-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2010-1701
                                                                   JPCERT/CC
                                                                  2010-05-12

            <<< JPCERT/CC WEEKLY REPORT 2010-05-12 >>>

――――――――――――――――――――――――――――――――――――――
■04/25(日)〜05/08(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Microsoft SharePoint にクロスサイトスクリプティングの脆弱性
【2】2010年4月 Microsoft セキュリティ情報に関する追加情報
【3】Google Chrome に複数の脆弱性
【4】Opera に脆弱性
【5】VMware View にクロスサイトスクリプティングの脆弱性
【6】C/C++ セキュアコーディングセミナー 2010 ＠福岡 参加者募集中
【今週のひとくちメモ】ルートサーバへの DNSSEC 署名データ導入

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2010/wr101701.html
        https://www.jpcert.or.jp/wr/2010/wr101701.xml
============================================================================


【1】Microsoft SharePoint にクロスサイトスクリプティングの脆弱性

    情報源
      US-CERT Current Activity Archive
      Microsoft Releases Security Advisory 983438
      http://www.us-cert.gov/current/archive/2010/05/07/archive.html#microsoft_releases_security_advisory_983438

    概要
      Microsoft SharePoint には、クロスサイトスクリプティングの脆弱性
      があります。結果として、遠隔の第三者がユーザのブラウザ上で任意の
      スクリプトを実行する可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Microsoft Office SharePoint Server 2007
      - Microsoft Windows SharePoint Services 3.0

      2010年5月11日現在、この問題に対するセキュリティ更新プログラムは
      提供されていません。回避策としては、SharePoint Help.aspx へのア
      クセスを制限するなどの方法があります。詳細については、マイクロソ
      フトが提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト セキュリティ アドバイザリ (983438)
      Microsoft SharePoint の脆弱性により、特権が昇格される
      http://www.microsoft.com/japan/technet/security/advisory/983438.mspx

【2】2010年4月 Microsoft セキュリティ情報に関する追加情報

    情報源
      US-CERT Current Activity Archive
      Microsoft Re-Releases Security Update for MS10-025
      http://www.us-cert.gov/current/archive/2010/05/07/archive.html#microsoft_re_releases_security_update

    概要
      JPCERT/CC WEEKLY REPORT 2010-04-28【3】で紹介した 2010年4月 
      Microsoft セキュリティ情報に関する追加情報です。

      マイクロソフトは、「マイクロソフト セキュリティ情報 MS10-025 - 
      緊急」に関するセキュリティ更新プログラムを再リリースしました。詳
      細については、マイクロソフトが提供する情報を参照してください。

    関連文書 (日本語)
      マイクロソフト セキュリティ情報 MS10-025 - 緊急
      Microsoft Windows Media Services の脆弱性により、リモートでコードが実行される (980858)
      http://www.microsoft.com/japan/technet/security/bulletin/ms10-025.mspx

      JPCERT/CC WEEKLY REPORT 2010-04-28
      【3】「2010年4月 Microsoft セキュリティ情報について」に関する追加情報
      https://www.jpcert.or.jp/wr/2010/wr101601.html#3

    関連文書 (英語)
      The Microsoft Security Response Center (MSRC)
      MS10-025 Re-Release Ready
      http://blogs.technet.com/msrc/archive/2010/04/27/ms10-025-re-release-ready.aspx

【3】Google Chrome に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Google Releases Chrome 4.1.249.1064
      http://www.us-cert.gov/current/archive/2010/05/07/archive.html#google_releases_chrome_4_11

    概要
      Google Chrome には、複数の脆弱性があります。対象となるバージョン
      は以下の通りです。

      - Google Chrome 4.1.249.1064 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに Google Chrome 
      を更新することで解決します。

    関連文書 (英語)
      Google Chrome Releases
      Stable Update: Bug and Security Fixes
      http://googlechromereleases.blogspot.com/2010/04/stable-update-bug-and-security-fixes.html

      The Chromium Projects Chromium Security
      http://sites.google.com/a/chromium.org/dev/Home/chromium-security

【4】Opera に脆弱性

    情報源
      US-CERT Current Activity Archive
      Opera Software Releases Opera 10.53
      http://www.us-cert.gov/current/archive/2010/05/07/archive.html#opera_software_releases_opera_10

    概要
      Opera には、脆弱性があります。結果として、遠隔の第三者が任意のコー
      ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
      があります。

