LIN Networks

情報源
US-CERT Technical Cyber Security Alert TA09-088A
Conficker Worm Targets Microsoft Windows Systems
http://www.us-cert.gov/cas/techalerts/TA09-088A.html

概要
JPCERT/CC では Conficker ワームの大規模な感染活動を観測していま
す。Conficker ワームは MS08-067 を適用していない Windows に USB
ドライブ やネットワーク共有などを使用して感染します。

Conficker ワームの一部は 2009年4月1日以降に新たな活動を行うという
情報があり、注意が必要です。

Conficker ワームの感染を防ぐため、Microsoft Update の実施とウイ
ルス対策ソフトの使用を徹底してください。また感染した PC を復旧す
る手順をいくつかのセキュリティベンダーなどが提供しています。詳細
については、下記関連文書を参照してください。

関連文書 (日本語)
Microsoft サポートオンライン
Win32/Conficker.B ワームに関するウイルス対策情報
http://support.microsoft.com/kb/962007

マイクロソフト セキュリティ
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

JPCERT/CC Alert 2009-02-05
[続報]TCP 445番ポートへのスキャン増加に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090002.txt

関連文書 (英語)
Symantec
W32.Downadup Removal Tool
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

情報源
US-CERT Current Activity Archive
Sun Releases Updates for Java SE
http://www.us-cert.gov/current/archive/2009/03/26/archive.html#sun_releases_updates_for_java2

概要
Java Runtime Environment (JRE) には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した
り、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があり
ます。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 12 およびそれ以前
- JDK/JRE 5.0 Update 17 およびそれ以前
- SDK/JRE 1.4.2_19 およびそれ以前
- SDK/JRE 1.3.1_24 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。

なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。今後修正プログラムは提供されません。後継のバー
ジョンへの対応をおすすめします。

関連文書 (英語)
Sun Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u13.html

Sun Alert 254569
Security Vulnerabilities in the Java Runtime Environment (JRE) LDAP Implementation may Allow a Denial of Service (DoS) and Malicious Code to be Executed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1

Sun Alert 254570
Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1

Sun Alert 254571
Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1

Sun Alert 254608
Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1

Sun Alert 254609
A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Implementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service Endpoint
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1

Sun Alert 254610
A Security Vulnerability in the Java Runtime Environment (JRE) Virtual Machine With Code Generation May Allow Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1

Sun Alert 254611
Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1

情報源
US-CERT Current Activity Archive
Cisco Releases Multiple Security Advisories for IOS Vulnerabilities
http://www.us-cert.gov/current/archive/2009/03/25/archive.html#cisco_releases_multiple_security_advisory

概要
Cisco IOS には、複数の脆弱性があります。結果として、遠隔の第三者
が機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、
権限を昇格したりする可能性があります。

この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を
更新することで解決します。対象となる製品は広範囲に及びます。詳細
については、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory 109314
Cisco IOS cTCP Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-ctcp.shtml

Cisco Security Advisory 109322
Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.shtml

Cisco Security Advisory 109323
Cisco IOS Software Secure Copy Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml

Cisco Security Advisory 109487
Cisco IOS Software Mobile IP and Mobile IPv6 Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090325-mobileip.shtml

Cisco Security Advisory 107397
Cisco IOS Software WebVPN and SSLVPN Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090325-webvpn.shtml

Cisco Security Advisory 109333
Cisco IOS Software Multiple Features IP Sockets Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml

Cisco Security Advisory 109337
Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml

Cisco Security Advisory 108558
Cisco IOS Software Multiple Features Crafted UDP Packet Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-udp.shtml

情報源
US-CERT Current Activity Archive
OpenSSL Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/03/26/archive.html#openssl_releases_security_advisory1

概要
OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が
セキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 0.9.8k より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)
OpenSSL Security Advisory [25-Mar-2009]
Three moderate severity security flaws have been fixed in OpenSSL 0.9.8k.
http://www.openssl.org/news/secadv_20090325.txt

情報源
US-CERT Current Activity Archive
Sun Releases Alert for Java System Identity Manager Vulnerabilities
http://www.us-cert.gov/current/archive/2009/03/25/archive.html#sun_releases_alert_for_java

概要
Sun Java System Identity Manager (IdM) には、複数の脆弱性があり
ます。結果として、遠隔の第三者がやり取りされるデータを傍受したり、
他の IdM アカウントを特定したり、そのパスワードを変更したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- パッチ 140935-01 未適用の Sun Java System Identity Manager 7.0
- パッチ 140936-01 未適用の Sun Java System Identity Manager 7.1
- パッチ 137621-11 未適用の Sun Java System Identity Manager 7.1.1
- パッチ 139010-06 未適用の Sun Java System Identity Manager 8.0

この問題は、Sun が提供する修正済みのバージョンに Java System
Identity Manager を更新することで解決します。詳細については、Sun
が提供する情報を参照してください。

関連文書 (英語)
Sun Alert 253267
Sun Java System Identity Manager Security Vulnerabilities
http://sunsolve.sun.com/search/document.do?assetkey=1-66-253267-1

情報源
DOE-CIRC Technical Bulletin T-089
pam-krb5 Local Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-089.shtml

概要
Pluggable Authentication Modules (PAM) の実装である pam-krb5 に
は、脆弱性があります。結果として、ローカルユーザが権限を昇格する
可能性があります。

対象となるバージョンは以下の通りです。

- pam-krb5 3.13 より前のバージョン

なお、Solaris や Debian などの PAM モジュールを利用する他の製品
も影響を受ける可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、各ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
Debian セキュリティ勧告 DSA-1721-1
libpam-krb5 -- 複数の脆弱性
http://www.debian.org/security/2009/dsa-1721.ja.html

Debian セキュリティ勧告 DSA-1722-1
libpam-heimdal -- プログラムミス
http://www.debian.org/security/2009/dsa-1722.ja.html

関連文書 (英語)
Russ Allbery
pam-krb5 2009-02-11 Advisory
http://www.eyrie.org/~eagle/software/pam-krb5/security/2009-02-11.html

Sun Alert 252767
A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1

情報源
US-CERT Vulnerability Note VU#340420
IBM Access Support ActiveX control stack buffer overflow
http://www.kb.cert.org/vuls/id/340420

概要
IBM Access Support ActiveX コントロールには、バッファオーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が細工した HTML
文書を閲覧させることで、ユーザの権限で任意のコードを実行する可能
性があります。

2009年3月31日現在、この問題に対する修正プログラムは確認されてい
ません。

Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。詳細については、下記関連文書を参照してください。

関連文書 (日本語)
Lenovo
IBM Access Support のご紹介
http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/SYJ0-01CD809

Lenovo
Access Support - アップグレード情報
http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/MIGR-51860

マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja

情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin
http://www.us-cert.gov/current/archive/2009/03/19/archive.html#adobe_releases_security_advisory

概要
JPCERT/CC REPORT 2009-02-25 号【1】および JPCERT/CC REPORT
2009-03-18 号【2】で紹介した「Adobe Reader および Adobe Acrobat
にバッファオーバーフローの脆弱性」に関する追加情報です。

Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 および Acrobat
7 の修正済みのバージョンが提供されました。詳細については、Adobe
が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC REPORT 2009-02-25
【1】Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2009/wr090801.html#1

JPCERT/CC REPORT 2009-03-18
【2】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
http://www.jpcert.or.jp/wr/2009/wr091101.html#2

JPCERT/CC Alert 2009-03-11
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090006.txt

関連文書 (英語)
Adobe Security Bulletin APSB09-04
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-04.html

情報源
DOE-CIRC Technical Bulletin T-085
Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -07 -08 -09 and -11 Multiple Remote Vulnerabilities
http://www.doecirc.energy.gov/ciac/bulletins/t-085.shtml

