JPCERT-WR-2009-2901
2009-07-29
2009-07-19
2009-07-25
複数の Adobe 製品に脆弱性
複数の Adobe 製品には Flash に起因する脆弱性があります。結果とし
て、遠隔の第三者が細工した HTML 文書または PDF ファイルを閲覧さ
せることで、任意のコードを実行する可能性があります。なお、本脆弱
性を使用した攻撃活動が確認されています。
対象となる製品およびバージョンは以下の通りです。
- Adobe Flash Player 9.0.159.0 およびそれ以前
- Adobe Flash Player 10.0.22.87 およびそれ以前
- Adobe Reader および Acrobat 9.1.2 およびそれ以前
Adobe によると Flash サポートが搭載されている他の Adobe 製品も影
響を受ける可能性があります。
2009年7月28日現在、この問題に対する解決策は提供されていません。
なお、Adobe によると、Flash Player は、米国時間 2009年7月30日、
Reader と Acrobat については、7月31日に対策版を提供するとのこと
です。
回避策としては、Flash プラグインを無効にするなどの方法があります。
詳細については、Adobe が提供する情報を参照してください。
Japan Vulnerability Notes JVNTA09-204A
Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性
https://jvn.jp/cert/JVNTA09-204A/index.html
Japan Vulnerability Notes JVNVU#259425
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU259425/index.html
Adobe Security Bulletin APSA09-03
Security advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.html
Adobe TechNote
How to uninstall the Adobe Flash Player plug-in and ActiveX control
http://kb2.adobe.com/cps/141/tn_14157.html
Mozilla 製品群に複数の脆弱性
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。
対象となる製品は以下の通りです。
- Firefox 3.0
- Thunderbird
- SeaMonkey
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 3.0.12
なお、Firefox 3.5.1 は本脆弱性の影響を受けません。
2009年7月28日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。
Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12
Cisco Unified Contact Center Express サーバに複数の脆弱性
Cisco Unified Contact Center Express (Cisco Unified CCX) サーバ
には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報
を取得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品は以下の通りです。
- 以下の製品が動作する Cisco Unified CCX サーバ
- Cisco Customer Response Solution (CRS) 3.x、4.x、5.x、6.x、7.x
- Cisco Unified IP Interactive Voice Response
(Cisco Unified IP IVR) 3.x、4.x、5.x、6.x、7.x
- Cisco Unified CCX 4.x、5.x、6.x、7.x
- Cisco Unified IP Contact Center Express 3.x、5.x、6.x、7.x
- Cisco Customer Response Applications 3.x
- Cisco IP Queue Manager (IP QM) 3.x
この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
CCX サーバを更新することで解決します。
Cisco Security Advisory 110307
Vulnerabilities in Unified Contact Center Express Administration Pages
http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml
「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。
先週もお知らせしましたが、「C/C++ セキュアコーディングハーフデイ
キャンプ」part2 は 8月7日に開催予定です。奮ってお申し込み下さい。
日時: part2 <ファイル入出力 part1,part2,part3>
2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜)
会場: 株式会社インターネットイニシアティブ 大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員: 80名
JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html
Java JDK/JRE の古いバージョンを削除する
Java JDK/JRE を更新した際、古いバージョンが削除されずにインストー
ルされたままになっている場合があります (例えば Windows 版など)。
そのまま放置しておくと、古いバージョンにある脆弱性を攻撃に悪用さ
れる可能性があります。更新作業を行なったら、コントロールパネルや
ブラウザの設定画面から、JDK/JRE のどのバージョンが使える状態であ
るかを確認し、古いバージョンは可能なかぎり速やかに削除しましょう。
Java テクノロジ FAQ
JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
http://java.com/ja/download/faq/remove_olderversions.xml
Java ヘルプセンター
コンピュータに、RPM を使用してインストールした Java Runtime Environment のバージョンが 2 つあります。これらのバージョンの 1 つを削除するには、どうすればよいですか。
http://java.com/ja/download/help/5000012100.xml
Java ヘルプセンター
Windows から Java Runtime Environment をアンインストールする方法
http://java.com/ja/download/help/uninstall_java.xml
JPCERT/CC REPORT 2009-02-25
【今週のひとくちメモ】インストールされた Java のバージョンの確認
http://www.jpcert.or.jp/wr/2009/wr090801.html#Memo