JPCERT-WR-2009-4501
2009-11-26
2009-11-15
2009-11-21
Microsoft Internet Explorer に脆弱性
Microsoft Internet Explorer には脆弱性があります。結果として遠隔
の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 7
なお、Internet Explorer 5.01 SP4 及び Internet Explorer 8 はこの
問題の影響を受けません。
2009年11月25日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。回避策としては、Windows のデータ実行防止
(DEP) 機能を有効にする、アクティブスクリプトを無効にするなどの方
法があります。詳細はマイクロソフトのアドバイザリを参照してくださ
い。
Japan Vulnerability Notes JVNVU#515749
Microsoft Internet Explorer に脆弱性
http://jvn.jp/cert/JVNVU515749/index.html
US-CERT Vulnerability Note VU#515749
Microsoft Internet Explorer CSS style element vulnerability
http://www.kb.cert.org/vuls/id/515749
Microsoft Help and Support
Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/977981/en-us/
VMware 製品群に脆弱性
VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意
のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- VMware vCenter Server 4.0 (Update 1 より前のバージョン)
- VMware ESXi 4.0 (ESXi400-200911201-UG 未適用のもの)
- VMware ESX 4.0 (ESX400-200911201-UG、ESX400-200911223-UG、
ESX400-200911232-SG、ESX400-200911233-SG、ESX400-200911234-SG、
ESX400-200911235-SG、ESX400-200911237-SG、ESX400-200911238-SG
未適用のもの)
- VMware vMA 4.0 (patch 02 より前のバージョン)
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新
することで解決します。詳細については、VMware が提供する情報を参照してく
ださい。
Google Chrome に脆弱性
Google Chrome には、脆弱性があります。結果として、遠隔の第三者が、
攻撃を意図したリンクをユーザにクリックさせることで、ユーザの権限
で任意のコードを実行したり、ブラウザをクラッシュさせたりする可能
性があります。
対象となるバージョンは以下の通りです。
- Google Chrome 3.0.195.32 より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョ
ンに更新することで解決します。
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html
chromium
Issue 22205: Chrome: Crash Report - Stack Signature: WebKit::WebURL::WebURL(WebKit::WebURL const &)-3DB0FD
http://code.google.com/p/chromium/issues/detail?id=22205
Redmine に複数の脆弱性
オープンソースのプロジェクト管理ソフトウェア Redmine には、複数
の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ
上で任意のスクリプトを実行したり、ログインしているユーザに、細工
した Web ページを読み込ませることで Redmine のデータの改ざんを行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- Redmine 0.8.5 およびそれ以前
この問題は、Redmine を修正済みのバージョンに更新することで解決し
ます。なお、Redmine の開発元では、別の脆弱性を修正した Redmine
0.8.7 を公開しています。
Redmine
Redmine 0.8.6 released
http://www.redmine.org/news/29
Redmine
Redmine 0.8.7 security release
http://www.redmine.org/news/30
Redmine
Changelog - v0.8.6 (2009-11-04)
http://www.redmine.org/wiki/redmine/Changelog
Redmine
Changelog - v0.8.7 (2009-11-15)
http://www.redmine.org/wiki/redmine/Changelog
SecurityDay2009 のお知らせ
2009年12月16日(水) 13時 (開場12時30分) より工学院大学 (新宿キャ
ンパス) において SecurityDay2009 (JPCERT/CC、JAIPA、Telecom-ISAC
Japan、JNSA、JCAF 主催) が開催されます。
SecurityDay2009 では、情報セキュリティに関わる方を対象に参加者と
一緒に議論をするパネルディスカッションによって、情報提供、情報共
有をする場として考えています。今回扱うテーマは、古くて新しい問題
であり、すぐには結論が出せないものもありますが、このような問題に
正面から向き合い、参加者全員の意識の共有を行い、どこがクリティカ
ルポイントで、どのような対応が考えられるのか、課題は何か、等々に
ついて忌憚の無い意見交換を行い、次の時代を造るきっかけにしたいと
考えています。
参加費は無料ですが、事前参加申込みが必要です。事前参加申込みは、
JNSA 提供のサイトからお申し込みいただけます。
SecurityDay2009
SecurityDay2009 開催概要
http://securityday.jp/
SecurityDay2009
参加申し込み方法
http://securityday.jp/?register
NPO日本ネットワークセキュリティ協会
Security Day 2009 参加申し込み
https://www.jnsa.org/seminar/2009/1216/entry.html
Mac OS X のセキュリティアップデートの提供期間に注意
Apple Mac OS X のセキュリティアップデートは、多くの場合、最新お
よびひとつ前のバージョンを対象としています。例えば、前回の
Weekly Report でご紹介したセキュリティアップデートは Mac OS X
10.6 および 10.5 を対象としており、Mac OS X 10.4 は対象外となっ
ています。
現在のところ Apple 社からは、セキュリティアップデートの提供ポリ
シーに関する情報は公開されていません。
Mac OS X のシステムを運用する場合には、使用しているソフトウエア
のバージョンを確認し、セキュリティアップデートはすみやかに適用で
きるように、運用体制を整えることをお勧めします。
Apple
アップルセキュリティアップデート (Apple Security Update)
http://support.apple.com/kb/HT1222?viewlocale=ja_JP