      対象となるバージョンは以下の通りです。

      - Opera 10.53 より前のバージョン

      この問題は、Opera Software が提供する修正済みのバージョンに
      Opera を更新することで解決します。

    関連文書 (日本語)
      Opera Software
      Opera 10.53 for Windows 更新履歴
      http://www.opera.com/docs/changelogs/windows/1053/

      Opera Software
      Opera 10.53 for Mac 更新履歴
      http://www.opera.com/docs/changelogs/mac/1053/

    関連文書 (英語)
      Opera Software Advisory
      Multiple asynchronous document modifications can be used to execute arbitrary code
      http://www.opera.com/support/kb/view/953/

【5】VMware View にクロスサイトスクリプティングの脆弱性

    情報源
      VMware Security Advisories (VMSAs)
      VMSA-2010-0008 VMware View 3.1.3 addresses an important cross-site scripting vulnerability
      http://www.vmware.com/security/advisories/VMSA-2010-0008.html

    概要
      VMware View には、クロスサイトスクリプティングの脆弱性があります。
      結果として遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
      行する可能性があります。

      対象となるバージョンは以下の通りです。

      - VMware View 3.1.3 より前のバージョン

      この問題は、VMware が提供する修正済みのバージョンに VMware View 
      を更新することで解決します。詳細については、VMware が提供する情
      報を参照してください。

【6】C/C++ セキュアコーディングセミナー 2010 ＠福岡 参加者募集中

    情報源
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠福岡 のご案内
      https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html

    概要
      JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
      い安全なプログラムをコーディングする具体的なテクニックとノウハウ
      を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
      います。「C/C++ セキュアコーディングセミナー 2010 ＠福岡」は、九
      州地区のプログラム開発者の方々に受講いただけるよう、福岡を会場と
      して 5月27日、28日の 2回コースで開催いたします。奮ってご参加くだ
      さい。

        [日時] part 1 ＜セキュアコーディング概論・文字列＞
               2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜)
               part 2 ＜整数・コードレビュー＞
               2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜)

        [会場] 福岡ソフトリサーチパーク 研修室１
               福岡市早良区百道浜２丁目１番２２号

        [定員] 50名／回

        [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ
               クトマネージャ、コードレビュアー、品質管理担当者、プロ
               グラマ・エンジニアの教育担当者、等

    関連文書 (日本語)
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠ 福岡 お申し込み
      https://www.jpcert.or.jp/event/securecoding-FUK-application.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○ルートサーバへの DNSSEC 署名データ導入

      ルートサーバへの DNSSEC 導入が段階的に進められています。

      2010年5月5日、全ルートサーバへのテスト用署名データの導入が完了し
      ました。今回導入されている DNSSEC 署名データは「意図的に検証でき
      ない署名データ」(DURZ) を使用しています。これは、ルートサーバか
      らの応答サイズ増大に対する影響を確認するためです。

      今後、影響が無いと判断できれば、7月に実際の署名データに差し替え
      られ、ルートゾーンにおける DNSSEC が正式に稼働することになります。

    参考文献 (日本語)
      株式会社日本レジストリサービス(JPRS)
      ルートゾーンへのDNSSECの導入と展開
      http://jpinfo.jp/event/2009/1216DNSSEC.html

      株式会社日本レジストリサービス(JPRS)
      DNSSECの導入状況とDNSSEC運用ガイドラインの改良に向けた取り組み
      http://jpinfo.jp/event/2010/0423IETF.html

    参考文献 (英語)
      Root DNSSEC
      http://www.root-dnssec.org/

      Root DNSSEC
      Status Update, 2010-05-05
      http://www.root-dnssec.org/2010/05/05/status-update/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2010 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJL6f/oAAoJEDF9l6Rp7OBIxMgH/iCsH8pdvXwLOyKgW8g000dh
LBKBt1bqCi62S7wvxqGFo+l9NajG8W8jBoGc0R8N50Mt2ONtPuj39opfKooK2oMs
egz3eE67OH6g/ryNMIO+Gn2AFhqdec/Lv/i836TJ29sF/7HG7I3Sr9yxJnEiS16Z
BJ+vDryc45LWEB3i9s0FQLjw7G2C61h0hrFzL8YPiBBz/hKZlVTDsziDNnYQYqR8
D0F15YD2pZRc8pyjAu1GTgoteTTtPpGkOWlmCO7cBbU7seMhK/JX+miW+R3xq/Av
XveBfJGrXqGsIlp0p0nd60zEfyC05eWr6i4FHcy8Vdl/cE6lvpoZ4W3nvCKsGvc=
=pYCh
-----END PGP SIGNATURE-----