概要
JPCERT/CC REPORT 2009-03-11【1】で紹介した「Mozilla 製品群に複数
の脆弱性」に関する追加情報です。

Thunderbird および SeaMonkey の修正済みのバージョンが提供されま
した。詳細については、下記関連文書が提供する情報を参照してくださ
い。

関連文書 (日本語)
Mozilla Japan
Mozilla Thunderbird 2.0.0.21 リリースノート
http://mozilla.jp/thunderbird/2.0.0.21/releasenotes/

JPCERT/CC REPORT 2009-03-11
【1】Mozilla 製品群に複数の脆弱性
http://www.jpcert.or.jp/wr/2009/wr091001.html#1

関連文書 (英語)
SeaMonkey Project
SeaMonkey 1.1.15 Security Release
http://www.seamonkey-project.org/news#2009-03-18

情報源
ISC | Internet System Consortium
Security Patch for Users of BIND version 9.5.x or 9.4.x AND DLV
https://www.isc.org/node/437

概要
BIND の DLV (DNSSEC Lookaside Validation) の処理には脆弱性があり
ます。未知の署名アルゴリズムが使用されている場合に、署名なしと同
等に処理するべきところ、検証失敗として処理してしまう問題がありま
す。

ISC からは、この問題の対策として以下のバージョンがリリースされて
います。

- BIND 9.4.3-P2
- BIND 9.5.1-P2
- BIND 9.6.1b1

この問題は、ISC が提供する修正済のバージョンに、BIND を更新する
ことで解決します。なお、この問題は DNSSEC を使用していない場合は
影響を受けません。

関連文書 (英語)
ISC | Internet System Consortium
BIND
https://www.isc.org/downloadables/11

情報源
US-CERT Technical Cyber Security Alert TA09-069A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-069A.html

US-CERT Cyber Security Alert SA09-069A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-069A.html

US-CERT Vulnerability Note VU#319331
Microsoft Windows DNS Server response validation vulnerability
http://www.kb.cert.org/vuls/id/319331

DOE-CIRC Technical Bulletin T-078
Microsoft Windows Kernel GDI EMF/WMF Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-078.shtml

概要
Microsoft Windows、Windows Server および関連コンポーネントには、
複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行したり、DNS キャッシュポイズニングを行ったりする可能性があり
ます。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)
2009 年 3 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

マイクロソフト セキュリティ情報 MS09-006 - 緊急
Windows カーネルの脆弱性により、リモートでコードが実行される (958690)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-006.mspx

マイクロソフト セキュリティ情報 MS09-007 - 重要
SChannel の脆弱性により、なりすましが行われる (960225)

マイクロソフト セキュリティ情報 MS09-008 - 重要
DNS および WINS サーバーの脆弱性により、なりすましが行われる (962238)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-008.mspx

Japan Vulnerability Notes JVNTA09-069A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-069A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて (MS09-006,007,008)
http://www.cyberpolice.go.jp/important/2009/20090311_110434.html

JPCERT/CC Alert 2009-03-11
2009年3月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090005.txt

情報源
US-CERT Current Activity Archive
Adobe Releases Security Updates for Reader 9 and Acrobat 9
http://www.us-cert.gov/current/archive/2009/03/12/archive.html#adobe_releases_security_updates_for

概要
JPCERT/CC REPORT 2009-02-25 号【1】で紹介した「Adobe Reader およ
び Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加
情報です。

Adobe Reader および Acrobat の修正済みのバージョンが提供されまし
た。詳細については、Adobe が提供する情報を参照してください。

なお、Adobe セキュリティアドバイザリ APSA09-01 および APSB09-03
によると、Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 およ
び Acrobat 7 については、2009年3月18日までにアップデートを公開す
る予定であると記載されています。

関連文書 (日本語)
JPCERT/CC REPORT 2009-02-25
【1】Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2009/wr090801.html#1

Japan Vulnerability Notes JVNTA09-051A
Adobe Reader および Acrobat における脆弱性
http://jvn.jp/cert/JVNTA09-051A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Adobe Reader および Acrobat の脆弱性について

@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2009/20090311_121552.html

JPCERT/CC Alert 2009-03-11
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090006.txt

関連文書 (英語)
Adobe Security Bulletin APSB09-03
Security Updates available for Adobe Reader 9 and Acrobat 9
http://www.adobe.com/support/security/bulletins/apsb09-03.html

情報源
US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.8
http://www.us-cert.gov/current/archive/2009/04/03/archive.html#mozilla_foundation_releases_firefox_31

DOE-CIRC Technical Bulletin T-092
Mozilla Firefox '_moveToEdgeShift' Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-092.shtml

概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書または
XML 文書を処理させることで任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- Firefox
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.8

なお、2009年4月7日現在、SeaMonkey の修正プログラムは提供されてい
ません。詳細については、OS のベンダや配布元が提供する情報を参照
してください。

関連文書 (日本語)
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.8 - 2009/03/27 リリース
http://mozilla.jp/firefox/3.0.8/releasenotes/

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0397-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0397.html

Red Hat Security Advisory RHSA-2009:0398-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0398.html

情報源
US-CERT Vulnerability Note VU#627331
Microsoft Office PowerPoint code execution vulnerability
http://www.kb.cert.org/vuls/id/627331

US-CERT Current Activity Archive
Microsoft Releases Security Advisory 969136
http://www.us-cert.gov/current/archive/2009/04/03/archive.html#microsoft_releases_security_advisory_969136

概要
Microsoft Office PowerPoint には、脆弱性があります。結果として、
遠隔の第三者が細工した PowerPoint ファイルを開かせることで任意の
コードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Microsoft Office PowerPoint 2000 Service Pack 3
- Microsoft Office PowerPoint 2002 Service Pack 3
- Microsoft Office PowerPoint 2003 Service Pack 3
- Microsoft Office 2004 for Mac

2009年4月7日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。

回避策としては、Microsoft Office Isolated Conversion Environment
(MOICE) を使用する、Microsoft Office 向けファイルブロックのポリ
シーを使用するなどの方法があります。詳細については、マイクロソフ
トが提供する情報を参照してください。

関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (969136)
Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/969136.mspx

Microsoft サポート オンライン
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について
http://support.microsoft.com/kb/935865

Japan Vulnerability Notes JVNVU#627331
Microsoft Office PowerPoint に任意のコードが実行される脆弱性
http://jvn.jp/cert/JVNVU627331/index.html

情報源
DOE-CIRC Technical Bulletin T-094
Wireshark PN-DCP Data Format String Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-094.shtml

概要
Wireshark には、脆弱性があります。結果として、遠隔の第三者が細工
した PN-DCP パケットまたは pcap ファイルを処理させることで、
Wireshark を実行しているユーザの権限で任意のコードを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- Wireshark 1.0.6 およびそれ以前

2009年4月7日現在、この問題に対する修正プログラムは提供されていま
せん。

回避策としては、PN-DCP プロトコルのサポートを無効にするなどの方
法があります。

関連文書 (英語)
Wireshark
http://www.wireshark.org/

Wireshark
Security Advisories
http://www.wireshark.org/security/

情報源
US-CERT Vulnerability Note VU#985449
SAP AG SAPgui EAI WebViewer3D ActiveX control stack buffer overflow
http://www.kb.cert.org/vuls/id/985449

概要
SAPgui に含まれている EAI WebViewer3D ActiveX コントロールには、
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が細工した HTML 文書を閲覧させることでユーザの権限で任意のコー
ドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SAP AG SAPgui 7.10 Patch Level 9 より前のバージョン

この問題は、SAP AG が提供する修正済みのバージョンに SAPgui を更
新することで解決します。

関連文書 (日本語)
SAP ジャパン
http://www.sap.com/japan/

情報源
Japan Vulnerability Notes JVN#74747784
XOOPS Cube Legacy におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN74747784/index.html

