-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1701 JPCERT/CC 2009-04-30 <<< JPCERT/CC WEEKLY REPORT 2009-04-30 >>> ―――――――――――――――――――――――――――――――――――――― ■04/19(日)〜04/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】Movable Type にクロスサイトスクリプティングの脆弱性 【3】「新入社員等研修向け情報セキュリティマニュアル」公開のお知らせ 【今週のひとくちメモ】マイクロソフトセキュリティ更新プログラムの ISO イメージ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091701.html http://www.jpcert.or.jp/wr/2009/wr091701.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Foundation Releases Firefox 3.0.9 http://www.us-cert.gov/current/archive/2009/04/23/archive.html#mozilla_foundation_releases_firefox_32 DOE-CIRC Technical Bulletin T-115 Multiple Vulnerabilities in Firefox, Thunderbird and Seamonkey http://www.doecirc.energy.gov/bulletins/t-115.shtml 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書または XML 文書を処理させることで任意のコードを実行したり、ユーザのブラ ウザ上で任意のスクリプトを実行したりするなどの可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.10 なお、この問題の対策として、Firefox 3.0.9 がリリースされましたが、 一部問題があり Firefox 3.0.10 が公開されています。また、2009年4 月28日現在、Thunderbird および SeaMonkey の修正プログラムは提供 されていません。詳細については、OS のベンダや配布元が提供する情 報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.10 - 2009/04/27 リリース http://mozilla.jp/firefox/3.0.10/releasenotes/ Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 関連文書 (英語) Red Hat Security Advisory RHSA-2009:0436-1 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2009-0436.html Red Hat Security Advisory RHSA-2009:0437-2 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2009-0437.html 【2】Movable Type にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#97248625 Movable Type におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN97248625/index.html 概要 Movable Type には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type 4.24 (Professional Pack、Community Pack を同梱) - Movable Type Commercial 4.24 (Professional Pack を同梱) - Movable Type 4.24 Enterprise - Movable Type 4.24 (Open Source) また、以下の環境でグローバルテンプレートの初期化が行われていない 場合、本脆弱性の影響を受けます。 - Movable Type 4.25 (Movable Type 4.24 (Professional Pack, Community Pack を同梱) からアップグレードした環境) - Movable Type 4.25 (Movable Type 4.24 Enterprise からアップグレー ドした環境) この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。詳細については、シック ス・アパートが提供する情報を参照してください。 関連文書 (日本語) シックス・アパート Movable Type 4.24 でのセキュリティ上の問題について http://www.movabletype.jp/blog/security-info_mt424.html 【3】「新入社員等研修向け情報セキュリティマニュアル」公開のお知らせ 情報源 JPCERT Coordination Center 新入社員等研修向け情報セキュリティマニュアル http://www.jpcert.or.jp/magazine/security/newcomer.html 概要 2009年4月24日、JPCERT/CC は「新入社員等研修向け情報セキュリティ マニュアル」を公開しました。 本文書は、企業や組織の教育担当者や情報セキュリティ担当者に向けて、 新入社員等に対して情報セキュリティに関する知識を教える際のガイド ライン、研修資料のベースとなるような情報やトピックをまとめたもの です。 関連文書 (日本語) JPCERT Coordination Center セキュリティ対策講座 新入社員等研修向け情報セキュリティマニュアル http://www.jpcert.or.jp/magazine/security/newcomer_20090424.pdf ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトセキュリティ更新プログラムの ISO イメージ マイクロソフト製品のセキュリティ更新プログラムは Windows Update などを通じて配布されていますが、これとは別に、ISO-9660 DVD5 イメー ジファイルとしても提供されています。このイメージファイルは月毎に まとめられており、すべてのアーキテクチャ・各国語版のセキュリティ 更新プログラムが含まれています。 インターネットに接続していない PC に対してセキュリティ更新プログ ラムを適用する際など、このイメージファイルを利用することで、必要 なセキュリティ更新プログラムを一括して入手することが可能です。 実際の ISO イメージファイルの入手については下記関連文書の URL を 参照してください。最新版を入手したい場合は、英語ページを参照して ください。 参考文献 (日本語) Microsoft サポートオンライン Microsoft ダウンロード センターで入手できる、ISO-9660 DVD5 イメージ ファイル形式のセキュリティ更新プログラム http://support.microsoft.com/default.aspx?scid=kb;ja;913086 参考文献 (英語) Microsoft Help and Support Security updates are available on ISO-9660 DVD5 image files from the Microsoft Download Center http://support.microsoft.com/default.aspx?scid=kb;en;913086 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSfkB04x1ay4slNTtAQhSEAQAp2yKbKLVMGF7GZTw6Sz13EUPWgbOSxFi SuNSEN2e0CHFZ/vd+94C0enCJgI+zEuMpzPg307wg+HCKMSGsYLMnmsucKHweh/r a8L5KTth2PHXl6KDgxPqhtPK2qfiQmP3rLrKkAXfUUtf0CaGOw/cFC6NaqJ73Zkh y8/Kx7Wt5NM= =TBXk -----END PGP SIGNATURE-----