の通りです。 - Xpdf 3.02pl2 およびそれ以前 - poppler 0.10.5 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。詳細につい ては、ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#196617 Xpdf および poppler の JBIG2 データの処理における複数の脆弱性 http://jvn.jp/cert/JVNVU196617/index.html 関連文書 (英語) Glyph & Cog, LLC Xpdf 3.02pl3 was released 2009-apr-16 http://www.foolabs.com/xpdf/download.html Poppler Poppler 0.10 Releases - poppler-0.10.6.tar.gz (Thu Apr 16, 2009) http://poppler.freedesktop.org/releases.html Red Hat Security Advisory RHSA-2009:0429-1 Important: cups security update https://rhn.redhat.com/errata/RHSA-2009-0429.html Red Hat Security Advisory RHSA-2009:0431-1 Important: kdegraphics security update https://rhn.redhat.com/errata/RHSA-2009-0431.html 【4】Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#789121 Microsoft Whale Intelligent Application Gateway Whale Client Components ActiveX control stack buffer overflows http://www.kb.cert.org/vuls/id/789121 概要 Microsoft Whale Intelligent Application Gateway の Whale Client Components ActiveX コントロールには、バッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲 覧させることで、そのユーザの権限で任意のコードを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Microsoft Intelligent Application Gateway 3.7 SP2 より前のバー ジョン この問題は、マイクロソフトが提供する修正済みのバージョンに Microsoft Intelligent Application Gateway を更新することで解決し ます。 関連文書 (英語) Microsoft Technet Library Intelligent Application Gateway (IAG) 2007 Service Pack 2 release notes http://technet.microsoft.com/en-us/library/dd282918.aspx Microsoft Download Center Microsoft Whale Communications Intelligent Application Gateway 2007 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyID=e69dfd1d-d333-4c27-9246-279ada224317&displaylang=en 【5】LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#82744714 LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN82744714/index.html 概要 LovPop.net の apricot.php には、クロスサイトスクリプティングの脆 弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となる製品は以下の通りです。 - apricot.php なお、apricot.php は 2009年3月19日をもって、公開およびメンテナン スを終了しています。引き続きアクセスログ解析を行う場合は、同等の 機能が実装された他製品の使用を推奨します。 関連文書 (日本語) LovPop.net 無料アクセス解析プログラム ─ apricot.php 1.20 http://www.lovpop.net/apricot/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows XP メインストリームサポート終了 2009年4月14日(米国時間)、Windows XP のメインストリームサポート期 間が終了し、延長サポート期間となりました。今後、延長サポート期間 中はセキュリティ更新プログラムサポートは継続されますが、セキュリ ティ関連以外の機能拡張などは提供されません。Windows XP の延長サ ポート期間は、2014年4月までの予定です。 マイクロソフト製品のビジネス、開発用ソフトウェアのサポートは「メ インストリームサポート」、「延長サポート」のふたつのフェーズで提 供されています。サポートサイクルのポリシーの詳細については、下記 関連文書を参照してください。 参考文献 (日本語) Microsoft Windows XP メインストリームサポートの終了 http://www.microsoft.com/japan/windows/products/windowsxp/future.mspx 参考文献 (英語) Microsoft サポート オンライン マイクロソフト サポート ライフサイクル http://support.microsoft.com/gp/lifecycle ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSe55bYx1ay4slNTtAQi28QQAn3Wk+rht1AksUKqD/YKdl+xEQzIfUkMd eB/TaEuLcX8yv31r7w+8g7rAaYYLtfm7LxjN9oBmYpnvTGSxc2MbsXMusnNPrvxZ 6ic4aujyzUjX8ngQmAF2+2n9+0pTQhaxFMT5FNFOm2GG1LJQrKUvO4xCCR0aiqfQ aE5v4Bl/TBg= =ZDne -----END PGP SIGNATURE-----