概要
XOOPS Cube Project の XOOPS Cube Legacy にクロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- XOOPS Cube Legacy 2.1.6 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに XOOPS Cube
Legacy を更新することで解決します。

関連文書 (日本語)
XOOPS Cube Project
XOOPS Cube Legacy 2.1.6 以前に XSS 脆弱性が見つかりました
http://xoopscube.sourceforge.net/ja/index_files/c041252789bdf6acdce966295b015ee3-28.html

I. 概要

Microsoft から 2009年4月のセキュリティ情報が公開されました。本情報に
は、深刻度が「緊急」のセキュリティ更新プログラムが 5件含まれています。

これらの脆弱性を使用された場合、結果として遠隔の第三者によってサービ
ス不能状態を引き起こされたり、任意のコードを実行されたりする可能性があ
ります。

各脆弱性に関する情報の詳細は、以下の URL を参照してください。

2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

[緊急の更新プログラム]

MS09-009
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx

MS09-010
ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx

MS09-011
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx

MS09-013
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx

MS09-014
Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx

II. 対策

Microsoft Update、Windows Update などを用いて、セキュリティ更新プロ
グラムを早急に適用してください。

Microsoft Update
https://update.microsoft.com/

Windows Update
https://windowsupdate.microsoft.com/

Office Update
http://office.microsoft.com/ja-jp/officeupdate/default.aspx

III. 参考情報

2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

US-CERT Technical Cyber Security Alert TA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-104A.html

US-CERT Vulnerability Note (ms09-apr で検索)
http://www.kb.cert.org/vuls/byid?searchview&query=ms09-apr

情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for ASA Adaptive Security Appliance and PIX Security Appliances
http://www.us-cert.gov/current/archive/2009/04/09/archive.html#cisco_releases_security_advisory_for9

DOE-CIRC Technical Bulletin T-098
Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
http://www.doecirc.energy.gov/ciac/bulletins/t-098.shtml

概要
Cisco PIX Series Security Appliance (PIX) および Cisco 5500
Series Adaptive Security Appliance (ASA) には、複数の脆弱性があ
ります。結果として、遠隔の第三者が VPN の認証を回避したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Cisco が提供する情報
を参照してください。

関連文書 (英語)
Cisco Security Advisory 109974
Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

情報源
Japan Vulnerability Notes JVN#33846134
一太郎シリーズにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN33846134/index.html

概要
ジャストシステムの一太郎シリーズには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工したファイルをユー
ザに開かせることで、ユーザの権限で任意のコードを実行する可能性が
あります。

対象となる製品は以下の通りです。

- 一太郎2009
- 一太郎ガバメント2009
- 一太郎2009 体験版
- 一太郎2008
- 一太郎ガバメント2008
- 一太郎2007
- 一太郎ガバメント2007
- 一太郎2006
- 一太郎ガバメント2006
- 一太郎2005
- 一太郎文藝
- 一太郎2004
- 一太郎13
- 一太郎ビューア2009 バージョン 19.0.1.0 およびそれ以前

この問題は、ジャストシステムが提供するアップデートモジュールを該
当する製品に適用することで解決します。詳細についてはジャストシス
テムが提供する情報を参照してください。

関連文書 (日本語)
ジャストシステム セキュリティ情報 JS09002
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js09002.html

独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200904_ichitaro.html

@police
ジャストシステム社ワープロソフト一太郎の脆弱性について (4/8)
http://www.cyberpolice.go.jp/important/2009/20090408_100923.html

情報源
VMware Security Advisories (VMSAs)
VMSA-2009-0006
http://www.vmware.com/security/advisories/VMSA-2009-0006.html

概要
複数の VMware 製品には脆弱性があります。結果として、ゲスト OS 上
のユーザが、ホスト OS 上で任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- VMware Workstation 6.5.1 およびそれ以前
- VMware Player 2.5.1 およびそれ以前
- VMware ACE 2.5.1 およびそれ以前
- VMware Server 2.0
- VMware Server 1.0.8 およびそれ以前
- VMware Fusion 2.0.3 およびそれ以前
- VMware ESXi 3.5 without patch ESXe350-200904201-O-SG
- VMware ESX 3.5 without patch ESX350-200904201-SG
- VMware ESX 3.0.3 without patch ESX303-200904403-SG
- VMware ESX 3.0.2 without patch ESX-1008421

この問題は、VMware が提供する修正済みのバージョンに該当する製品
を更新することで解決します。詳細については VMware が提供する情報
を参照してください。

情報源
US-CERT Technical Cyber Security Alert TA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-104A.html

US-CERT Cyber Security Alert SA09-104A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-104A.html

概要
Microsoft Windows、Windows Server、Office、ISA Server および関連
コンポーネントには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)
2009 年 4 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

マイクロソフト セキュリティ情報 MS09-009 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-009.mspx

マイクロソフト セキュリティ情報 MS09-010 - 緊急
ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-010.mspx

マイクロソフト セキュリティ情報 MS09-011 - 緊急
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-011.mspx

マイクロソフト セキュリティ情報 MS09-012 - 重要
Windows の脆弱性により、特権が昇格される (959454)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-012.mspx

マイクロソフト セキュリティ情報 MS09-013 - 緊急
Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-013.mspx

マイクロソフト セキュリティ情報 MS09-014 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-014.mspx

マイクロソフト セキュリティ情報 MS09-015 - 警告
SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-015.mspx

マイクロソフト セキュリティ情報 MS09-016 - 重要
Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-016.mspx

Japan Vulnerability Notes JVNTA09-104A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-104A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Excel の脆弱性（MS09-009）について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-009.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft ワードパッドおよび Office テキストコンバーターの脆弱性(MS09-010)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-010.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows の特権昇格の脆弱性(MS09-012)について
http://www.ipa.go.jp/security/ciadr/vul/20090415-ms09-012.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-009,010,011,012,013,014,015,016)
http://www.cyberpolice.go.jp/important/2009/20090415_111614.html

情報源
US-CERT Technical Cyber Security Alert TA09-105A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-105A.html

DOE-CIRC Technical Bulletin T-111
Oracle April 2009 Critical Patch Update
http://www.doecirc.energy.gov/bulletins/t-111.shtml

概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性
があります。

この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。

なお、次回の Oracle Critical Patch Update は、2009年7月にリリー
スされる予定です。

関連文書 (日本語)
Oracle internet Support Center
[CPUApril2009] Oracle Critical Patch Update Advisory - April 2009
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=133019

Oracle Technology Network
Critical Patch Update - April 2009
http://www.oracle.com/technology/global/jp/security/090417_86/top.html

Japan Vulnerability Notes JVNTA09-105A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-105A/index.html

関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

情報源
US-CERT Vulnerability Note VU#196617
Xpdf and poppler contain multiple vulnerabilities in the processing of JBIG2 data
http://www.kb.cert.org/vuls/id/196617

概要
Xpdf、および Xpdf に基づくコードが含まれている poppler には、
JBIG2 データの処理にかかわる複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF 文書を閲覧させることで、PDF 閲覧ソフ
トウェアをクラッシュさせたり、任意のコードを実行したりする可能性
があります。

対象となる製品およびバージョンは以下の通りです。

- Xpdf 3.02pl2 およびそれ以前
- poppler 0.10.5 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#196617
Xpdf および poppler の JBIG2 データの処理における複数の脆弱性
http://jvn.jp/cert/JVNVU196617/index.html

関連文書 (英語)
Glyph & Cog, LLC
Xpdf 3.02pl3 was released 2009-apr-16
http://www.foolabs.com/xpdf/download.html

Poppler
Poppler 0.10 Releases - poppler-0.10.6.tar.gz (Thu Apr 16, 2009)
http://poppler.freedesktop.org/releases.html

Red Hat Security Advisory RHSA-2009:0429-1
Important: cups security update
https://rhn.redhat.com/errata/RHSA-2009-0429.html

