JPCERT-WR-2009-1701
2009-04-30
2009-04-19
2009-04-25
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書または
XML 文書を処理させることで任意のコードを実行したり、ユーザのブラ
ウザ上で任意のスクリプトを実行したりするなどの可能性があります。
対象となる製品は以下の通りです。
- Firefox
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.10
なお、この問題の対策として、Firefox 3.0.9 がリリースされましたが、
一部問題があり Firefox 3.0.10 が公開されています。また、2009年4
月28日現在、Thunderbird および SeaMonkey の修正プログラムは提供
されていません。詳細については、OS のベンダや配布元が提供する情
報を参照してください。
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.10 - 2009/04/27 リリース
http://mozilla.jp/firefox/3.0.10/releasenotes/
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
Red Hat Security Advisory RHSA-2009:0436-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0436.html
Red Hat Security Advisory RHSA-2009:0437-2
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0437.html
Movable Type にクロスサイトスクリプティングの脆弱性
Movable Type には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Movable Type 4.24 (Professional Pack、Community Pack を同梱)
- Movable Type Commercial 4.24 (Professional Pack を同梱)
- Movable Type 4.24 Enterprise
- Movable Type 4.24 (Open Source)
また、以下の環境でグローバルテンプレートの初期化が行われていない
場合、本脆弱性の影響を受けます。
- Movable Type 4.25 (Movable Type 4.24 (Professional Pack,
Community Pack を同梱) からアップグレードした環境)
- Movable Type 4.25 (Movable Type 4.24 Enterprise からアップグレー
ドした環境)
この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。
シックス・アパート
Movable Type 4.24 でのセキュリティ上の問題について
http://www.movabletype.jp/blog/security-info_mt424.html
「新入社員等研修向け情報セキュリティマニュアル」公開のお知らせ
2009年4月24日、JPCERT/CC は「新入社員等研修向け情報セキュリティ
マニュアル」を公開しました。
本文書は、企業や組織の教育担当者や情報セキュリティ担当者に向けて、
新入社員等に対して情報セキュリティに関する知識を教える際のガイド
ライン、研修資料のベースとなるような情報やトピックをまとめたもの
です。
JPCERT Coordination Center セキュリティ対策講座
新入社員等研修向け情報セキュリティマニュアル
http://www.jpcert.or.jp/magazine/security/newcomer_20090424.pdf
マイクロソフトセキュリティ更新プログラムの ISO イメージ
マイクロソフト製品のセキュリティ更新プログラムは Windows Update
などを通じて配布されていますが、これとは別に、ISO-9660 DVD5 イメー
ジファイルとしても提供されています。このイメージファイルは月毎に
まとめられており、すべてのアーキテクチャ・各国語版のセキュリティ
更新プログラムが含まれています。
インターネットに接続していない PC に対してセキュリティ更新プログ
ラムを適用する際など、このイメージファイルを利用することで、必要
なセキュリティ更新プログラムを一括して入手することが可能です。
実際の ISO イメージファイルの入手については下記関連文書の URL を
参照してください。最新版を入手したい場合は、英語ページを参照して
ください。
Microsoft サポートオンライン
Microsoft ダウンロード センターで入手できる、ISO-9660 DVD5 イメージ ファイル形式のセキュリティ更新プログラム
http://support.microsoft.com/default.aspx?scid=kb;ja;913086
Microsoft Help and Support
Security updates are available on ISO-9660 DVD5 image files from the Microsoft Download Center
http://support.microsoft.com/default.aspx?scid=kb;en;913086