<<< JPCERT/CC WEEKLY REPORT 2010-04-28 >>>
■04/18(日)〜04/24(土) のセキュリティ関連情報
目 次
【1】Google Chrome に複数の脆弱性
【2】複数のサイボウズ製品にアクセス制限に関する脆弱性
【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報
【4】VLC Media Player に複数の脆弱性
【5】C/C++ セキュアコーディングセミナー 2010 @福岡 のご案内
【6】お知らせ RSS 配信開始のお知らせ
【今週のひとくちメモ】Firefox のアドオンブロック機能について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr101601.txt
https://www.jpcert.or.jp/wr/2010/wr101601.xml
【1】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 4.1.249.1059
http://www.us-cert.gov/current/archive/2010/04/23/archive.html#google_releases_chrome_4_1
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 4.1.249.1059 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Update: Security Fixes
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.htmlThe Chromium Projects Chromium Security
http://sites.google.com/a/chromium.org/dev/Home/chromium-security
【2】複数のサイボウズ製品にアクセス制限に関する脆弱性
情報源
Japan Vulnerability Notes JVN#87730223
複数のサイボウズ製品におけるアクセス制限に関する脆弱性
https://jvn.jp/jp/JVN87730223/index.html
概要
複数のサイボウズ製品には、携帯電話用ログイン画面へのアクセス制限 に関する脆弱性があります。結果として、遠隔の第三者がなりすましに よりログインする可能性があります。 対象となる製品は以下の通りです。 - サイボウズ Office 7 ケータイ - サイボウズ ドットセールス 対策など詳細については、サイボウズが提供する情報を参照してくださ い。
関連文書 (日本語)
サイボウズ
「簡単ログイン」機能の脆弱性【CY10-04-001】
http://cybozu.co.jp/products/dl/notice/detail/0034.html独立行政法人 情報処理推進機構 セキュリティセンター
複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20100420.html
【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報
情報源
US-CERT Current Activity Archive
Microsoft Revokes Security Update
http://www.us-cert.gov/current/archive/2010/04/23/archive.html#microsoft_revokes_security_bulletin_ms10DOE-CIRC Technical Bulletin T-354
Microsoft Security Bulletin MS10-025 - Critical
http://www.doecirc.energy.gov/bulletins/t-354.shtml
概要
JPCERT/CC WEEKLY REPORT 2010-04-21 号【1】で紹介した「2010年4月 Microsoft セキュリティ情報について」に関する追加情報です。 マイクロソフトは、「マイクロソフト セキュリティ情報 MS10-025 - 緊急」に関するセキュリティ更新プログラムの公開を停止しました。マ イクロソフトによれば、セキュリティ更新プログラムが脆弱性に十分対 応しておらず、再リリースを予定しているとのことです。 マイクロソフトは再リリースまで回避策の適用を勧めています。詳細に ついては、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ情報 MS10-025 - 緊急
Microsoft Windows Media Services の脆弱性により、リモートでコードが実行される (980858)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-025.mspxJPCERT/CC WEEKLY REPORT 2010-04-21
【1】2010年4月 Microsoft セキュリティ情報について
https://www.jpcert.or.jp/wr/2010/wr101501.html#1
関連文書 (英語)
The Microsoft Security Response Center (MSRC)
Update on MS10-025
http://blogs.technet.com/msrc/archive/2010/04/23/update-on-ms10-025.aspx
【4】VLC Media Player に複数の脆弱性
情報源
US-CERT Current Activity Archive
VideoLAN Releases Security Advisory for VLC Media Player
http://www.us-cert.gov/current/archive/2010/04/23/archive.html#videolan_releases_security_advisory_for
概要
VLC Media Player には、複数の脆弱性があります。結果として、遠隔 の第三者が細工したファイルを再生させることで、VLC Media Player を実行しているユーザの権限で任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - VLC Media Player 0.5.0 から 1.0.5 まで この問題は、配布元が提供する修正済みのバージョンに VLC Media Player を更新することで解決します。
関連文書 (英語)
VideoLAN Project
Security Advisory 1003
http://www.videolan.org/security/sa1003.html
【5】C/C++ セキュアコーディングセミナー 2010 @福岡 のご案内
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @福岡 のご案内
https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。本セミナーは、経済産業省の委託によるソフトウエア等の脆弱 性対策に関する事業の一環として開催しているものです。 このたび、九州地区のソフトウエア開発者の方々に受講いただけるよう、 福岡にて、2010年5月27日、28日の2回コースで開催いたします。受講料 は無料です。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜) part 2 <整数・コードレビュー> 2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] 福岡ソフトリサーチパーク 研修室1 福岡市早良区百道浜2丁目1番22号 [定員] 50名/回 [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プロ グラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 福岡 お申し込み
https://www.jpcert.or.jp/event/securecoding-FUK-application.html
【6】お知らせ RSS 配信開始のお知らせ
情報源
JPCERT/CC
RSS による配信
https://www.jpcert.or.jp/rss/
概要
これまで注意喚起&緊急報告と Weekly Report の情報を配信していた 「JPCERT/CC RSS」に加えて、JPCERT/CC のイベント情報や調査・研究、 普及啓発資料などの公開をお知らせする「お知らせ RSS」配信を開始し ました。 お知らせ RSS は、以下の URL にて提供していますので、自由にご使用 ください。
関連文書 (日本語)
JPCERT/CC
お知らせ RSS
https://www.jpcert.or.jp/rss/whatsnew.rdf
■今週のひとくちメモ
○Firefox のアドオンブロック機能について
Mozilla Firefox には、リストをもとに危険なアドオンを無効化する機 能があります。このリストは Mozilla が管理しており、安全でないア ドオンを無効にしたり、インストールを禁止したりします。2010月4月 の更新により Java Deployment Toolkit (6.0.200.0 およびそれ以前) が追加されました。 現在ブロックされているアドオンのリストは関連文書の Add-ons Blocklist を参照してください。 また、Firefox にインストールされているアドオンのバージョン状況を 確認するページも用意されています。
参考文献 (日本語)
Mozilla Japan
危険なアドオンのリスト
http://support.mozilla.com/ja/kb/add-ons+blocklistMozilla Japan
プラグインチェック
http://mozilla.jp/firefox/security/plugincheck/
参考文献 (英語)
Mozilla
Add-ons Blocklist
http://www.mozilla.com/en-US/blocklist/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/