<<< JPCERT/CC WEEKLY REPORT 2010-06-09 >>>
■05/30(日)〜06/05(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player、Reader および Acrobat に脆弱性
【2】一太郎シリーズに脆弱性
【3】VMware 製品群に複数の脆弱性
【4】e-Pares に複数の脆弱性
【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中
【今週のひとくちメモ】短縮 URL へのアクセスに注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102101.txt
https://www.jpcert.or.jp/wr/2010/wr102101.xml
【1】Adobe Flash Player、Reader および Acrobat に脆弱性
情報源
US-CERT Vulnerability Note VU#486225
Adobe Flash ActionScript AVM2 newfunction vulnerability
http://www.kb.cert.org/vuls/id/486225
概要
Adobe Flash Player、Reader および Acrobat には、脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 なお、Adobe によると、本脆弱性を使用した攻撃が確認されているとの ことです。 対象となる製品は以下の通りです。 - Adobe Flash Player 10.0.45.2 およびそれ以前の 10.0.x 系 - Adobe Flash Player 9.0.262 およびそれ以前の 9.0.x 系 - Adobe Reader、Adobe Acrobat 9.3.2 およびそれ以前の 9.x 系 2010年6月8日現在、この問題に対する解決策は提供されていません。回 避策としては、Adobe Flash Player の場合は、Flash Player 10.1 Release Candidate を使用する、Adobe Reader および Acrobat の場合 は、同梱の authplay.dll の削除、名前変更、アクセス制限を行うなど の方法があります。詳細については、Adobe が提供する情報を参照して ください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#486225
Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
https://jvn.jp/cert/JVNVU486225/index.html
関連文書 (英語)
Adobe Security Bulletin APSA10-01
Security Advisory for Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-01.html
【2】一太郎シリーズに脆弱性
情報源
Japan Vulnerability Notes JVN#17293765
一太郎シリーズにおける任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN17293765/index.html
概要
ジャストシステムの一太郎シリーズには、脆弱性があります。結果とし て、遠隔の第三者が細工したファイルをユーザに開かせたりブラウザで 閲覧させたりすることで、任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - 一太郎 - 一太郎ガバメント - ジャストスクール この問題は、ジャストシステムが提供するアップデートモジュールを該 当する製品に適用することで解決します。詳細についてはジャストシス テムが提供する情報を参照してください。
関連文書 (日本語)
ジャストシステム セキュリティ情報 JS10002
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js10002.html独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20100601.html@police
ジャストシステム社ワープロソフト一太郎の脆弱性について
https://www.npa.go.jp/cyberpolice/topics/?seq=3683
【3】VMware 製品群に複数の脆弱性
情報源
VMware Security Advisories (VMSAs)
VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
http://www.vmware.com/security/advisories/VMSA-2010-0009.html
概要
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年6月8日現在、一部の問題につい ては修正版が提供されていません。詳細については、VMware が提供す る情報を参照してください。
関連文書 (英語)
VMware Security Announcements
VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
http://lists.vmware.com/pipermail/security-announce/2010/000093.html
【4】e-Pares に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#58439007
e-Pares におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN58439007/index.htmlJapan Vulnerability Notes JVN#82465391
e-Pares におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN82465391/index.htmlJapan Vulnerability Notes JVN#36925871
e-Pares におけるセッション固定の脆弱性
https://jvn.jp/jp/JVN36925871/index.html
概要
富士通の施設情報管理システム e-Pares には、複数の脆弱性がありま す。結果として、遠隔の第三者が登録ユーザになりすまして任意の操作 を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする 可能性があります。 対象となるバージョンは以下の通りです。 - e-Pares V01L01、V01L03、V01L10、V01L20、V01L30、V01L40 この問題は、富士通が提供するアップデートモジュールを該当する製品 に適用することで解決します。詳細については、富士通が提供する情報 を参照してください。
関連文書 (日本語)
富士通
JVN#36925871, JVN#58439007, JVN#82465391に関する影響
http://software.fujitsu.com/jp/security/vulnerabilities/jvn-36925871-58439007-82465391.html富士通九州システムズ
施設予約システム「e-Pares」のセキュリティ脆弱性について
http://jp.fujitsu.com/group/kyushu/services/local-gvt/epares/security-infomation-201006.html
【5】C/C++ セキュアコーディングセミナー 2010 @大阪 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内
https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場 として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ るってご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列> 2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜) part 2 <整数・コードレビュー> 2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] クリスタルタワー 20階 E会議室 大阪市中央区城見1-2-27 (MAP) http://www4.ocn.ne.jp/~crystalt/map.html [受講料] 無料 [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @大阪 お申し込み
https://www.jpcert.or.jp/event/securecoding-OSK-application.html
■今週のひとくちメモ
○短縮 URL へのアクセスに注意
Twitter の人気に伴い、長い URL を短い文字列に置き換える短縮 URL の利用が拡大しています。 短縮 URL にアクセスすると、登録されているサイトにリダイレクトさ れます。通常、最終的にリダイレクトされる先をあらかじめ知ることは できず、マルウエアへの誘導に使われる例が報告されています。 短縮 URL にアクセスする際には、信頼できる情報かを確認し、必要に 応じてリダイレクト先を確認するようにしてください。例えば、 Firefox では、短縮 URL のリダイレクト先を確認したり、リダイレク ト時に実際にアクセスするかどうかをダイアログで確認できるアドオン が提供されています。
参考文献 (英語)
Add-ons for Firefox
RequestPolicy 0.5.13
https://addons.mozilla.org/ja/firefox/addon/9727/Add-ons for Firefox
Verify Redirect 1.1.0
https://addons.mozilla.org/ja/firefox/addon/48582/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/