JPCERT-WR-2009-1601
2009-04-22
2009-04-12
2009-04-18
2009年4月 Microsoft セキュリティ情報について
Microsoft Windows、Windows Server、Office、ISA Server および関連
コンポーネントには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。
2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx
マイクロソフト セキュリティ情報 MS09-009 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx
マイクロソフト セキュリティ情報 MS09-010 - 緊急
ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx
マイクロソフト セキュリティ情報 MS09-011 - 緊急
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx
マイクロソフト セキュリティ情報 MS09-012 - 重要
Windows の脆弱性により、特権が昇格される (959454)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx
マイクロソフト セキュリティ情報 MS09-013 - 緊急
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx
マイクロソフト セキュリティ情報 MS09-014 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx
マイクロソフト セキュリティ情報 MS09-015 - 警告
SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-015.mspx
マイクロソフト セキュリティ情報 MS09-016 - 重要
Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-016.mspx
Japan Vulnerability Notes JVNTA09-104A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-104A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Excel の脆弱性(MS09-009)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-009.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft ワードパッドおよび Office テキストコンバーターの脆弱性(MS09-010)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-010.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows の特権昇格の脆弱性(MS09-012)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-012.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016)
http://www.cyberpolice.go.jp/important/2009/20090415_111614.html
JPCERT/CC Alert 2009-04-15
2009年4月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090007.txt
2009年4月 Oracle Critical Patch Update について
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。
なお、次回の Oracle Critical Patch Update は、2009年7月にリリー
スされる予定です。
Oracle internet Support Center
[CPUApril2009] Oracle Critical Patch Update Advisory - April 2009
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=133019
Oracle Technology Network
Critical Patch Update - April 2009
http://www.oracle.com/technology/global/jp/security/090417_86/top.html
Japan Vulnerability Notes JVNTA09-105A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-105A/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
Xpdf と poppler に複数の脆弱性
Xpdf、および Xpdf に基づくコードが含まれている poppler には、
JBIG2 データの処理にかかわる複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF 文書を閲覧させることで、PDF 閲覧ソフ
トウェアをクラッシュさせたり、任意のコードを実行したりする可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- Xpdf 3.02pl2 およびそれ以前
- poppler 0.10.5 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#196617
Xpdf および poppler の JBIG2 データの処理における複数の脆弱性
http://jvn.jp/cert/JVNVU196617/index.html
Glyph & Cog, LLC
Xpdf 3.02pl3 was released 2009-apr-16
http://www.foolabs.com/xpdf/download.html
Poppler
Poppler 0.10 Releases - poppler-0.10.6.tar.gz (Thu Apr 16, 2009)
http://poppler.freedesktop.org/releases.html
Red Hat Security Advisory RHSA-2009:0429-1
Important: cups security update
https://rhn.redhat.com/errata/RHSA-2009-0429.html
Red Hat Security Advisory RHSA-2009:0431-1
Important: kdegraphics security update
https://rhn.redhat.com/errata/RHSA-2009-0431.html
Microsoft の Whale Client Components ActiveX コントロールにバッファオーバーフローの脆弱性
Microsoft Whale Intelligent Application Gateway の Whale Client
Components ActiveX コントロールには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲
覧させることで、そのユーザの権限で任意のコードを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- Microsoft Intelligent Application Gateway 3.7 SP2 より前のバー
ジョン
この問題は、マイクロソフトが提供する修正済みのバージョンに
Microsoft Intelligent Application Gateway を更新することで解決し
ます。
Microsoft Technet Library
Intelligent Application Gateway (IAG) 2007 Service Pack 2 release notes
http://technet.microsoft.com/en-us/library/dd282918.aspx
Microsoft Download Center
Microsoft Whale Communications Intelligent Application Gateway 2007 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=e69dfd1d-d333-4c27-9246-279ada224317&displaylang=en
LovPop.net の apricot.php にクロスサイトスクリプティングの脆弱性
LovPop.net の apricot.php には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。
対象となる製品は以下の通りです。
- apricot.php
なお、apricot.php は 2009年3月19日をもって、公開およびメンテナン
スを終了しています。引き続きアクセスログ解析を行う場合は、同等の
機能が実装された他製品の使用を推奨します。
LovPop.net
無料アクセス解析プログラム ─ apricot.php 1.20
http://www.lovpop.net/apricot/
Windows XP メインストリームサポート終了
2009年4月14日(米国時間)、Windows XP のメインストリームサポート期
間が終了し、延長サポート期間となりました。今後、延長サポート期間
中はセキュリティ更新プログラムサポートは継続されますが、セキュリ
ティ関連以外の機能拡張などは提供されません。Windows XP の延長サ
ポート期間は、2014年4月までの予定です。
マイクロソフト製品のビジネス、開発用ソフトウェアのサポートは「メ
インストリームサポート」、「延長サポート」のふたつのフェーズで提
供されています。サポートサイクルのポリシーの詳細については、下記
関連文書を参照してください。
Microsoft
Windows XP メインストリームサポートの終了
http://www.microsoft.com/japan/windows/products/windowsxp/future.mspx
Microsoft サポート オンライン
マイクロソフト サポート ライフサイクル
http://support.microsoft.com/gp/lifecycle