Red Hat Security Advisory RHSA-2009:0431-1
Important: kdegraphics security update
https://rhn.redhat.com/errata/RHSA-2009-0431.html

情報源
US-CERT Vulnerability Note VU#789121
Microsoft Whale Intelligent Application Gateway Whale Client Components ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/789121

概要
Microsoft Whale Intelligent Application Gateway の Whale Client
Components ActiveX コントロールには、バッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲
覧させることで、そのユーザの権限で任意のコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- Microsoft Intelligent Application Gateway 3.7 SP2 より前のバー
ジョン

この問題は、マイクロソフトが提供する修正済みのバージョンに
Microsoft Intelligent Application Gateway を更新することで解決し
ます。

関連文書 (英語)
Microsoft Technet Library
Intelligent Application Gateway (IAG) 2007 Service Pack 2 release notes
http://technet.microsoft.com/en-us/library/dd282918.aspx

Microsoft Download Center
Microsoft Whale Communications Intelligent Application Gateway 2007 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=e69dfd1d-d333-4c27-9246-279ada224317&displaylang=en

情報源
US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.9
http://www.us-cert.gov/current/archive/2009/04/23/archive.html#mozilla_foundation_releases_firefox_32

DOE-CIRC Technical Bulletin T-115
Multiple Vulnerabilities in Firefox, Thunderbird and Seamonkey
http://www.doecirc.energy.gov/bulletins/t-115.shtml

概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書または
XML 文書を処理させることで任意のコードを実行したり、ユーザのブラ
ウザ上で任意のスクリプトを実行したりするなどの可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.10

なお、この問題の対策として、Firefox 3.0.9 がリリースされましたが、
一部問題があり Firefox 3.0.10 が公開されています。また、2009年4
月28日現在、Thunderbird および SeaMonkey の修正プログラムは提供
されていません。詳細については、OS のベンダや配布元が提供する情
報を参照してください。

関連文書 (日本語)
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.10 - 2009/04/27 リリース
http://mozilla.jp/firefox/3.0.10/releasenotes/

Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0436-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-0436.html

Red Hat Security Advisory RHSA-2009:0437-2
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-0437.html

情報源
Japan Vulnerability Notes JVN#97248625
Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN97248625/index.html

概要
Movable Type には、クロスサイトスクリプティングの脆弱性がありま
す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 4.24 (Professional Pack、Community Pack を同梱)
- Movable Type Commercial 4.24 (Professional Pack を同梱)
- Movable Type 4.24 Enterprise
- Movable Type 4.24 (Open Source)

また、以下の環境でグローバルテンプレートの初期化が行われていない
場合、本脆弱性の影響を受けます。

- Movable Type 4.25 (Movable Type 4.24 (Professional Pack,
Community Pack を同梱) からアップグレードした環境)
- Movable Type 4.25 (Movable Type 4.24 Enterprise からアップグレー
ドした環境)

この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。

関連文書 (日本語)
シックス・アパート
Movable Type 4.24 でのセキュリティ上の問題について
http://www.movabletype.jp/blog/security-info_mt424.html

情報源
US-CERT Vulnerability Note VU#970180
Adobe Reader and Acrobat customDictionaryOpen() and getAnnots() JavaScript vulnerabilities
http://www.kb.cert.org/vuls/id/970180

DOE-CIRC Technical Bulletin T-120
Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-120.shtml

概要
Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま
す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲
覧させることで任意のコードを実行する可能性があります。なお、攻撃
コードが公開されていることが確認されています。

対象となる製品およびバージョンは以下のとおりです。

- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 9.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 8.1.4 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 7.1.1 およびそれ以前

また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可
能性があります。

2009年5月12日現在、この問題に対する解決策は提供されていません。
回避策としては、Adobe Reader および Acrobat で JavaScript を無効
化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12
日に対策版の公開を予定しています。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性
http://jvn.jp/cert/JVNVU970180/index.html

関連文書 (英語)
Adobe Security bulletin APSA09-02
Buffer overflow issues in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-02.html

Adobe Product Security Incident Response Team (PSIRT)
Adobe Reader Issue Update
http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html

情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin for Flash Media Server
http://www.us-cert.gov/current/archive/2009/05/08/archive.html#adobe_releases_security_bulletin_for3

DOE-CIRC Technical Bulletin T-128
Adobe Flash Media Server Unspecified RPC Call Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-128.shtml

概要
Adobe Flash Media Server には、脆弱性があります。結果として、遠
隔の第三者がリモートプロシージャを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- Adobe Flash Media Streaming Server 3.5.1 およびそれ以前
- Adobe Flash Media Interactive Server 3.5.1 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。

関連文書 (英語)
Adobe Security bulletin APSB09-05
Updates available to address Flash Media Server privilege escalation issue
http://www.adobe.com/support/security/bulletins/apsb09-05.html

情報源
DOE-CIRC Technical Bulletin T-124
Linux Kernel 'FWD-TSN' Chunk Remote Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-124.shtml

概要
Linux カーネルには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)
Red Hat Security Advisory RHSA-2009:0451-2
Important: kernel-rt security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0451.html

Red Hat Security Advisory RHSA-2009:0473-1
Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0473.html

DSA-1794-1
linux-2.6 -- denial of service/privilege escalation/information leak
http://www.debian.org/security/2009/dsa-1794

情報源
Japan Vulnerability Notes JVN#36982346
CGI RESCUE 製簡易BBS22 におけるメールの不正送信が可能な脆弱性
http://jvn.jp/jp/JVN36982346/index.html

Japan Vulnerability Notes JVN#11396739
CGI RESCUE 製簡易BBS におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN11396739/index.html

Japan Vulnerability Notes JVN#76370393
CGI RESCUE 製フォームメールにおけるメールの不正送信が可能な脆弱性
http://jvn.jp/jp/JVN76370393/index.html

Japan Vulnerability Notes JVN#28020230
CGI RESCUE 製 Webメーラーにおける HTTP ヘッダインジェクションの脆弱性
http://jvn.jp/jp/JVN28020230/index.html

概要
CGI RESCUE の複数の製品には、脆弱性があります。結果として、遠隔
の第三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ
上で任意のスクリプトを実行したりする可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- 簡易BBS22 v.1.00
- 簡易BBS v10系 10.31 およびそれ以前のバージョン
- 簡易BBS v9系 9.07 およびそれ以前のバージョン
- 簡易BBS v8系 8.94 およびそれ以前のバージョン
- 簡易BBS v8t系 8.93t およびそれ以前のバージョン
- フォームメール v.1.41 およびそれ以前
- Webメーラー v1.03 およびそれ以前

この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する
製品を更新することで解決します。

関連文書 (日本語)
CGI RESCUE
フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081213132937

CGI RESCUE
Webメーラー v1.04 セキュリティ修正版
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20090209180123

情報源
US-CERT Vulnerability Note VU#402580
Jetty HTTP server directory traversal vulnerability
http://www.kb.cert.org/vuls/id/402580

概要
Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの
脆弱性があります。結果として、遠隔の第三者が細工した URL を処理
させることで、機密情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Jetty 6.1.16 およびそれ以前
- Jetty 7.0.0.M2 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに Jetty を更新
することで解決します。

関連文書 (英語)
Mort Bay Consulting
Jetty
http://jetty.mortbay.org/jetty/

Mort Bay Consulting
Vulnerability in ResourceHandler and DefaultServlet with aliases
http://jira.codehaus.org/browse/JETTY-1004

情報源
US-CERT Technical Cyber Security Alert TA09-132A
Microsoft PowerPoint Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-132A.html

US-CERT Cyber Security Alert SA09-132A
Microsoft PowerPoint Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-132A.html

DOE-CIRC Technical Bulletin T-134
Microsoft PowerPoint Notes Container Heap Memory Corruption Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-134.shtml

