-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-1801 JPCERT/CC 2010-05-19 <<< JPCERT/CC WEEKLY REPORT 2010-05-19 >>> ―――――――――――――――――――――――――――――――――――――― ■05/09(日)〜05/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年5月 Microsoft セキュリティ情報について 【2】Apple Safari の window オブジェクト処理に脆弱性 【3】Adobe Shockwave Player に複数の脆弱性 【4】Movable Type にクロスサイトスクリプティングの脆弱性 【5】Cisco PGW 2200 Softswitch に複数の脆弱性 【6】Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性 【7】C/C++ セキュアコーディングセミナー 2010 @福岡 開催せまる 【今週のひとくちメモ】Thunderbird 2 のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr101801.html https://www.jpcert.or.jp/wr/2010/wr101801.xml ============================================================================ 【1】2010年5月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-131A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-131A.html US-CERT Cyber Security Alert SA10-131A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-131A.html DOE-CIRC Technical Bulletin T-363 Microsoft Security Bulletin Summary for May 2010 http://www.doecirc.energy.gov/bulletins/t-363.shtml 概要 Microsoft Outlook Express、Windows Mail、Windows Live Mail、 Office などの製品および関連コンポーネントには、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2010 年 5 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-may.mspx Japan Vulnerability Notes JVNTA10-131A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-131A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-030,031) https://www.npa.go.jp/cyberpolice/topics/?seq=3517 JPCERT/CC Alert 2010-05-12 JPCERT-AT-2010-0012 2010年5月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100012.txt 【2】Apple Safari の window オブジェクト処理に脆弱性 情報源 US-CERT Vulnerability Note VU#943165 Apple Safari window object invalid pointer vulnerability http://www.kb.cert.org/vuls/id/943165 US-CERT Current Activity Archive Apple Safari Vulnerability http://www.us-cert.gov/current/archive/2010/05/14/archive.html#apple_safari_vulnerability 概要 Apple Safari には、window オブジェクトの処理に起因する脆弱性があ ります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させる ことで、ユーザの権限で任意のコードを実行する可能性があります。な お、本脆弱性を使用した攻撃コードが公開されています。 対象となるバージョンは以下の通りです。 - Apple Safari 4.0.5 for Windows その他のプラットフォームおよびバージョンも影響を受ける可能性があ ります。 2010年5月19日現在、この問題に対する解決策は提供されていません。 回避策としては、JavaScript を無効にするなどの方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#943165 Apple Safari における window オブジェクトの処理に脆弱性 https://jvn.jp/cert/JVNVU943165/index.html 【3】Adobe Shockwave Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Update for Shockwave Player http://www.us-cert.gov/current/archive/2010/05/14/archive.html#adobe_releases_update_for_shockwave2 DOE-CIRC Technical Bulletin T-364 Multiple Adobe Shockwave Player Remote Code Execution Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-364.shtml 概要 Adobe Shockwave Player には、複数の脆弱性があります。結果として 遠隔の第三者が細工した Shockwave コンテンツを閲覧させることで任 意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Shockwave Player 11.5.2.606 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Shockwave Player を更新することで解決します。詳細については Adobe が提供する情報を参照してください。 関連文書 (日本語) Adobe TechNote APSB10-12 Shockwave Player用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/844/cpsid_84415.html 関連文書 (英語) Adobe Security Bulletin APSB10-12 Security update available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb10-12.html 【4】Movable Type にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#92854093 Movable Type におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN92854093/index.html 概要 Movable Type には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type Open Source 5.0 および 5.01 - Movable Type 5.0 および 5.01 (Professional Pack、Community Pack を同梱) この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。