JPCERT-WR-2009-2101
2009-06-03
2009-05-24
2009-05-30
Microsoft DirectShow に脆弱性
Microsoft DirectX に含まれる Microsoft DirectShow には、
QuickTime メディアファイルの処理に起因する脆弱性があります。結果
として、遠隔の第三者が細工した QuickTime メディアファイルを閲覧
させることで、任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- 現在サポートされている Windows 2000, XP, Server 2003 で動作す
る Microsoft DirectX 7.0 〜 9.0c
なお、Windows Vista および Server 2008 で動作する DirectX 10 は
影響しません。
2009年6月2日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。回避策としては、quartz.dll による QuickTime の
解析を無効化するなどの方法があります。詳細は Microsoft のアドバ
イザリを参照してください。
マイクロソフト セキュリティ アドバイザリ (971778)
Microsoft DirectShow の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/971778.mspx
Microsoft Help and Support
Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution
http://support.microsoft.com/kb/971778/en
VMware 製品に複数の脆弱性
VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- VMware Workstation 6.5.1 およびそれ以前
- VMware Player 2.5.1 およびそれ以前
- VMware ACE 2.5.1 およびそれ以前
- VMware Server 2.0
- VMware Server 1.0.8 およびそれ以前
- VMware Fusion 2.0.1 およびそれ以前
- VMware ESXi 3.5 , パッチ ESXe350-200904402-T-BG 未適用の製品
- VMware ESX 3.5 , パッチ ESX350-200904401-BG 未適用の製品
- VMware ESX 3.0.3 , パッチ ESX303-200905401-SG 未適用の製品
- VMware ESX 3.0.2 , パッチ ESX-1008420 未適用の製品
- VMware ESX 2.5.5 , パッチ update patch 13 未適用の製品
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。
VMware Security Advisories VMSA-2009-0007
VMware Hosted products and ESX and ESXi patches resolve security issues
http://www.vmware.com/security/advisories/VMSA-2009-0007.html
BlackBerry Attachment Service の PDF 生成機能に複数の脆弱性
BlackBerry Attachment Service の PDF 生成機能には複数の脆弱性が
あります。結果として、遠隔の第三者が細工した PDF ファイルを閲覧
させることで、Attachment Service を実行するサーバ上で任意のコー
ドを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から 5.0
- BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4)
この問題は、Research In Motion が提供する修正済みのバージョンに、
該当する製品を更新することで解決します。詳細については、Research
In Motion が提供する情報を参照してください。
Research In Motion - Security Advisory KB18327
Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327
MT312 の複数の製品にクロスサイトスクリプティングの脆弱性
MT312 の複数の製品には、クロスサイトスクリプティングの脆弱性があ
ります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスク
リプトを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- 含まれている "config.php" および "model.php" ファイルの日付が
2009年5月21日より前の携帯対応掲示板 REP-BBS (repbbs.lzh)
- 含まれている "model.php" ファイルの日付が 2009年5月21日より前
の写メール掲示板 IMG-BBS (imgbbs.lzh)
この問題は、MT312 が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。
MT312
携帯対応掲示板 REP-BBS
http://www.mt312.com/script/11/
MT312
写メール掲示板 IMG-BBS
http://www.mt312.com/script/12/
アドシステムズのWeb会議室予約 フリー(無料)版 leger にクロスサイトスクリプティングの脆弱性
有限会社アドシステムズのWeb会議室予約 フリー(無料)版 leger
には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- Web会議室予約 フリー(無料)版 leger 2009年05月22日版
(Ver.1.6.4) およびそれ以前
この問題は、配布元が提供する修正済みのバージョンにWeb会議室予
約 フリー(無料)版 leger を更新することで解決します。
有限会社アドシステムズ
Web会議室予約 フリー(無料)版 leger
http://www.ad2000.co.jp/service/index.html
Windows Vista および Server 2008 Service Pack 2 リリース
2009年5月26日、マイクロソフトは Windows Vista および Server 2008
SP2 をリリースしました。これまでのセキュリティ更新プログラムのほ
か、パフォーマンスの向上やいくつかの機能の追加などが提供されてい
ます。
管理者の方は、業務アプリケーションが SP2 で正しく動作するかなど、
対応を確認してください。なお、互換性に問題がある場合などのために、
自動更新を一定の期間ブロックするブロッカーツールが提供されていま
す。
Microsoft ダウンロードセンター
Windows Server 2008 Service Pack 2 および Windows Vista Service Pack 2 (5 言語用スタンドアロン版) (KB948465)
http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&DisplayLang=ja
Microsoft ダウンロードセンター
Windows Service Pack ブロッカーツール キット
http://www.microsoft.com/downloads/details.aspx?FamilyID=ec662f0f-4167-44e7-ba79-766679892ba2&DisplayLang=ja
The Windows Blog
Windows Vista and Windows Server 2008 SP2 RTW
http://windowsteamblog.com/blogs/windowsvista/archive/2009/05/26/windows-vista-and-windows-server-2008-sp2-rtw.aspx