概要
Microsoft Office PowerPoint および関連コンポーネントには、複数の
脆弱性があります。結果として、遠隔の第三者が細工した PowerPoint
ファイルをユーザに閲覧させることで、任意のコードを実行したり、権
限を昇格したりする可能性があります。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。なお、セキュリティ更新プログラ
ムには、JPCERT/CC REPORT 2009-04-08【2】で紹介した問題に対する解
決策も含まれています。また、マイクロソフトによると、Microsoft
Office for Mac および関連コンポーネントのセキュリティ更新プログ
ラムは 2009年5月19日現在、準備中となっています。

関連文書 (日本語)
2009 年 5 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

マイクロソフト セキュリティ情報 MS09-017 - 緊急
Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-017.mspx

Japan Vulnerability Notes JVNTA09-132A
Microsoft Office PowerPoint に複数の脆弱性
http://jvn.jp/cert/JVNTA09-132A/index.html

Japan Vulnerability Notes JVNVU#627331
Microsoft Office PowerPoint に任意のコードが実行される脆弱性
http://jvn.jp/cert/JVNVU627331/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Office の PowerPoint の脆弱性(MS09-017) について
http://www.ipa.go.jp/security/ciadr/vul/20090513-ms09-017.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-017)
http://www.cyberpolice.go.jp/important/2009/20090513_105022.html

JPCERT/CC Alert 2009-05-13
2009年5月 Microsoft セキュリティ情報 (緊急 1件) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090008.txt

JPCERT/CC REPORT 2009-04-08
【2】Microsoft Office PowerPoint に脆弱性
http://www.jpcert.or.jp/wr/2009/wr091401.html#2

情報源
US-CERT Technical Cyber Security Alert TA09-133B
Adobe Reader and Acrobat JavaScript Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-133B.html

US-CERT Cyber Security Alert SA09-133B
Adobe Reader and Acrobat Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-133B.html

概要
JPCERT/CC WEEKLY REPORT 2009-05-13 号【1】で紹介した「Adobe
Reader および Acrobat に脆弱性」に関する追加情報です。

Adobe Reader および Acrobat の修正済みのバージョンが提供されまし
た。詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNTA09-133B
Adobe Reader および Acrobat における脆弱性
http://jvn.jp/cert/JVNTA09-133B/index.html

Japan Vulnerability Notes JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性
http://jvn.jp/cert/JVNVU970180/index.html

@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2009/20090514_190910.html

JPCERT/CC Alert 2009-05-13
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090009.txt

JPCERT/CC WEEKLY REPORT 2009-05-13
【1】Adobe Reader および Acrobat に脆弱性
http://www.jpcert.or.jp/wr/2009/wr091801.html#1

関連文書 (英語)
Adobe Security Bulletin APSB09-06
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-06.html

情報源
US-CERT Technical Cyber Security Alert TA09-133A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-133A.html

US-CERT Cyber Security Alert SA09-133A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-133A.html

DOE-CIRC Technical Bulletin T-135
Apple Mac OS X Help Viewer HTML Document Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-135.shtml

概要
Mac OS X、Mac OS X Server、Safari には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X 10.4.11 およびそれ以前 (Tiger)
- Apple Mac OS X 10.5.6 およびそれ以前 (Leopard)
- Apple Mac Server OS X 10.4.11 およびそれ以前 (Tiger)
- Apple Mac Server OS X 10.5.6 およびそれ以前 (Leopard)
- Safari 3 (Windows、Mac OS X 10.4、Mac OS X 10.5)

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

関連文書 (日本語)
Apple Support HT3550
Safari 3.2.3 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3550?viewlocale=ja_JP

Japan Vulnerability Notes JVNTA09-133A
Apple 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-133A/index.html

関連文書 (英語)
Apple Support HT3549
About the security content of Security Update 2009-002 / Mac OS X v10.5.7
http://support.apple.com/kb/HT3549?viewlocale=en_US

DOE-CIRC Technical Bulletin T-136
Apple Mac OS X PICT Image Handling Integer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-136.shtml

情報源
US-CERT Vulnerability Note VU#238019
Cyrus SASL library buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/238019

概要
Cyrus SASL ライブラリには、バッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行したり、SASL
ライブラリを利用するプログラムをクラッシュさせたりする可能性があ
ります。

対象となるバージョンは以下の通りです。

- Cyrus SASL 2.1.22 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Cyrus SASL ライブラリを更新することで解決します。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#238019
Cyrus SASL ライブラリにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU238019/index.html

関連文書 (英語)
Project Cyrus: Downloads
SASL Library
http://cyrusimap.web.cmu.edu/downloads.html#sasl

情報源
Japan Vulnerability Notes JVN#73653977
Sun GlassFish Enterprise Server および Sun Java System Application Server におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN73653977/index.html

概要
Sun GlassFish Enterprise Server および Sun Java System Application
Server には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Sun GlassFish Enterprise Server v2.1 patch 1 およびそれ以前
- Sun Java System Application Server 9.1U2 およびそれ以前

なお、Sun Java System Application Server 8.x および 9.0 は、この
問題の影響を受けません。

この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。詳細については、Sun が提供する情報を参
照してください。

関連文書 (英語)
Sun Alert 258528
Cross-Site Scripting (XSS) Vulnerabilities in Sun GlassFish Enterprise Server and Sun Java System Application Server May Allow Execution of JavaScript Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-258528-1

情報源
US-CERT Vulnerability Note VU#787932
Microsoft IIS WebDAV Remote Authentication Bypass
http://www.kb.cert.org/vuls/id/787932

DOE-CIRC Technical Bulletin T-137
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
http://www.doecirc.energy.gov/bulletins/t-137.shtml

概要
Microsoft Internet Information Services (IIS) の WebDAV 機能には、
Unicode トークンの処理に起因する脆弱性があります。結果として、遠
隔の第三者が細工したリクエストを処理させることで、アクセス制御を
回避してファイルをダウンロードしたり、改ざんしたりするなどの可能
性があります。

対象となるバージョンは以下の通りです。

- Microsoft Internet Information Services 5.0
- Microsoft Internet Information Services 5.1
- Microsoft Internet Information Services 6.0

2009年5月26日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。回避策としては、WebDAV を無効化する、外部か
らの HTTP リクエストをフィルタリングする、ファイルシステムの ACL
を変更するなどの方法があります。

関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (971492)
インターネット インフォメーション サービスの脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/971492.mspx

Japan Vulnerability Notes JVNVU#787932
Microsoft IIS 6.0 WebDAV における認証回避の脆弱性
http://jvn.jp/cert/JVNVU787932/index.html

情報源
US-CERT Vulnerability Note VU#853097
ntpd autokey stack buffer overflow
http://www.kb.cert.org/vuls/id/853097

DOE-CIRC Technical Bulletin T-138
NTP 'ntpd' Autokey and ntpq Stack Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-138.shtml

概要
ntpd には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工したパケットを処理させることで、ntpd を実行す
るユーザの権限で任意のコードを実行する可能性があります。なお、こ
の問題は、ntpd が OpenSSL サポート付きでコンパイルされ、autokey
が有効な場合にのみ影響します。

対象となるバージョンは以下の通りです。

- NTP 4.2.4p7 より前のバージョン
- NTP 4.2.5p74 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ntpd を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#853097
ntpd autokey におけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU853097/index.html

関連文書 (英語)
ntp.org
NTP Software Downloads
http://www.ntp.org/downloads.html

ntp.org
Security Notice
http://support.ntp.org/bin/view/Main/SecurityNotice#Remote_exploit_if_autokey_is_ena

Red Hat Security Advisory RHSA-2009:1039-1
Important: ntp security update
https://rhn.redhat.com/errata/RHSA-2009-1039.html