詳細については、シック ス・アパートが提供する情報を参照してください。 関連文書 (日本語) シックス・アパート [重要] セキュリティアップデート Movable Type 5.02 の提供を開始 http://www.sixapart.jp/movabletype/news/2010/05/12-1015.html 【5】Cisco PGW 2200 Softswitch に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Updates for PGW Softswitch http://www.us-cert.gov/current/archive/2010/05/14/archive.html#cisco_releases_updates_for_pgw 概要 Cisco PGW 2200 Softswitch には、複数の脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり ます。 対象となるバージョンは以下の通りです。 - Cisco PGW 2200 Softswitch 9.7(3)S11 より前のバージョン - Cisco PGW 2200 Softswitch 9.8(1)S5 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco PGW 2200 Softswitch を更新することで解決します。詳細については、Cisco が 提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory 111870 Multiple Vulnerabilities in Cisco PGW Softswitch http://www.cisco.com/warp/public/707/cisco-sa-20100512-pgw.shtml Cisco Applied Mitigation Bulletin 111988 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco PGW Softswitch http://www.cisco.com/warp/public/707/cisco-amb-20100512-pgw.shtml 【6】Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#602801 Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) に複数の脆弱性 https://jvn.jp/cert/JVNVU602801/index.html 概要 Consona (旧 SupportSoft) Intelligent Assistance Suite (IAS) には、 複数の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で任意のコードを実行したり、 SYSTEM 権限を取得したりする可能性があります。 対象となる製品は以下の通りです。 - Intelligent Assistance Suite (IAS) この問題は、Consona が提供するパッチを該当する製品に適用すること で解決します。詳細について Consona が提供する情報を参照してくだ さい。 関連文書 (英語) US-CERT Vulnerability Note VU#602801 Consona (formerly SupportSoft) Intelligent Assistance Suite (IAS) cross-site scripting, ActiveX, and Reair Service vulnerabilities http://www.kb.cert.org/vuls/id/602801 Consona Security Bulletin April 16, 2010 http://www.consona.com/Content/CRM/Support/SecurityBulletin_April2010.pdf 【7】C/C++ セキュアコーディングセミナー 2010 @福岡 開催せまる 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @福岡 のご案内 https://www.jpcert.or.jp/event/securecoding-FUK-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。「C/C++ セキュアコーディングセミナー 2010 @福岡」は、九 州地区のプログラム開発者の方々に受講いただけるよう、福岡を会場と して 5月27日、28日の 2回コースで開催いたします。 開催まで残り一週間となりました。ひきつづき、参加申し込みをお待 ちしております。奮ってご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年5月27日(木) 10:00 〜 17:15 (受付 9:30〜) part 2 <整数・コードレビュー> 2010年5月28日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] 福岡ソフトリサーチパーク 研修室1 福岡市早良区百道浜2丁目1番22号 [定員] 50名/回 [対象] C/C++言語でのソフトウエア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プロ グラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 福岡 お申し込み https://www.jpcert.or.jp/event/securecoding-FUK-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Thunderbird 2 のサポート終了 Thunderbird 2 のサポートが 2010年6月上旬で終了します。2010年3月 17日にリリースされた現行の Thunderbird 2.0.0.24 が最後のバージョ ンとなる予定です。 Thunderbird 3 へ移行していないユーザは、使用するアドオンの対応状 況や他アプリケーションとの連携などの確認を行い、早めに Thunderbird 3 へ移行することをお勧めします。 参考文献 (日本語) Mozilla Japan ブログ Thunderbird 2 のサポート終了予定について http://mozilla.jp/blog/entry/5456/ Mozilla Messaging Thunderbird 2 から 3 へのアップグレードにおけるよくある質問 (FAQ) http://support.mozillamessaging.com/ja/kb/FAQ+Upgrading+Thunderbird+2+to+3 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJL8z/AAAoJEDF9l6Rp7OBIzu0H/irAXm1z5QvTvb3hjoEfvef9 OEVayEQoRXiVqSGsOQ8uc+8b3pJuYjWcfFPL0WZF3jx20Qo3mUTmSrR1dZXAqdzK U6kG3UDuk8RO/cwpxUzu4+Xf1zn3oTtmlIG4/kZSWgvKgZefP4ictKVB/vq7a0Yt 3EO5TgXQ1oVuEx7kxDuZBldYF76TuR3AW3NlSxETsyrx/7s9Zg8KiU0sZulgXwKN 5glVfdElXvT1IZkhSnd6Dq87zYJtucz528i8X+xdkauZ5Dhp+sbDFRr1wl4CoQYQ l1DnH8pc9y9IzqPVJxAmVHBufIx4V14J8bJNyeaiX66IDvSymNgLFGBhstfl1TQ= =eiWw -----END PGP SIGNATURE-----