-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1901 JPCERT/CC 2009-05-20 <<< JPCERT/CC WEEKLY REPORT 2009-05-20 >>> ―――――――――――――――――――――――――――――――――――――― ■05/10(日)〜05/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2009年5月 Microsoft セキュリティ情報について 【2】「Adobe Reader および Acrobat に脆弱性」に関する追加情報 【3】Apple 製品に複数の脆弱性 【4】Cyrus SASL ライブラリにバッファオーバーフローの脆弱性 【5】Sun GlassFish Enterprise Server と Sun Java System Application Server にクロスサイトスクリプティングの脆弱性 【6】RSA Conference Japan 2009 のご案内 【今週のひとくちメモ】ウェブブラウザのアドオンに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091901.html http://www.jpcert.or.jp/wr/2009/wr091901.xml ============================================================================ 【1】2009年5月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA09-132A Microsoft PowerPoint Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-132A.html US-CERT Cyber Security Alert SA09-132A Microsoft PowerPoint Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-132A.html DOE-CIRC Technical Bulletin T-134 Microsoft PowerPoint Notes Container Heap Memory Corruption Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-134.shtml 概要 Microsoft Office PowerPoint および関連コンポーネントには、複数の 脆弱性があります。結果として、遠隔の第三者が細工した PowerPoint ファイルをユーザに閲覧させることで、任意のコードを実行したり、権 限を昇格したりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC REPORT 2009-04-08【2】で紹介した問題に対する解 決策も含まれています。また、マイクロソフトによると、Microsoft Office for Mac および関連コンポーネントのセキュリティ更新プログ ラムは 2009年5月19日現在、準備中となっています。 関連文書 (日本語) 2009 年 5 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx マイクロソフト セキュリティ情報 MS09-017 - 緊急 Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340) http://www.microsoft.com/japan/technet/security/bulletin/MS09-017.mspx Japan Vulnerability Notes JVNTA09-132A Microsoft Office PowerPoint に複数の脆弱性 http://jvn.jp/cert/JVNTA09-132A/index.html Japan Vulnerability Notes JVNVU#627331 Microsoft Office PowerPoint に任意のコードが実行される脆弱性 http://jvn.jp/cert/JVNVU627331/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft Office の PowerPoint の脆弱性(MS09-017) について http://www.ipa.go.jp/security/ciadr/vul/20090513-ms09-017.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-017) http://www.cyberpolice.go.jp/important/2009/20090513_105022.html JPCERT/CC Alert 2009-05-13 2009年5月 Microsoft セキュリティ情報 (緊急 1件) に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090008.txt JPCERT/CC REPORT 2009-04-08 【2】Microsoft Office PowerPoint に脆弱性 http://www.jpcert.or.jp/wr/2009/wr091401.html#2 【2】「Adobe Reader および Acrobat に脆弱性」に関する追加情報 情報源 US-CERT Technical Cyber Security Alert TA09-133B Adobe Reader and Acrobat JavaScript Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-133B.html US-CERT Cyber Security Alert SA09-133B Adobe Reader and Acrobat Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-133B.html 概要 JPCERT/CC WEEKLY REPORT 2009-05-13 号【1】で紹介した「Adobe Reader および Acrobat に脆弱性」に関する追加情報です。 Adobe Reader および Acrobat の修正済みのバージョンが提供されまし た。詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNTA09-133B Adobe Reader および Acrobat における脆弱性 http://jvn.jp/cert/JVNTA09-133B/index.html Japan Vulnerability Notes JVNVU#970180 Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性 http://jvn.jp/cert/JVNVU970180/index.html @police アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて http://www.cyberpolice.go.jp/important/2009/20090514_190910.html JPCERT/CC Alert 2009-05-13 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090009.txt JPCERT/CC WEEKLY REPORT 2009-05-13 【1】Adobe Reader および Acrobat に脆弱性 http://www.jpcert.or.jp/wr/2009/wr091801.html#1 関連文書 (英語) Adobe Security Bulletin APSB09-06 Security Updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb09-06.html 【3】Apple 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA09-133A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-133A.html US-CERT Cyber Security Alert SA09-133A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-133A.html DOE-CIRC Technical Bulletin T-135 Apple Mac OS X Help Viewer HTML Document Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-135.shtml 概要 Mac OS X、Mac OS X Server、Safari