Red Hat Security Advisory RHSA-2009:1040-1
Critical: ntp security update
https://rhn.redhat.com/errata/RHSA-2009-1040.html

Debian Security Advisory DSA-1801-1
ntp -- buffer overflows
http://www.debian.org/security/2009/dsa-1801

情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for CiscoWorks TFTP Vulnerability
http://www.us-cert.gov/current/archive/2009/05/22/archive.html#cisco_releases_security_advisory_for10

DOE-CIRC Technical Bulletin T-140
CiscoWorks Common Services TFTP Server Directory Traversal Vulnerability
http://www.doecirc.energy.gov/bulletins/t-140.shtml

概要
CiscoWorks Common Services の TFTP サービスには、ディレクトリト
ラバーサルの脆弱性があります。結果として、遠隔の第三者がアプリケー
ションやホストオペレーティングシステムのファイルに変更を加える可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- CiscoWorks Common Services 3.0.x, 3.1.x, および 3.2.x

この問題は、Cisco が提供する修正済みのバージョンに、CiscoWorks
Common Services を更新することで解決します。詳細については、
Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory cisco-sa-20090520-cw
CiscoWorks TFTP Directory Traversal Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090520-cw.shtml

情報源
US-CERT Vulnerability Note VU#710316
NSD vulnerable to one-byte overflow
http://www.kb.cert.org/vuls/id/710316

概要
NLnet Labs が提供する Name Server Daemon (NSD) には、バッファオー
バーフローの脆弱性があります。結果として、遠隔の第三者が細工した
パケットを処理させることで、サービス運用妨害 (DoS) 攻撃を行う可
能性があります。

対象となるバージョンは以下の通りです。

- NSD 2.0.0 から 3.2.1 まで

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに NSD を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNVU#710316
NSD におけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU710316/index.html

関連文書 (英語)
NLnet Labs
NSD Vulnerability Announcement
http://www.nlnetlabs.nl/publications/NSD_vulnerability_announcement.html

Debian Security Advisory DSA-1803-1
nsd, nsd3 -- buffer overflow
http://www.debian.org/security/2009/dsa-1803

情報源
US-CERT Current Activity Archive
Novell Releases Updates for GroupWise
http://www.us-cert.gov/current/archive/2009/05/22/archive.html#novell_releases_updates_for_groupwise1

DOE-CIRC Technical Bulletin T-141
Novell GroupWise Buffer Overflow and Cross Site Scripting Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-141.shtml

概要
Novell GroupWise には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行したり、認証を回避したり、ユーザのブ
ラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- GroupWise Internet Agent
- GroupWise WebAccess
- GroupWise 7.0 から 7.03 HP2 まで
- GroupWise 8.0 から 8.0.0 HP1 まで

この問題は、Novell が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、Novell が提供する
情報を参照してください。

関連文書 (英語)
Novell Support 7003271
Novell GroupWise WebAccess - Security Vulnerability with Javascript
http://www.novell.com/support/viewContent.do?externalId=7003271

Novell Support 7003268
Novell GroupWise WebAccess - Scripting Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7003268

Novell Support 7003267
Novell GroupWise WebAccess - Cross Site Scripting (XSS) Security Vulnerability via Unfiltered Style Expressions
http://www.novell.com/support/viewContent.do?externalId=7003267

Novell Support 7003266
Novell GroupWise WebAccess - Security Vulnerability in Session Management Mechanisms
http://www.novell.com/support/viewContent.do?externalId=7003266

Novell Support 7003273
Novell GroupWise Internet Agent (GWIA) - Security Vulnerability in Email Address Processing
http://www.novell.com/support/viewContent.do?externalId=7003273

Novell Support 7003272
Novell GroupWise Internet Agent (GWIA) - Security Vulnerability Processing SMTP Requests
http://www.novell.com/support/viewContent.do?externalId=7003272

情報源
US-CERT Current Activity Archive
Microsoft Releases Security Advisory 971778
http://www.us-cert.gov/current/archive/2009/05/29/archive.html#microsoft_releases_security_advisory_971778

DOE-CIRC Technical Bulletin T-148
Microsoft DirectX DirectShow QuickTime Video Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-148.shtml

概要
Microsoft DirectX に含まれる Microsoft DirectShow には、
QuickTime メディアファイルの処理に起因する脆弱性があります。結果
として、遠隔の第三者が細工した QuickTime メディアファイルを閲覧
させることで、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- 現在サポートされている Windows 2000, XP, Server 2003 で動作す
る Microsoft DirectX 7.0 ～ 9.0c

なお、Windows Vista および Server 2008 で動作する DirectX 10 は
影響しません。

2009年6月2日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。回避策としては、quartz.dll による QuickTime の
解析を無効化するなどの方法があります。詳細は Microsoft のアドバ
イザリを参照してください。

関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (971778)
Microsoft DirectShow の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/971778.mspx

関連文書 (英語)
Microsoft Help and Support
Microsoft Security Advisory: Vulnerability in Microsoft DirectShow could allow remote code execution
http://support.microsoft.com/kb/971778/en

情報源
US-CERT Current Activity Archive
VMware Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/05/29/archive.html#vmware_releases_security_advisory2

概要
VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- VMware Workstation 6.5.1 およびそれ以前
- VMware Player 2.5.1 およびそれ以前
- VMware ACE 2.5.1 およびそれ以前
- VMware Server 2.0
- VMware Server 1.0.8 およびそれ以前
- VMware Fusion 2.0.1 およびそれ以前
- VMware ESXi 3.5 , パッチ ESXe350-200904402-T-BG 未適用の製品
- VMware ESX 3.5 , パッチ ESX350-200904401-BG 未適用の製品
- VMware ESX 3.0.3 , パッチ ESX303-200905401-SG 未適用の製品
- VMware ESX 3.0.2 , パッチ ESX-1008420 未適用の製品
- VMware ESX 2.5.5 , パッチ update patch 13 未適用の製品

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

関連文書 (英語)
VMware Security Advisories VMSA-2009-0007
VMware Hosted products and ESX and ESXi patches resolve security issues
http://www.vmware.com/security/advisories/VMSA-2009-0007.html

情報源
US-CERT Current Activity Archive
BlackBerry Security Advisory
http://www.us-cert.gov/current/archive/2009/05/29/archive.html#blackberry_security_advisory2

DOE-CIRC Technical Bulletin T-146
BlackBerry Attachment Service PDF Distiller Multiple Unspecified Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-146.shtml

概要
BlackBerry Attachment Service の PDF 生成機能には複数の脆弱性が
あります。結果として、遠隔の第三者が細工した PDF ファイルを閲覧
させることで、Attachment Service を実行するサーバ上で任意のコー
ドを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) から 5.0
- BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4)

この問題は、Research In Motion が提供する修正済みのバージョンに、
該当する製品を更新することで解決します。詳細については、Research
In Motion が提供する情報を参照してください。

関連文書 (英語)
Research In Motion - Security Advisory KB18327
Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327

情報源
US-CERT Current Activity Archive
Apple Releases iTunes 8.2 and QuickTime 7.6.2
http://www.us-cert.gov/current/archive/2009/06/05/archive.html#apple_releases_itunes_8_2

DOE-CIRC Technical Bulletin T-152
Apple QuickTime JP2 Image Handling Heap Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-152.shtml

概要
Apple QuickTime および iTunes には、複数の脆弱性があります。結果
として、遠隔の第三者が細工したファイルや画像を開かせることで任意
のコードを実行するなどの可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- QuickTime 7.6.2 より前のバージョン
- iTunes 8.2 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。

関連文書 (日本語)
Apple Support HT3591
QuickTime 7.6.2 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3591?viewlocale=ja_JP

Apple Support HT3592
iTunes 8.2 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3592?viewlocale=ja_JP

