JPCERT-WR-2009-2701
2009-07-15
2009-07-05
2009-07-11
Microsoft Video ActiveX コントロールにバッファオーバーフローの脆弱性
Microsoft Video ActiveX コントロールには、バッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書
を閲覧させることで、ユーザの権限で任意のコードを実行する可能性が
あります。なお、マイクロソフトによると本脆弱性を使用した攻撃活動
が確認されています。
対象となるプラットフォームは以下の通りです。
- Microsoft Windows XP
- Microsoft Windows Server 2003
2009年7月14日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。また、マイクロソフトは Microsoft Video ActiveX コントロー
ルを無効にする回避策として「Fix it」を公開しています。詳細につい
ては、下記関連文書を参照してください。
マイクロソフト セキュリティ アドバイザリ (972890)
Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
マイクロソフト サポート技術情報 (972890)
マイクロソフト セキュリティ アドバイザリ: Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/972890/ja
Japan Vulnerability Notes JVNTA09-187A
Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA09-187A/index.html
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Video ActiveX コントロール の脆弱性(MS 972890)について
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
Apple Safari に複数の脆弱性
Apple Safari には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性
があります。
対象となるバージョンは以下の通りです。
- Safari 4.0.2 より前のバージョン (Mac OS X 版、Windows 版)
この問題は、Apple が提供する修正済みのバージョン Safari 4.0.2 に
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。
Apple Support Download
Safari 4
http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP
WordPress に複数の脆弱性
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者
が機密情報を閲覧したり、アカウント情報を推測したりする可能性があ
ります。
対象となるバージョンは以下の通りです。
- WordPress 2.8.1 より前のバージョン
この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。
WordPress Blog
WordPress 2.8.1
http://wordpress.org/development/2009/07/wordpress-2-8-1/
FCKeditor にディレクトリトラバーサルの脆弱性
FCKeditor には、入力の検証処理に起因するディレクトリトラバーサル
の脆弱性があります。結果として、遠隔の第三者がサーバの任意のディ
レクトリ内を閲覧したり、任意の場所へ実行可能なファイルをアップロー
ドしたりする可能性があります。なお、本脆弱性を使用した攻撃活動が
確認されているとの報告があります。
対象となるバージョンは以下の通りです。
- FCKeditor 2.6.4.1 より前のバージョン
また、Adobe ColdFusion には FCKeditor が同梱されており、本脆弱性
の影響を受ける可能性があります。詳細については、下記関連文書を参
照してください。
この問題は、配布元が提供する修正済みのバージョンに FCKeditor を
更新することで解決します。
FCKeditor
Download
http://www.fckeditor.net/download
FCKeditor What's New?
Version 2.6.4.1 (Download Zip or GZip from Sourceforge.net)
http://www.fckeditor.net/whatsnew#2.6.4.1
Adobe Security bulletin APSB09-09
Hotfix available for potential ColdFusion 8 input sanitization issue
http://www.adobe.com/support/security/bulletins/apsb09-09.html
韓国、米国で発生している DDoS 攻撃に関する注意喚起
韓国と米国において、特定のウイルスに感染したコンピュータによるも
のと見られる DDoS 攻撃が、政府機関や金融機関などの Web サイトに
対して発生しているとの情報を得ています。JPCERT/CC では、日本国内
にこの DDoS 攻撃に用いられたコンピュータが複数あるとの報告を受け
ています。今後国内での感染がさらに広まる危険を考慮し、注意喚起を
発行しました。
JPCERT/CC インシデント報告の Web フォームによる受け付けを開始
JPCERT/CC は 2009年7月9日、インシデント報告の Web フォームによる
受け付けを開始しました。
JPCERT/CC では、皆様から多くのコンピュータセキュリティインシデン
ト情報を報告頂くことで、セキュリティインシデントに関する全体の現
状をより正確に把握し、ひいては、インターネットコミュニティの発展
に貢献することができると考えています。そこで、広く皆様に情報提供
のご協力をお願いします。
なお、公開後システムメンテナンスにより Web フォームによる受け付
けを一時停止していましたが、2009年7月13日 17:00 より再開していま
す。
JP ドメイン名サービスへの DNSSEC の導入予定について
2009年7月9日、JPRS は JP ドメイン名サービスへの DNSSEC 導入予定
を発表しています。
JPRS は、2010年中を目処に JPドメイン名サービスへ DNSSEC を導入す
る予定であり、今後、さまざまな立場の DNS 関係者に向けた情報提供
や普及促進活動を併せて行っていく予定とのことです。
JPRS
JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html
JPCERT/CC WEEKLY REPORT 2009-06-10
【今週のひとくちメモ】.ORG ドメインで DNSSEC 運用開始
https://www.jpcert.or.jp/wr/2009/wr092201.html#Memo
JPCERT/CC REPORT 2008-09-18
【今週のひとくちメモ】DNSSEC の導入に向けた動き
https://www.jpcert.or.jp/wr/2008/wr083601.html#Memo