JPCERT-WR-2010-3401
2010-09-08
2010-08-29
2010-09-04
「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報
JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ
ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。
マイクロソフトは、回避策のひとつとして「Fix it」を 2010年8月31日
に公開しました。詳細については、マイクロソフトが提供する情報を参
照してください。
Microsoft Support
DLL 検索パス アルゴリズムを制御する新しい CWDIllegalInDllSearch レジストリ エントリについて
http://support.microsoft.com/kb/2264107/ja-jp
JPCERT/CC WEEKLY REPORT 2010-09-01 号
【1】Windows プログラムの DLL 読み込み処理に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103301.html#1
Apple iTunes に複数の脆弱性
Apple iTunes には、WebKit に起因する複数の脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
対象となる製品は以下の通りです。
- iTunes for Windows
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。
Apple Support HT4328
iTunes 10 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4328?viewlocale=ja_JP
Apple Mailing Lists
APPLE-SA-2010-09-01-1 iTunes 10
http://lists.apple.com/archives/security-announce/2010/Sep/msg00000.html
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 6.0.472.53 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google Chrome
を更新することで解決します。
Google Chrome Releases
Stable and Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html
RealNetworks RealPlayer に複数の脆弱性
RealNetworks RealPlayer には、複数の脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意
のコードを実行したり、機密情報を取得したりする可能性があります。
この問題は、RealNetworks が提供する修正済みのバージョンに、該当
する製品を更新することで解決します。詳細については、RealNetworks
が提供する情報を参照してください。
RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/08262010_player/ja/
RealNetworks
RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://service.real.com/realplayer/security/08262010_player/en/
Blackboard Transact データベースに情報漏えいの脆弱性
Blackboard Transact には、脆弱性があります。結果として、権限のな
いユーザがデータベースの認証情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Blackboard Transact Suite 3.6 Patch 2 (バージョン 3.6.0.2) よ
り前のバージョン
詳細については、Blackboard が提供する情報を参照してください。
Blackboard
Blackboard Transact Platform
http://www.blackboard.com/Commerce-Security/Transact-Platform.aspx
Blackboard
Blackboard Transact Support
http://www.blackboard.com/Support/Transact-Support.aspx
Japan Vulnerability Notes JVNVU#204055
Blackboard Transact データベースに情報漏えいの脆弱性
https://jvn.jp/cert/JVNVU204055/index.html
moobbs および moobbs2 にクロスサイトスクリプティングの脆弱性
無料素材屋 Moo の電子掲示板ソフトウエア moobbs および moobbs2 に
は、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となる製品およびバージョンは以下の通りです。
- moobbs 1.02 およびそれ以前
- moobbs2 1.02 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、配布元が提供する情報
を参照してください。
無料素材屋 Moo
moobbs、およびmoobbs2CGIスクリプトの脆弱性に関する報告
http://common1.biz/cgi_bug.html
無料素材屋 Moo
ノーマル掲示板CGI moobbs
http://common1.biz/material/cgi/32/
無料素材屋 Moo
スレッド式掲示板CGI moobbs2
http://common1.biz/material/cgi/33/
IPA、デジタル複合機の脆弱性に関する調査報告書を公開
8月30日に IPA から「MFP (デジタル複合機) の脆弱性に関する調査報
告書」が公開されました。これは、デジタル複合機に関連する脆弱性と
その影響、対策などをまとめたものです。
みなさんの職場においても、デジタル複合機を社内ネットワークに接続
して利用しているところは多いと思います。どのような脅威が想定され
るか、また、問題が発生したときの影響を最小限にする運用体制を検討
する材料として参考にしてみてはいかがでしょうか。
情報処理推進機構:情報セキュリティ
デジタル複合機の脆弱性に関する調査報告書の公開
http://www.ipa.go.jp/security/fy21/reports/mfp/index.html