情報源
Apache Tomcat
Security Updates
http://tomcat.apache.org/security.html

概要
Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得した
りする可能性があります。

対象となるバージョンは以下のとおりです。

- Apache Tomcat 4.1.0 から 4.1.39 まで
- Apache Tomcat 5.5.0 から 5.5.27 まで
- Apache Tomcat 6.0.0 から 6.0.18 まで

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Apache Tomcat を更新することで解決します。詳細につ
いては、各ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVN#87272440
Apache Tomcat におけるサービス運用妨害（DoS）の脆弱性
http://jvn.jp/jp/JVN87272440/index.html

情報源
US-CERT Technical Cyber Security Alert TA09-160A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-160A.html

US-CERT Cyber Security Alert SA09-160A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-160A.html

DOE-CIRC Technical Bulletin T-160
Microsoft Windows Print Spooler 'EnumeratePrintShares()' Remote Stack Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-160.shtml

概要
Microsoft Windows、Office、Internet Explorer および関連コンポー
ネントには、複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、権限を昇格したりする可能性があります。

詳細については、Microsoft が提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

関連文書 (日本語)
2009 年 6 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

マイクロソフト セキュリティ情報 MS09-018 - 緊急
Active Directory の脆弱性により、リモートでコードが実行される (971055)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-018.mspx

マイクロソフト セキュリティ情報 MS09-019 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (969897)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-019.mspx

マイクロソフト セキュリティ情報 MS09-020 - 重要
インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-020.mspx

マイクロソフト セキュリティ情報 MS09-021 - 緊急
Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-021.mspx

マイクロソフト セキュリティ情報 MS09-022 - 緊急
Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-022.mspx

マイクロソフト セキュリティ情報 MS09-023 - 警告
Windows サーチの脆弱性により、情報漏えいが起こる (963093)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-023.mspx

マイクロソフト セキュリティ情報 MS09-024 - 緊急
Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-024.mspx

マイクロソフト セキュリティ情報 MS09-025 - 重要
Windows カーネルの脆弱性により、特権が昇格される (968537)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-025.mspx

マイクロソフト セキュリティ情報 MS09-026 - 重要
RPC の脆弱性により、特権が昇格される (970238)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-026.mspx

マイクロソフト セキュリティ情報 MS09-027 - 緊急
Microsoft Office Word の脆弱性により、リモートでコードが実行される (969514)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-027.mspx

Japan Vulnerability Notes JVN#70858401
Microsoft Works コンバーターにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN70858401/index.html

Japan Vulnerability Notes JVNTA09-160A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-160A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
「Microsoft Works コンバーター」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200906_msworks.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-018,019,020,021,022,023,024,025,026,027)
http://www.cyberpolice.go.jp/important/2009/20090610_121329.html

JPCERT/CC Alert 2009-06-10
2009年6月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090011.txt

JPCERT/CC WEEKLY REPORT 2009-05-27
【1】Microsoft IIS の WebDAV 機能に脆弱性
http://www.jpcert.or.jp/wr/2009/wr092001.html#1

情報源
US-CERT Technical Cyber Security Alert TA09-161A
Adobe Acrobat and Reader Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-161A.html

US-CERT Cyber Security Alert SA09-161A
Adobe Acrobat and Reader Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-161A.html

US-CERT Vulnerability Note VU#568153
Adobe Reader contains multiple vulnerabilities in the processing of JPX data
http://www.kb.cert.org/vuls/id/568153

DOE-CIRC Technical Bulletin T-159
Adobe Reader and Acrobat 9.1.1 and Prior Multiple Remote Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-159.shtml

概要
Adobe Reader および Acrobat には、複数の脆弱性があります。結果と
して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ
とで、アプリケーションをクラッシュさせたり、任意のコードを実行し
たりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 9.1.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 8.1.5 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 7.1.2 およびそれ以前

また、PDF ファイルを閲覧するためのプラグインも影響を受ける可能性
があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。

関連文書 (日本語)
Japan Vulnerability Notes JVNTA09-161A
Adobe Reader および Acrobat における脆弱性
http://jvn.jp/cert/JVNTA09-161A/index.html

Japan Vulnerability Notes JVNVU#568153
Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性
http://jvn.jp/cert/JVNVU568153/index.html

@police
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
http://www.cyberpolice.go.jp/important/2009/20090610_122253.html

関連文書 (英語)
Adobe Security Bulletin APSB09-07
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-07.html

情報源
US-CERT Current Activity Archive
Mozilla Foundation Releases Firefox 3.0.11
http://www.us-cert.gov/current/archive/2009/06/12/archive.html#mozilla_foundation_releases_firefox_34

概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、機密情報を取得したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.11

2009年6月16日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。

関連文書 (日本語)
Mozilla Japan
Firefox 3 リリースノート - バージョン 3.0.11 - 2009/06/11 リリース
http://mozilla.jp/firefox/3.0.11/releasenotes/

Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

関連文書 (英語)
Red Hat Security Advisory RHSA-2009:1095-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2009-1095.html

Red Hat Security Advisory RHSA-2009:1096-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2009-1096.html

情報源
DOE-CIRC Technical Bulletin T-157
Apple Safari Prior to 4.0 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-157.shtml

概要
Safari には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、権限を昇格したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Safari 4.0 より前のバージョン (Mac OS X 版、Windows 版)

この問題は、Apple が提供する修正済みのバージョン Safari 4.0 に更
新することで解決します。詳細については、Apple が提供する情報を参
照してください。

関連文書 (日本語)
Apple Support HT3613
Safari 4.0 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3613?viewlocale=ja_JP

Apple Support Download
Safari 4
http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP

情報源
Ruby
BigDecimal の DoS 脆弱性
http://www.ruby-lang.org/ja/news/2009/06/10/dos-vulnerability-in-bigdecimal/

概要
Ruby の標準ライブラリには、脆弱性があります。 結果として、遠隔の
第三者がサービス運用妨害 (DoS) 攻撃を行なう可能性があります。

対象となるバージョンは以下の通りです。

- 1.8.6-p368 およびそれ以前のバージョン
- 1.8.7-p160 およびそれ以前のバージョン

Ruby on Rails が使用している ActiveRecord ライブラリに影響がある
ため、多くの Rails アプリケーションはこの脆弱性の影響を受けます。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)
Riding Rails
DoS Vulnerability in Ruby
http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby

情報源
US-CERT Vulnerability Note VU#983731
eBay Enhanced Picture Uploader ActiveX control vulnerable to arbitrary command execution
http://www.kb.cert.org/vuls/id/983731

概要
eBay Enhanced Picture Uploader ActiveX コントロールには、脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ
に閲覧させることで、そのユーザの権限で任意のコマンドを実行する可
能性があります。

対象となるバージョンは以下の通りです。

- eBay Enhanced Picture Uploader ActiveX コントロール 1.0.27
より前のバージョン

この問題は、eBay が提供する修正済みのバージョンに eBay Enhanced
Picture Uploader ActiveX コントロールを更新することで解決します。
詳細については、eBay が提供する情報を参照してください。

関連文書 (英語)
eBay Special Alert
eBay Enhanced Picture Services ActiveX Control Update
http://pages.ebay.com/securitycenter/activex/index.html

Microsoft TechNet
Microsoft Security Advisory (969898) Update Rollup for ActiveX Kill Bits
http://www.microsoft.com/technet/security/advisory/969898.mspx

情報源
US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.4 and 10.5
http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_java_updates_for1

DOE-CIRC Technical Bulletin T-164
Sun Java Runtime Environment Aqua Look and Feel Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/bulletins/t-164.shtml

概要
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは以下のとおりです。

- Java for Mac OS X 10.5 Update 4 より前のバージョン
- Java for Mac OS X 10.4 Release 9 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。

関連文書 (日本語)
JPCERT/CC REPORT 2009-04-01
【2】Java Runtime Environment (JRE) に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr091301.html#2

