-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2010-1601
                                                                   JPCERT/CC
                                                                  2010-04-28

            <<< JPCERT/CC WEEKLY REPORT 2010-04-28 >>>

――――――――――――――――――――――――――――――――――――――
■04/18(日)〜04/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Google Chrome に複数の脆弱性
【2】複数のサイボウズ製品にアクセス制限に関する脆弱性
【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報
【4】VLC Media Player に複数の脆弱性
【5】C/C++ セキュアコーディングセミナー 2010 ＠福岡 のご案内
【6】お知らせ RSS 配信開始のお知らせ
【今週のひとくちメモ】Firefox のアドオンブロック機能について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2010/wr101601.html
        https://www.jpcert.or.jp/wr/2010/wr101601.xml
============================================================================


【1】Google Chrome に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Google Releases Chrome 4.1.249.1059
      http://www.us-cert.gov/current/archive/2010/04/23/archive.html#google_releases_chrome_4_1

    概要
      Google Chrome には、複数の脆弱性があります。対象となるバージョン
      は以下の通りです。

      - Google Chrome 4.1.249.1059 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに Google Chrome 
      を更新することで解決します。

    関連文書 (英語)
      Google Chrome Releases
      Stable Update: Security Fixes
      http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html

      The Chromium Projects Chromium Security
      http://sites.google.com/a/chromium.org/dev/Home/chromium-security

【2】複数のサイボウズ製品にアクセス制限に関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#87730223
      複数のサイボウズ製品におけるアクセス制限に関する脆弱性
      https://jvn.jp/jp/JVN87730223/index.html

    概要
      複数のサイボウズ製品には、携帯電話用ログイン画面へのアクセス制限
      に関する脆弱性があります。結果として、遠隔の第三者がなりすましに
      よりログインする可能性があります。

      対象となる製品は以下の通りです。

      - サイボウズ Office 7 ケータイ
      - サイボウズ ドットセールス

      対策など詳細については、サイボウズが提供する情報を参照してくださ
      い。

    関連文書 (日本語)
      サイボウズ
      「簡単ログイン」機能の脆弱性【CY10-04-001】
      http://cybozu.co.jp/products/dl/notice/detail/0034.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)の注意喚起
      http://www.ipa.go.jp/about/press/20100420.html

【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報

    情報源
      US-CERT Current Activity Archive
      Microsoft Revokes Security Update
      http://www.us-cert.gov/current/archive/2010/04/23/archive.html#microsoft_revokes_security_bulletin_ms10

      DOE-CIRC Technical Bulletin T-354
      Microsoft Security Bulletin MS10-025 - Critical
      http://www.doecirc.energy.gov/bulletins/t-354.shtml

    概要
      JPCERT/CC WEEKLY REPORT 2010-04-21 号【1】で紹介した「2010年4月 
      Microsoft セキュリティ情報について」に関する追加情報です。

      マイクロソフトは、「マイクロソフト セキュリティ情報 MS10-025 - 
      緊急」に関するセキュリティ更新プログラムの公開を停止しました。マ
      イクロソフトによれば、セキュリティ更新プログラムが脆弱性に十分対
      応しておらず、再リリースを予定しているとのことです。

      マイクロソフトは再リリースまで回避策の適用を勧めています。詳細に
      ついては、マイクロソフトが提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト セキュリティ情報 MS10-025 - 緊急
      Microsoft Windows Media Services の脆弱性により、リモートでコードが実行される (980858)
      http://www.microsoft.com/japan/technet/security/bulletin/ms10-025.mspx

      JPCERT/CC WEEKLY REPORT 2010-04-21
      【1】2010年4月 Microsoft セキュリティ情報について
      https://www.jpcert.or.jp/wr/2010/wr101501.html#1

    関連文書 (英語)
      The Microsoft Security Response Center (MSRC)
      Update on MS10-025
      http://blogs.technet.com/msrc/archive/2010/04/23/update-on-ms10-025.aspx

【4】VLC Media Player に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      VideoLAN Releases Security Advisory for VLC Media Player
      http://www.us-cert.gov/current/archive/2010/04/23/archive.html#videolan_releases_security_advisory_for

