-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2010-2101
                                                                   JPCERT/CC
                                                                  2010-06-09

            <<< JPCERT/CC WEEKLY REPORT 2010-06-09 >>>

――――――――――――――――――――――――――――――――――――――
■05/30(日)〜06/05(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Flash Player、Reader および Acrobat に脆弱性
【2】一太郎シリーズに脆弱性
【3】VMware 製品群に複数の脆弱性
【4】e-Pares に複数の脆弱性
【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪 参加者募集中
【今週のひとくちメモ】短縮 URL へのアクセスに注意

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2010/wr102101.html
        https://www.jpcert.or.jp/wr/2010/wr102101.xml
============================================================================


【1】Adobe Flash Player、Reader および Acrobat に脆弱性

    情報源
      US-CERT Vulnerability Note VU#486225
      Adobe Flash ActionScript AVM2 newfunction vulnerability
      http://www.kb.cert.org/vuls/id/486225

    概要
      Adobe Flash Player、Reader および Acrobat には、脆弱性があります。
      結果として、遠隔の第三者が任意のコードを実行する可能性があります。
      なお、Adobe によると、本脆弱性を使用した攻撃が確認されているとの
      ことです。

      対象となる製品は以下の通りです。

      - Adobe Flash Player 10.0.45.2 およびそれ以前の 10.0.x 系
      - Adobe Flash Player 9.0.262 およびそれ以前の 9.0.x 系
      - Adobe Reader、Adobe Acrobat 9.3.2 およびそれ以前の 9.x 系

      2010年6月8日現在、この問題に対する解決策は提供されていません。回
      避策としては、Adobe Flash Player の場合は、Flash Player 10.1 
      Release Candidate を使用する、Adobe Reader および Acrobat の場合
      は、同梱の authplay.dll の削除、名前変更、アクセス制限を行うなど
      の方法があります。詳細については、Adobe が提供する情報を参照して
      ください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#486225
      Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性
      https://jvn.jp/cert/JVNVU486225/index.html

    関連文書 (英語)
      Adobe Security Bulletin APSA10-01
      Security Advisory for Flash Player, Adobe Reader and Acrobat
      http://www.adobe.com/support/security/advisories/apsa10-01.html

【2】一太郎シリーズに脆弱性

    情報源
      Japan Vulnerability Notes JVN#17293765
      一太郎シリーズにおける任意のコードが実行される脆弱性
      https://jvn.jp/jp/JVN17293765/index.html

    概要
      ジャストシステムの一太郎シリーズには、脆弱性があります。結果とし
      て、遠隔の第三者が細工したファイルをユーザに開かせたりブラウザで
      閲覧させたりすることで、任意のコードを実行する可能性があります。

      対象となる製品は以下の通りです。

      - 一太郎
      - 一太郎ガバメント
      - ジャストスクール

      この問題は、ジャストシステムが提供するアップデートモジュールを該
      当する製品に適用することで解決します。詳細についてはジャストシス
      テムが提供する情報を参照してください。

    関連文書 (日本語)
      ジャストシステム セキュリティ情報 JS10002
      一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
      http://www.justsystems.com/jp/info/js10002.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      「一太郎シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
      http://www.ipa.go.jp/about/press/20100601.html

      @police
      ジャストシステム社ワープロソフト一太郎の脆弱性について
      https://www.npa.go.jp/cyberpolice/topics/?seq=3683

【3】VMware 製品群に複数の脆弱性

    情報源
      VMware Security Advisories (VMSAs)
      VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
      http://www.vmware.com/security/advisories/VMSA-2010-0009.html

    概要
      VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
      三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
      害 (DoS) 攻撃を行ったりする可能性があります。

      この問題は、VMware が提供する修正済みのバージョンに、該当する製
      品を更新することで解決します。2010年6月8日現在、一部の問題につい
      ては修正版が提供されていません。詳細については、VMware が提供す
      る情報を参照してください。

    関連文書 (英語)
      VMware Security Announcements
      VMSA-2010-0009 ESXi utilities and ESX Service Console third party updates
      http://lists.vmware.com/pipermail/security-announce/2010/000093.html

【4】e-Pares に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#58439007
      e-Pares におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN58439007/index.html

      Japan Vulnerability Notes JVN#82465391
      e-Pares におけるクロスサイトリクエストフォージェリの脆弱性
      https://jvn.jp/jp/JVN82465391/index.html

