<<< JPCERT/CC WEEKLY REPORT 2010-05-12 >>>
■04/25(日)〜05/08(土) のセキュリティ関連情報
目 次
【1】Microsoft SharePoint にクロスサイトスクリプティングの脆弱性
【2】2010年4月 Microsoft セキュリティ情報に関する追加情報
【3】Google Chrome に複数の脆弱性
【4】Opera に脆弱性
【5】VMware View にクロスサイトスクリプティングの脆弱性
【6】C/C++ セキュアコーディングセミナー 2010 @福岡 参加者募集中
【今週のひとくちメモ】ルートサーバへの DNSSEC 署名データ導入
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr101701.txt
https://www.jpcert.or.jp/wr/2010/wr101701.xml
【1】Microsoft SharePoint にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity Archive
Microsoft Releases Security Advisory 983438
http://www.us-cert.gov/current/archive/2010/05/07/archive.html#microsoft_releases_security_advisory_983438
概要
Microsoft SharePoint には、クロスサイトスクリプティングの脆弱性 があります。結果として、遠隔の第三者がユーザのブラウザ上で任意の スクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Office SharePoint Server 2007 - Microsoft Windows SharePoint Services 3.0 2010年5月11日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。回避策としては、SharePoint Help.aspx へのア クセスを制限するなどの方法があります。詳細については、マイクロソ フトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (983438)
Microsoft SharePoint の脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/983438.mspx
【2】2010年4月 Microsoft セキュリティ情報に関する追加情報
情報源
US-CERT Current Activity Archive
Microsoft Re-Releases Security Update for MS10-025
http://www.us-cert.gov/current/archive/2010/05/07/archive.html#microsoft_re_releases_security_update
概要
JPCERT/CC WEEKLY REPORT 2010-04-28【3】で紹介した 2010年4月 Microsoft セキュリティ情報に関する追加情報です。 マイクロソフトは、「マイクロソフト セキュリティ情報 MS10-025 - 緊急」に関するセキュリティ更新プログラムを再リリースしました。詳 細については、マイクロソフトが提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ情報 MS10-025 - 緊急
Microsoft Windows Media Services の脆弱性により、リモートでコードが実行される (980858)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-025.mspxJPCERT/CC WEEKLY REPORT 2010-04-28
【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報
https://www.jpcert.or.jp/wr/2010/wr101601.html#3
関連文書 (英語)
The Microsoft Security Response Center (MSRC)
MS10-025 Re-Release Ready
http://blogs.technet.com/msrc/archive/2010/04/27/ms10-025-re-release-ready.aspx
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 4.1.249.1064
http://www.us-cert.gov/current/archive/2010/05/07/archive.html#google_releases_chrome_4_11
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 4.1.249.1064 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Update: Bug and Security Fixes
http://googlechromereleases.blogspot.com/2010/04/stable-update-bug-and-security-fixes.htmlThe Chromium Projects Chromium Security
http://sites.google.com/a/chromium.org/dev/Home/chromium-security
【4】Opera に脆弱性
情報源
US-CERT Current Activity Archive
Opera Software Releases Opera 10.53
http://www.us-cert.gov/current/archive/2010/05/07/archive.html#opera_software_releases_opera_10
概要
Opera には、脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - Opera 10.53 より前のバージョン この問題は、Opera Software が提供する修正済みのバージョンに Opera を更新することで解決します。
関連文書 (日本語)
Opera Software
Opera 10.53 for Windows 更新履歴
http://www.opera.com/docs/changelogs/windows/1053/Opera Software
Opera 10.53 for Mac 更新履歴
http://www.opera.com/docs/changelogs/mac/1053/
関連文書 (英語)
Opera Software Advisory
Multiple asynchronous document modifications can be used to execute arbitrary code
http://www.opera.com/support/kb/view/953/
【5】VMware View にクロスサイトスクリプティングの脆弱性
情報源
VMware Security Advisories (VMSAs)
VMSA-2010-0008 VMware View 3.1.3 addresses an important cross-site scripting vulnerability
http://www.vmware.com/security/advisories/VMSA-2010-0008.html
概要
VMware View には、クロスサイトスクリプティングの脆弱性があります。 結果として遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - VMware View 3.1.3 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに VMware View を更新することで解決します。詳細については、VMware が提供する情 報を参照してください。
【6】C/C++ セキュアコーディングセミナー 2010 @福岡 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @福岡 のご案内
https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。「C/C++ セキュアコーディングセミナー 2010 @福岡」は、九 州地区のプログラム開発者の方々に受講いただけるよう、福岡を会場と して 5月27日、28日の 2回コースで開催いたします。奮ってご参加くだ さい。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜) part 2 <整数・コードレビュー> 2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] 福岡ソフトリサーチパーク 研修室1 福岡市早良区百道浜2丁目1番22号 [定員] 50名/回 [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プロ グラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 福岡 お申し込み
https://www.jpcert.or.jp/event/securecoding-FUK-application.html
■今週のひとくちメモ
○ルートサーバへの DNSSEC 署名データ導入
ルートサーバへの DNSSEC 導入が段階的に進められています。 2010年5月5日、全ルートサーバへのテスト用署名データの導入が完了し ました。今回導入されている DNSSEC 署名データは「意図的に検証でき ない署名データ」(DURZ) を使用しています。これは、ルートサーバか らの応答サイズ増大に対する影響を確認するためです。 今後、影響が無いと判断できれば、7月に実際の署名データに差し替え られ、ルートゾーンにおける DNSSEC が正式に稼働することになります。
参考文献 (日本語)
株式会社日本レジストリサービス(JPRS)
ルートゾーンへのDNSSECの導入と展開
http://jpinfo.jp/event/2009/1216DNSSEC.html株式会社日本レジストリサービス(JPRS)
DNSSECの導入状況とDNSSEC運用ガイドラインの改良に向けた取り組み
http://jpinfo.jp/event/2010/0423IETF.html
参考文献 (英語)
Root DNSSEC
http://www.root-dnssec.org/Root DNSSEC
Status Update, 2010-05-05
http://www.root-dnssec.org/2010/05/05/status-update/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/