JPCERT-WR-2009-43012009-11-112009-11-012009-11-07Java Runtime Environment (JRE) に複数の脆弱性
Java Runtime Environment (JRE) には、複数の脆弱性があります。結
果として、遠隔の第三者が細工した Web ページを閲覧させることで認
証を回避したり、任意のコードを実行したり、サービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- JDK/JRE 6 Update 16 およびそれ以前
- JDK/JRE 5.0 Update 21 およびそれ以前
この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。
なお、JDK/JRE 5.0 系列は、2009年10月30日でサポートを終了していま
す。今後修正プログラムは提供されません。後継のバージョンへの対応
をおすすめします。Sun Java SE 6Update Release Noteshttp://java.sun.com/javase/6/webnotes/6u17.htmlSun Alert 269868The Java Update Mechanism on Non-English Versions Does Not Update the JRE When a New Version is Availablehttp://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1Sun Alert 269869Command Execution Vulnerability in the Java Runtime Environment Deployment Toolkit May be Leveraged to Execute Arbitrary Codehttp://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1Sun Alert 269870Security Vulnerability in the Java Web Start Installer May be Leveraged to Allow Untrusted Java Web Start Application to Run As Trusted Applicationhttp://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1Sun Alert 270474Buffer and Integer Overflow Vulnerabilities in the Java Runtime Environment With Processing Audio and Image Files May Allow Privileges to be Escalatedhttp://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1Sun Alert 270475A Security Vulnerability in the Java Runtime Environment With Verifying HMAC Digests may Allow Authentication to be Bypassedhttp://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1Sun Alert 270476Two Security Vulnerabilities in the Java Runtime Environment With Decoding DER Encoded Data and Parsing HTTP Headers may Result in a Denial of Service (DoS)http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1Adobe Shockwave Player に複数の脆弱性
Adobe Shockwave Player には、複数の脆弱性があります。結果として
遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任
意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Shockwave Player 11.5.2.601 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに Adobe
Shockwave Player を更新することで解決します。詳細については Adobe
が提供する情報を参照してください。Adobe Security Bulletin APSB09-16Security updates available for Shockwave Playerhttp://www.adobe.com/support/security/bulletins/apsb09-16.htmlBlackBerry Desktop Manager ActiveX コントロールにバッファオーバーフローの脆弱性
BlackBerry Desktop Manager ActiveX コントロールには、バッファオー
バーフローの脆弱性があります。遠隔の第三者が細工した HTML 文書を
閲覧させることで、該当する ActiveX コントロールを使用しているユー
ザの権限で任意のコードを実行する可能性があります。
対象となるバージョンは以下のとおりです。
- BlackBerry Desktop Software 5.0 およびそれ以前
この問題は、Research In Motion が提供する修正済みのバージョンに、
BlackBerry Desktop Software を更新することで解決します。詳細につ
いては、Research In Motion が提供する情報を参照してください。Research In Motion - Security Advisory KB19701Vulnerability in the BlackBerry Desktop Manager allows remote code executionhttp://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19701Roundcube Webmail に複数のクロスサイトリクエストフォージェリの脆弱性
Roundcube Webmail Project が提供する Web メールアプリケーション
Roundcube Webmail には、クロスサイトリクエストフォージェリの脆弱
性があります。結果として、遠隔の第三者がユーザの意図しない情報を
登録したり、意図しないメールを送信したりする可能性があります。
対象となるバージョンは以下の通りです。
- Roundcube Webmail 0.2.2 およびそれ以前
この問題は、Roundcube Webmail Project が提供する修正済みのバージョ
ンに Roundcube Webmail を更新することで解決します。Roundcube Webmail ProjectThe Roundcube project newshttp://roundcube.net/newsRoundcube Webmail ProjectDownloading Roundcube webmailhttp://roundcube.net/downloadInternet Week 2009 のお知らせ
2009年11月24日(火) より 11月27日(金) まで、秋葉原コンベンション
ホールにおいて JPNIC 主催の Internet Week 2009 が開催されます。
Internet Week は、インターネットに関する技術の研究・開発、構築・
運用・サービスに関わる人々が一堂に会し、主にインターネットの基盤
技術の基礎知識や最新動向を学び、議論し、理解と交流を深めるための
イベントです。
参加登録申込みについては、以下の Web ページをご参照ください。
事前申込は 11月13日(金) 18:00 までとなっています。この期間にお申
し込みいただきますと、事前割引料金でご参加いただけます。
Internet Week 2009Internet Week 2009 お申し込みに関してhttps://internetweek.jp/apply/マイクロソフトセキュリティインテリジェンスレポート 第7版
マイクロソフトは、2009年上半期の脆弱性やマルウエア動向についてま
とめた、マイクロソフトセキュリティインテリジェンスレポートを
2009年11月2日に公開しています。セキュリティインテリジェンスレポー
トは、半年ごとに公開されており、今回は第7版の公開となります。
今回のレポートでは OS のバージョン毎の違いによるウイルス感染率や、
各地域で蔓延しているマルウエアの種別などが報告されています。また、
悪用された脆弱性の半分以上は 2006年に対応された古いものであるな
ど、システム管理者にとっても有益な情報が掲載されています。
レポート全文は英語のみでの公開となっていますが、要約版については
日本語でも提供されています。マイクロソフト セキュリティ ホームマイクロソフト セキュリティ インテリジェンス レポートhttp://www.microsoft.com/japan/security/contents/sir.mspx