JPCERT-WR-2009-19012009-05-202009-05-102009-05-162009年5月 Microsoft セキュリティ情報について
Microsoft Office PowerPoint および関連コンポーネントには、複数の
脆弱性があります。結果として、遠隔の第三者が細工した PowerPoint
ファイルをユーザに閲覧させることで、任意のコードを実行したり、権
限を昇格したりする可能性があります。
詳細については、Microsoft が提供する情報を参照してください。
この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC REPORT 2009-04-08【2】で紹介した問題に対する解
決策も含まれています。また、マイクロソフトによると、Microsoft
Office for Mac および関連コンポーネントのセキュリティ更新プログ
ラムは 2009年5月19日現在、準備中となっています。2009 年 5 月のセキュリティ情報http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspxマイクロソフト セキュリティ情報 MS09-017 - 緊急Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340)http://www.microsoft.com/japan/technet/security/bulletin/MS09-017.mspxJapan Vulnerability Notes JVNTA09-132AMicrosoft Office PowerPoint に複数の脆弱性http://jvn.jp/cert/JVNTA09-132A/index.htmlJapan Vulnerability Notes JVNVU#627331Microsoft Office PowerPoint に任意のコードが実行される脆弱性http://jvn.jp/cert/JVNVU627331/index.html独立行政法人 情報処理推進機構 セキュリティセンターMicrosoft Office の PowerPoint の脆弱性(MS09-017) についてhttp://www.ipa.go.jp/security/ciadr/vul/20090513-ms09-017.html@policeマイクロソフト社のセキュリティ修正プログラムについて(MS09-017)http://www.cyberpolice.go.jp/important/2009/20090513_105022.htmlJPCERT/CC Alert 2009-05-132009年5月 Microsoft セキュリティ情報 (緊急 1件) に関する注意喚起http://www.jpcert.or.jp/at/2009/at090008.txtJPCERT/CC REPORT 2009-04-08【2】Microsoft Office PowerPoint に脆弱性http://www.jpcert.or.jp/wr/2009/wr091401.html#2「Adobe Reader および Acrobat に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2009-05-13 号【1】で紹介した「Adobe
Reader および Acrobat に脆弱性」に関する追加情報です。
Adobe Reader および Acrobat の修正済みのバージョンが提供されまし
た。詳細については、Adobe が提供する情報を参照してください。
Japan Vulnerability Notes JVNTA09-133BAdobe Reader および Acrobat における脆弱性http://jvn.jp/cert/JVNTA09-133B/index.htmlJapan Vulnerability Notes JVNVU#970180Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性http://jvn.jp/cert/JVNVU970180/index.html@policeアドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについてhttp://www.cyberpolice.go.jp/important/2009/20090514_190910.htmlJPCERT/CC Alert 2009-05-13Adobe Reader 及び Acrobat の脆弱性に関する注意喚起http://www.jpcert.or.jp/at/2009/at090009.txtJPCERT/CC WEEKLY REPORT 2009-05-13【1】Adobe Reader および Acrobat に脆弱性http://www.jpcert.or.jp/wr/2009/wr091801.html#1Adobe Security Bulletin APSB09-06Security Updates available for Adobe Reader and Acrobathttp://www.adobe.com/support/security/bulletins/apsb09-06.htmlApple 製品に複数の脆弱性
Mac OS X、Mac OS X Server、Safari には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Apple Mac OS X 10.4.11 およびそれ以前 (Tiger)
- Apple Mac OS X 10.5.6 およびそれ以前 (Leopard)
- Apple Mac Server OS X 10.4.11 およびそれ以前 (Tiger)
- Apple Mac Server OS X 10.5.6 およびそれ以前 (Leopard)
- Safari 3 (Windows、Mac OS X 10.4、Mac OS X 10.5)
