JPCERT-WR-2009-3001
2009-08-05
2009-07-26
2009-08-01
Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性
Microsoft Internet Explorer、Active Template Library (ATL) およ
び関連コンポーネントには、複数の脆弱性があります。結果として、遠
隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で
任意のコードを実行する可能性があります。
詳細については、マイクロソフトが提供する情報を参照してください。
マイクロソフト製品の問題については、Microsoft Update などを用い
て、セキュリティ更新プログラムを適用することで解決します。
なお、ATL の問題については、ソフトウエア開発元が修正したソフトウ
エアに更新する必要があります。Adobe や Cisco など複数のベンダが
ATL の問題を修正した製品をリリースする予定です。
詳細については、下記関連文書を参照してください。
2009 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx
マイクロソフト セキュリティ情報 MS09-034 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-034.mspx
マイクロソフト セキュリティ情報 MS09-035 - 警告
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-035.mspx
マイクロソフト セキュリティ アドバイザリ (973882)
Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx
Japan Vulnerability Notes JVNTA09-209A
Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性
https://jvn.jp/cert/JVNTA09-209A/index.html
@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-034,035)(7/29)
http://www.cyberpolice.go.jp/important/2009/20090729_112353.html
JPCERT/CC Alert 2009-07-29
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090014.txt
Adobe Security Bulletin APSB09-11
Security update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-11.html
Cisco Security Advisory cisco-sa-20090728-activex
Active Template Library (ATL) Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml
ISC BIND 9 に脆弱性
ISC BIND 9 には、dynamic update パケットの処理に起因する脆弱性が
あります。結果として、遠隔の第三者が細工したパケットを処理させる
ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、
本脆弱性を使用した攻撃活動が国内でも確認されています。
対象となるバージョンは以下の通りです。
- BIND 9 全てのバージョン
ISC はこの問題への修正版として以下のバージョンを公開しています。
- BIND 9.4.3-P3
- BIND 9.5.1-P3
- BIND 9.6.1-P1
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに BIND 9 を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
独立行政法人 情報処理推進機構 セキュリティセンター
DNSサーバ BIND の脆弱性について
http://www.ipa.go.jp/security/ciadr/vul/20090731-bind.html
JPCERT/CC Alert 2009-07-31
ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090016.txt
Internet Systems Consortium
BIND Dynamic Update DoS
https://www.isc.org/node/474
Red Hat Security Advisory RHSA-2009:1179-2
Important: bind security update
https://rhn.redhat.com/errata/RHSA-2009-1179.html
Red Hat Security Advisory RHSA-2009:1180-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1180.html
Red Hat Security Advisory RHSA-2009:1181-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1181.html
Sun Alert 264828
A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1
Debian Security Advisory DSA-1847-1
bind9 -- improper assert
http://www.debian.org/security/2009/dsa-1847
The FreeBSD Project Security Advisory FreeBSD-SA-09:12.bind
BIND named(8) dynamic update message remote DoS
http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc
OpenBSD 4.5 errata
007: RELIABILITY FIX: July 29, 2009
http://www.openbsd.org/errata45.html#007_bind
「複数の Adobe 製品に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2009-07-29 号【1】で紹介した「複数の