      Japan Vulnerability Notes JVN#36925871
      e-Pares におけるセッション固定の脆弱性
      https://jvn.jp/jp/JVN36925871/index.html

    概要
      富士通の施設情報管理システム e-Pares には、複数の脆弱性がありま
      す。結果として、遠隔の第三者が登録ユーザになりすまして任意の操作
      を行ったり、ユーザのブラウザ上で任意のスクリプトを実行したりする
      可能性があります。

      対象となるバージョンは以下の通りです。

      - e-Pares V01L01、V01L03、V01L10、V01L20、V01L30、V01L40

      この問題は、富士通が提供するアップデートモジュールを該当する製品
      に適用することで解決します。詳細については、富士通が提供する情報
      を参照してください。

    関連文書 (日本語)
      富士通
      JVN#36925871, JVN#58439007, JVN#82465391に関する影響
      http://software.fujitsu.com/jp/security/vulnerabilities/jvn-36925871-58439007-82465391.html

      富士通九州システムズ
      施設予約システム「e-Pares」のセキュリティ脆弱性について
      http://jp.fujitsu.com/group/kyushu/services/local-gvt/epares/security-infomation-201006.html

【5】C/C++ セキュアコーディングセミナー 2010 ＠大阪 参加者募集中

    情報源
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠大阪 のご案内
      https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html

    概要
      JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
      い安全なプログラムをコーディングする具体的なテクニックとノウハウ
      を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
      います。

      関西地区のプログラム開発者の方々に受講いただけるよう、大阪を会場
      として、7月1日、2日の2回コースで開催します。受講料は無料です。ふ
      るってご参加ください。

        [日時] part 1 ＜セキュアコーディング概論・文字列＞
        　　　　2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)
        　　　 part 2 ＜整数・コードレビュー＞
        　　　　2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜)

        [会場] クリスタルタワー　20階　Ｅ会議室
               大阪市中央区城見1-2-27
               (MAP) http://www4.ocn.ne.jp/~crystalt/map.html

        [受講料] 無料

        [定員]　70名／回
                (参加者多数の場合はお申し込み先着順となります)

        [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ
                クトマネージャ、コードレビュアー、品質管理担当者、プログラ
                マ・エンジニアの教育担当者、等

    関連文書 (日本語)
      JPCERT/CC
      C/C++ セキュアコーディングセミナー 2010 ＠大阪 お申し込み
      https://www.jpcert.or.jp/event/securecoding-OSK-application.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○短縮 URL へのアクセスに注意

      Twitter の人気に伴い、長い URL を短い文字列に置き換える短縮 URL 
      の利用が拡大しています。

      短縮 URL にアクセスすると、登録されているサイトにリダイレクトさ
      れます。通常、最終的にリダイレクトされる先をあらかじめ知ることは
      できず、マルウエアへの誘導に使われる例が報告されています。

      短縮 URL にアクセスする際には、信頼できる情報かを確認し、必要に
      応じてリダイレクト先を確認するようにしてください。例えば、
      Firefox では、短縮 URL のリダイレクト先を確認したり、リダイレク
      ト時に実際にアクセスするかどうかをダイアログで確認できるアドオン
      が提供されています。

    参考文献 (英語)
      Add-ons for Firefox
      RequestPolicy  0.5.13
      https://addons.mozilla.org/ja/firefox/addon/9727/

      Add-ons for Firefox
      Verify Redirect  1.1.0
      https://addons.mozilla.org/ja/firefox/addon/48582/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2010 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJMDuKmAAoJEDF9l6Rp7OBINM4IAIrN6SujsasBlwqlYIcijuYy
7DCQTgnF1+xZlf6GZYpWj9GnBRqAPVzYXA3fOR9JQfNsnKlnworbxdIpickeRYB2
HqQtepHSo1Ki9KbmIShTMkUhKXo7qbYkeYciVnSYk6Ykp/ppOEHwPlMWllXFn5Nf
w/REZUJFBDOqdDefppIjrSQvKD5WGurIcZvwJ5ZdyFv+Z+v1+3hB2ok7vIdNyBf8
MaMYiLF9Uizqp1I/poFWD+u+njSnmlbB8hSZv3jHfLygyVaVJLc0FxrUeh320Uj9
vOCLGA7rp6E0d5ag0kj5pyRqekWI5PHDyGe5xGiEqR9n1MfyxfVDwKHbQmI2Cv0=
=H6eO
-----END PGP SIGNATURE-----