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。Apple Support HT3550Safari 3.2.3 のセキュリティコンテンツについてhttp://support.apple.com/kb/HT3550?viewlocale=ja_JPJapan Vulnerability Notes JVNTA09-133AApple 製品における複数の脆弱性に対するアップデートhttp://jvn.jp/cert/JVNTA09-133A/index.html Apple Support HT3549About the security content of Security Update 2009-002 / Mac OS X v10.5.7http://support.apple.com/kb/HT3549?viewlocale=en_USDOE-CIRC Technical Bulletin T-136Apple Mac OS X PICT Image Handling Integer Overflow Vulnerabilityhttp://www.doecirc.energy.gov/bulletins/t-136.shtmlCyrus SASL ライブラリにバッファオーバーフローの脆弱性
Cyrus SASL ライブラリには、バッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行したり、SASL
ライブラリを利用するプログラムをクラッシュさせたりする可能性があ
ります。
対象となるバージョンは以下の通りです。
- Cyrus SASL 2.1.22 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Cyrus SASL ライブラリを更新することで解決します。
Japan Vulnerability Notes JVNVU#238019Cyrus SASL ライブラリにおけるバッファオーバーフローの脆弱性http://jvn.jp/cert/JVNVU238019/index.htmlProject Cyrus: DownloadsSASL Libraryhttp://cyrusimap.web.cmu.edu/downloads.html#saslSun GlassFish Enterprise Server と Sun Java System Application Server にクロスサイトスクリプティングの脆弱性
Sun GlassFish Enterprise Server および Sun Java System Application
Server には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Sun GlassFish Enterprise Server v2.1 patch 1 およびそれ以前
- Sun Java System Application Server 9.1U2 およびそれ以前
なお、Sun Java System Application Server 8.x および 9.0 は、この
問題の影響を受けません。
この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。詳細については、Sun が提供する情報を参
照してください。Sun Alert 258528Cross-Site Scripting (XSS) Vulnerabilities in Sun GlassFish Enterprise Server and Sun Java System Application Server May Allow Execution of JavaScript Codehttp://sunsolve.sun.com/search/document.do?assetkey=1-66-258528-1RSA Conference Japan 2009 のご案内
『高信頼社会に向けての情報セキュリティ再考』
2009年6月8日(月) 〜 12日(金) 幕張メッセにおいて RSA Conference
Japan 2009 が開催されます。JPCERT/CC は、本カンファレンスのクラ
ストラックにおいて、講演、パネリスト、モデレータとして登壇いたし
ます。クラストラック RC-02 では、今年 JPCERT/CC が 2500人以上に
対して行った IT セキュリティ予防接種からソーシャルエンジニアリン
グ対策などを考察、クラストラック RC-08 では IPv6 導入に伴ってセ
キュリティの脅威と対策について討論、クラストラック RC-18 では開
発現場で信頼性の高いソフトウェアを開発するための試み、課題などに
ついてモデレートする予定です。
皆様のご参加申込みをお待ちしております。
会場 :幕張メッセ
会期 :2009年6月8日(月) 〜 6月12日(金)
参加料金:カンファレンス 有料 (一部無料)
展示会 3,000円 (税込) 事前登録により無料
事前登録: https://reg.cmptech.jp/public/application/add/236?lang=ja
お問い合せ先:http://www.cmptech.jp/rsaconference/contact/index.html
ウェブブラウザのアドオンに注意
FLASH や PDF ファイルを、ウェブブラウザ上で表示するには、アドオ
ンをインストールしますが、それらのプログラムの脆弱性情報にも注意
し、適宜アップデートしましょう。昨今、アドオンの脆弱性を悪用し、
意図しないプログラムを実行させるケースが発生しています。
修正プログラムの自動更新・通知機能があるものは、スケジュールが正
しく設定されているか確認しましょう。また、使わないアドオンは無効
化または削除しましょう。Internet Explorer はアドオンなしで起動す
るショートカットも用意されています。アドオンを使う必要が無い場合
はこちらのモードで、起動することでリスクを軽減することが可能です。
JPCERT/CC技術メモ − 安全な Web ブラウザの使い方http://www.jpcert.or.jp/ed/2008/ed080002_1104.pdfJPCERT/CC REPORT 2008-08-13【今週のひとくちメモ】アドオン機能なしで Internet Explorer 7 を起動するhttp://www.jpcert.or.jp/wr/2008/wr083101.html#Memo