には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取 得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行った りする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 (Tiger) - Apple Mac OS X 10.5.6 およびそれ以前 (Leopard) - Apple Mac Server OS X 10.4.11 およびそれ以前 (Tiger) - Apple Mac Server OS X 10.5.6 およびそれ以前 (Leopard) - Safari 3 (Windows、Mac OS X 10.4、Mac OS X 10.5) この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT3550 Safari 3.2.3 のセキュリティコンテンツについて http://support.apple.com/kb/HT3550?viewlocale=ja_JP Japan Vulnerability Notes JVNTA09-133A Apple 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA09-133A/index.html 関連文書 (英語) Apple Support HT3549 About the security content of Security Update 2009-002 / Mac OS X v10.5.7 http://support.apple.com/kb/HT3549?viewlocale=en_US DOE-CIRC Technical Bulletin T-136 Apple Mac OS X PICT Image Handling Integer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-136.shtml 【4】Cyrus SASL ライブラリにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#238019 Cyrus SASL library buffer overflow vulnerability http://www.kb.cert.org/vuls/id/238019 概要 Cyrus SASL ライブラリには、バッファオーバーフローの脆弱性があり ます。結果として、遠隔の第三者が任意のコードを実行したり、SASL ライブラリを利用するプログラムをクラッシュさせたりする可能性があ ります。 対象となるバージョンは以下の通りです。 - Cyrus SASL 2.1.22 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Cyrus SASL ライブラリを更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#238019 Cyrus SASL ライブラリにおけるバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU238019/index.html 関連文書 (英語) Project Cyrus: Downloads SASL Library http://cyrusimap.web.cmu.edu/downloads.html#sasl 【5】Sun GlassFish Enterprise Server と Sun Java System Application Server にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#73653977 Sun GlassFish Enterprise Server および Sun Java System Application Server におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN73653977/index.html 概要 Sun GlassFish Enterprise Server および Sun Java System Application Server には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Sun GlassFish Enterprise Server v2.1 patch 1 およびそれ以前 - Sun Java System Application Server 9.1U2 およびそれ以前 なお、Sun Java System Application Server 8.x および 9.0 は、この 問題の影響を受けません。 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。詳細については、Sun が提供する情報を参 照してください。 関連文書 (英語) Sun Alert 258528 Cross-Site Scripting (XSS) Vulnerabilities in Sun GlassFish Enterprise Server and Sun Java System Application Server May Allow Execution of JavaScript Code http://sunsolve.sun.com/search/document.do?assetkey=1-66-258528-1 【6】RSA Conference Japan 2009 のご案内 情報源 RSA Conference Japan 2009 http://www.cmptech.jp/rsaconference/ 概要 『高信頼社会に向けての情報セキュリティ再考』 2009年6月8日(月) 〜 12日(金) 幕張メッセにおいて RSA Conference Japan 2009 が開催されます。JPCERT/CC は、本カンファレンスのクラ ストラックにおいて、講演、パネリスト、モデレータとして登壇いたし ます。クラストラック RC-02 では、今年 JPCERT/CC が 2500人以上に 対して行った IT セキュリティ予防接種からソーシャルエンジニアリン グ対策などを考察、クラストラック RC-08 では IPv6 導入に伴ってセ キュリティの脅威と対策について討論、クラストラック RC-18 では開 発現場で信頼性の高いソフトウェアを開発するための試み、課題などに ついてモデレートする予定です。 皆様のご参加申込みをお待ちしております。 会場  :幕張メッセ 会期  :2009年6月8日(月) 〜 6月12日(金) 参加料金:カンファレンス 有料 (一部無料)      展示会 3,000円 (税込) 事前登録により無料 事前登録: https://reg.cmptech.jp/public/application/add/236?lang=ja お問い合せ先:http://www.cmptech.jp/rsaconference/contact/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ウェブブラウザのアドオンに注意 FLASH や PDF ファイルを、ウェブブラウザ上で表示するには、アドオ ンをインストールしますが、それらのプログラムの脆弱性情報にも注意 し、適宜アップデートしましょう。昨今、アドオンの脆弱性を悪用し、 意図しないプログラムを実行させるケースが発生しています。 修正プログラムの自動更新・通知機能があるものは、スケジュールが正 しく設定されているか確認しましょう。また、使わないアドオンは無効 化または削除しましょう。Internet Explorer はアドオンなしで起動す るショートカットも用意されています。アドオンを使う必要が無い場合 はこちらのモードで、起動することでリスクを軽減することが可能です。 参考文献 (日本語) JPCERT/CC 技術メモ − 安全な Web ブラウザの使い方 http://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf JPCERT/CC REPORT 2008-08-13 【今週のひとくちメモ】アドオン機能なしで Internet Explorer 7 を起動する http://www.jpcert.or.jp/wr/2008/wr083101.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBShNZrYx1ay4slNTtAQhduAQAnWsw8OK8gKk62Ig8+/fTiXabBQiMdWaj MPJpqSTDxMzDrVus/AVQfXQqwxiLEp13Es0ySu5ZcJfSoibpXEUx9CKI/IQRhpjG WAGKxQPalYMe1Qplu2m9voMG6hGDSi53qZrqcodQUjEViujPUAJZwesY6Fo6M008 JKzh60j1OXs= =X5V2 -----END PGP SIGNATURE-----