    概要
      VLC Media Player には、複数の脆弱性があります。結果として、遠隔
      の第三者が細工したファイルを再生させることで、VLC Media Player 
      を実行しているユーザの権限で任意のコードを実行したり、サービス運
      用妨害 (DoS) 攻撃を行ったりする可能性があります。

      対象となるバージョンは以下の通りです。

      - VLC Media Player 0.5.0 から 1.0.5 まで

      この問題は、配布元が提供する修正済みのバージョンに VLC Media 
      Player を更新することで解決します。

    関連文書 (英語)
      VideoLAN Project
      Security Advisory 1003
      http://www.videolan.org/security/sa1003.html

【5】C/C++ セキュアコーディングセミナー 2010 ＠福岡 のご案内

    情報源
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠福岡 のご案内
      https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html

    概要
      JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
      い安全なプログラムをコーディングする具体的なテクニックとノウハウ
      を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
      います。本セミナーは、経済産業省の委託によるソフトウエア等の脆弱
      性対策に関する事業の一環として開催しているものです。

      このたび、九州地区のソフトウエア開発者の方々に受講いただけるよう、
      福岡にて、2010年5月27日、28日の2回コースで開催いたします。受講料
      は無料です。

        [日時] part 1 ＜セキュアコーディング概論・文字列＞
               2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜)
               part 2 ＜整数・コードレビュー＞
               2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜)

        [会場] 福岡ソフトリサーチパーク 研修室１
               福岡市早良区百道浜２丁目１番２２号

        [定員] 50名／回

        [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ
               クトマネージャ、コードレビュアー、品質管理担当者、プロ
               グラマ・エンジニアの教育担当者、等

    関連文書 (日本語)
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠ 福岡 お申し込み
      https://www.jpcert.or.jp/event/securecoding-FUK-application.html

【6】お知らせ RSS 配信開始のお知らせ

    情報源
      JPCERT/CC
      RSS による配信
      https://www.jpcert.or.jp/rss/

    概要
      これまで注意喚起＆緊急報告と Weekly Report の情報を配信していた
      「JPCERT/CC RSS」に加えて、JPCERT/CC のイベント情報や調査・研究、
      普及啓発資料などの公開をお知らせする「お知らせ RSS」配信を開始し
      ました。

      お知らせ RSS は、以下の URL にて提供していますので、自由にご使用
      ください。

    関連文書 (日本語)
      JPCERT/CC
      お知らせ RSS
      https://www.jpcert.or.jp/rss/whatsnew.rdf


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Firefox のアドオンブロック機能について

      Mozilla Firefox には、リストをもとに危険なアドオンを無効化する機
      能があります。このリストは Mozilla が管理しており、安全でないア
      ドオンを無効にしたり、インストールを禁止したりします。2010月4月
      の更新により Java Deployment Toolkit (6.0.200.0 およびそれ以前) 
      が追加されました。

      現在ブロックされているアドオンのリストは関連文書の Add-ons
      Blocklist を参照してください。

      また、Firefox にインストールされているアドオンのバージョン状況を
      確認するページも用意されています。

    参考文献 (日本語)
      Mozilla Japan
      危険なアドオンのリスト
      http://support.mozilla.com/ja/kb/add-ons+blocklist

      Mozilla Japan
      プラグインチェック
      http://mozilla.jp/firefox/security/plugincheck/

    参考文献 (英語)
      Mozilla
      Add-ons Blocklist
      http://www.mozilla.com/en-US/blocklist/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2010 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJL14kxAAoJEDF9l6Rp7OBIoz8H/0JgoamxJXyIsUQMTtjs0pB+
pea8UUfbHXyqhpOAWA2Gf2PywBFYySA3rWVPqKMnoIKsHvVBcX7JdzqdNThQAhj/
2uegttKB13DkksD+aTsKEreJJtjDFFu+N6wHuXSbXHHcsqFENm7/QlMexP8dmZIP
8bEdhR+NgD/YhfDgHDNe19iTuyCWSx1oOhlNI/YzSyVGLXWy9X95al7henJ4Z64f
Qd6dDrHLY9t+ICd/DTXNwixdwCgNxjsCOajtTIzXLsm5RXnMAzH8aScDddWIE7Xh
BTw6xdMxkLoF5RDuHvVnYb42DPw1TyoVcQ3rTRG40qss0y0H68sqT1ZAWNDKEZ4=
=LzlT
-----END PGP SIGNATURE-----