Adobe 製品に脆弱性」に関する追加情報です。
Adobe 製品の修正済みバージョンが提供されました。詳細については、
Adobe が提供する情報を参照してください。なお、複数のブラウザを利
用している場合は、それぞれのプラグインを更新する必要がありますの
で注意してください。
JPCERT/CC Alert 2009-07-31
Adobe Flash Player および Adobe Acrobat/Reader の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090015.txt
JPCERT/CC REPORT 2008-01-17
【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意
https://www.jpcert.or.jp/wr/2008/wr080201.html#Memo
JPCERT/CC WEEKLY REPORT 2009-07-29
【1】複数の Adobe 製品に脆弱性
https://www.jpcert.or.jp/wr/2009/wr092901.html#1
Adobe Security Bulletin APSA09-04
Security advisory for Adobe Flash Player
http://www.adobe.com/support/security/advisories/apsa09-04.html
US-CERT Technical Cyber Security Alert TA09-204A
Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products
http://www.us-cert.gov/cas/techalerts/TA09-204A.html
Apple iPhone OS に脆弱性
Apple iPhone OS には、SMS メッセージの処理に起因する脆弱性があり
ます。結果として遠隔の第三者が細工した SMS メッセージを送りつけ
ることで、処理を中断させたり、任意のコードを実行したりする可能性
があります。
対象となるバージョンは以下の通りです。
- iPhone OS 1.0 から 3.0 まで
この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。
Apple security-announce Mailing List
APPLE-SA-2009-07-31-1 iPhone OS 3.0.1
http://lists.apple.com/archives/security-announce/2009/Jul/msg00001.html
MySQL Connector/J に SQL インジェクションの脆弱性
Sun の MySQL Connector/J には、SQL インジェクションの脆弱性があ
ります。結果として、遠隔の第三者がデータベース内のコンテンツを取
得したり、改ざんしたりする可能性があります。
対象となるバージョンは以下の通りです。
- MySQL Connector/J 5.1.7 およびそれ以前
この問題は、Sun が提供する修正済みのバージョンに MySQL Connector/J
を更新することで解決します。
Sun MySQL Bug #41730
SQL Injection when using U+00A5
http://bugs.mysql.com/bug.php?id=41730
ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性
ディーアイシーの施設予約管理ソフトウェア yoyaku_v41 には、OS コ
マンドインジェクションの脆弱性があります。結果として、遠隔の第三
者が Web サーバの権限で任意の OS コマンドを実行する可能性があり
ます。
対象となるバージョンは以下の通りです。
- yoyaku_v41 バージョン 1.0 以前
この問題は、ディーアイシーが提供する修正済みのバージョンに
yoyaku_v41 を更新することで解決します。
株式会社ディーアイシー
yoyaku_v41
http://www.d-ic.com/free/06/yoyaku_v41.html
「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ
ンの EC-CUBE を使用しているウェブサイトに対する注意喚起を発行し
ました。古いバージョンの EC-CUBE には、クロスサイトスクリプティ
ングや、SQL インジェクションの脆弱性などを含んだものがあり、任意
のスクリプト実行や情報漏えいなどの可能性があります。対策版へのバー
ジョンアップ、もしくは個別にファイル修正を行ってください。
株式会社ロックオン
EC-CUBE旧バージョンの脆弱性についての注意喚起(2009/07/27)
http://www.ec-cube.net/news/detail.php?news_id=100
夏休みに備えて: 休暇中の自宅 PC での作業について
8月に入り、本格的な夏休みのシーズンとなりました。
休暇中に、業務データを持ち帰り自宅で作業される方もいらっしゃると
思います。業務データを持ち出す必要がある場合には、自組織のポリシー
に従い、その取り扱いや情報漏えいには十分に注意してください。
特に、以下のような危険があることを認識して行動することが重要です。
- 家族と共有している PC で作業する場合
家族がファイル共有ソフトウエアを利用していることなどにより、
意図せずに情報漏えいする可能性があること
- USB メモリを使ってデータの移動をしている場合
USB メモリや、デジカメで使われるフラッシュメモリなどを経由し
て感染する Conficker などのマルウエアの被害を受ける可能性が
あること
- 自宅の PC がウイルス感染している場合
持ち出したデータを社内へ持ち帰る際に、社内にウイルス感染を拡
大させる可能性があること
また、Adobe Reader、Flash プラグインなど、多くの PC にインストー
ルされているソフトウエアについて、7月末にアップデートが公開され
ています。お使いのソフトウエアが最新版にアップデートされているか、
確認してください。
Microsoft TechNet
あんしん処 セキュリ亭 休暇の前はご用心
http://technet.microsoft.com/ja-jp/security/dd793045.aspx
JPCERT/CC WEEKLY REPORT 2009-07-23
【今週のひとくちメモ】夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意
https://www.jpcert.or.jp/wr/2009/wr092801.html#Memo