関連文書 (英語)
Apple Support HT3632
About the security content of Java for Mac OS X 10.5 Update 4
http://support.apple.com/kb/HT3632?viewlocale=en_US

Apple Support HT3633
About the security content of Java for Mac OS X 10.4 Release 9
http://support.apple.com/kb/HT3633?viewlocale=en_US

Apple Support Download
Java for Mac OS X 10.5 Update 4
http://support.apple.com/downloads/Java_for_Mac_OS_X_10_5_Update_4

Apple Support Download
Java for Mac OS X 10.4, Release 9
http://support.apple.com/downloads/Java_for_Mac_OS_X_10_4__Release_9

情報源
US-CERT Current Activity Archive
Apple Releases iPhone OS 3.0
http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_iphone_os_3

概要
iPhone OS には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った
りする可能性があります。

対象となるバージョンは以下のとおりです。

- iPhone OS 1.0 から 2.2.1 まで
- iPhone OS for iPod touch 1.1 から 2.2.1 まで

この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。

関連文書 (日本語)
Apple Support HT3639
iPhone OS 3.0 ソフトウェアアップデートのセキュリティコンテンツについて
http://support.apple.com/kb/HT3639?viewlocale=ja_JP

Japan Vulnerability Notes JVN#87239696
iPhone OS におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN87239696/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
「iPhone OS」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200906_iphone.html

情報源
US-CERT Vulnerability Note VU#251793
Foxit Reader contains multiple vulnerabilities in the processing of JPX data
http://www.kb.cert.org/vuls/id/251793

概要
Foxit Software の Foxit Reader には、JPX (JPEG2000) ストリームの
処理に起因する複数の脆弱性があります。結果として、遠隔の第三者が
細工した PDF 文書を閲覧させることで、任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
JPEG2000 / JBIG Decoder アドオンがインストールされていなければ、
この問題の影響は受けません。

対象となるバージョンは以下のとおりです。

- Foxit Reader 3.0 Build 1817 より前のバージョン

この問題は、Foxit Software が提供する修正済みのバージョンに Foxit
Reader を更新することで解決します。

関連文書 (英語)
Foxit Software
Two Security Vulnerabilities Fixed in Foxit Reader 3.0 and JPEG2000/JBIG2 Decoder
http://www.foxitsoftware.com/pdf/reader/security.htm#0602

情報源
US-CERT Current Activity Archive
Adobe Releases Update for Shockwave Player
http://www.us-cert.gov/current/archive/2009/06/26/archive.html#adobe_releases_update_for_shockwave

概要
Adobe Shockwave Player には、脆弱性があります。結果として、遠隔
の第三者が細工したファイルを処理させることで任意のコードを実行す
る可能性があります。

対象となるバージョンは以下のとおりです。

- Adobe Shockwave Player 11.5.0.596 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Shockwave
Player を更新することで解決します。詳細については、Adobe が提供
する情報を参照してください。

関連文書 (英語)
Adobe Security Bulletin APSB09-08
Security Update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-08.html

情報源
Mozilla Japan
Thunderbird リリースノート - Thunderbird 2.0.0.22 での変更点
http://mozilla.jp/thunderbird/2.0.0.22/releasenotes/

Mozilla
Security Advisories for SeaMonkey 1.1
http://www.mozilla.org/security/known-vulnerabilities/seamonkey11.html#seamonkey1.1.17

概要
「Mozilla 製品群に複数の脆弱性」に関する追加情報です。

Thunderbird の修正済みバージョン 2.0.0.22 および、SeaMonkey の修
正済みバージョン 1.1.17 が提供されました。詳細については、OS の
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2009-06-17
【3】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr092301.html#3

情報源
Japan Vulnerability Notes JVN#08369659
Movable Type におけるアクセス制限回避の脆弱性
https://jvn.jp/jp/JVN08369659/index.html

Japan Vulnerability Notes JVN#86472161
Movable Type におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN86472161/index.html

概要
Movable Type には、複数の脆弱性があります。結果として、遠隔の第
三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ上で
任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 4.25 Enterprise およびそれ以前
- Movable Type 4.25 (Professional Pack, Community Pack を同梱)
およびそれ以前
- Movable Type Commercial 4.25 (Professional Pack を同梱) および
それ以前
- Movable Type 4.25 (Open Source) およびそれ以前

この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。なお、本脆弱性は
4.26 で修正されていますが、2009年6月30日現在、最新版として 4.261
が公開されています。

関連文書 (日本語)
シックス・アパート
Movable Type 4.26 の出荷を開始します
http://www.movabletype.jp/blog/movable_type_426.html

シックス・アパート
Movable Type 4.261 の出荷を開始します
http://www.movabletype.jp/blog/movable_type_4261.html

情報源
US-CERT Current Activity Archive
Autonomy KeyView SDK Vulnerability
http://www.us-cert.gov/current/archive/2009/08/28/archive.html#autonomy_keyview_sdk_vulnerability1

概要
Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理
に起因するバッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任
意のコードを実行する可能性があります。

なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes
および Symantec の複数の製品にも影響します。詳細については、下記
関連文書を参照してください。

この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。

関連文書 (英語)
IBM
Potential security issue with Lotus Notes file viewer for Microsoft Excel
http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492

Symantec Security Response SYM09-010
Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00

Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html

情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for Unified Communications Manager
http://www.us-cert.gov/current/archive/2009/08/27/archive.html#cisco_release_security_advisory_for

概要
Cisco Unified Communications Manager (旧 CallManager) には、脆弱
性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS)
攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Unified Communications Manager 4.x、5.x、6.x、7.x

この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
Communications Manager を更新することで解決します。詳細について
は、Cisco が提供する情報を参照してください。

関連文書 (英語)
Cisco Security Advisory 110580
Cisco Unified Communications Manager Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml

情報源
Japan Vulnerability Notes JVN#31035930
SugarCRM における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN31035930/index.html

概要
CRM (Customer Relationship Management) ソフトウェアの SugarCRM
には、SQL インジェクションの脆弱性があります。結果として、
SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ
れたコンテンツを改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- SugarCRM Community/Professional/Enterprise Editions 5.2.0g
およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 5.0.0k
およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 4.5.1o
およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更
新することで解決します。

関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
「SugarCRM」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html

関連文書 (英語)
SugarCRM Forums
Sugar Community Edition 5.2.0 Patch H
http://www.sugarcrm.com/forums/showthread.php?t=50907

SugarCRM Forums
Sugar Community Edition 5.0.0l and 4.5.1p Now Available
http://www.sugarcrm.com/forums/showthread.php?t=50953

SugarForge
Downloads
http://www.sugarforge.org/content/downloads/

情報源
US-CERT Vulnerability Note VU#276653
Microsoft Internet Information Server (IIS) FTP server NLST stack buffer overflow
http://www.kb.cert.org/vuls/id/276653

概要
Microsoft Internet Information Services (IIS) の FTP サーバ機能
には、バッファオーバーフローの脆弱性があります。結果として、FTP
サーバに対する書き込み権限のある遠隔の第三者が任意のコードを実行
する可能性があります。なお、この脆弱性を使用した攻撃コードが公開
されています。

対象となるバージョンは以下の通りです。

- Microsoft Internet Information Services 5.0 (FTP サービス5.0)
- Microsoft Internet Information Services 5.1 (FTP サービス5.1)
- Microsoft Internet Information Services 6.0 (FTP サービス6.0)
- Microsoft Internet Information Services 7.0 (FTP サービス6.0)

2009年9月8日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。

回避策としては、FTP サーバに対する匿名ユーザでの書き込み権限を無
効にするなどの方法があります。詳細については、マイクロソフトが提
供する情報を参照してください。

関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (975191)
インターネット インフォメーション サービスの FTP サービスの脆弱性
http://www.microsoft.com/japan/technet/security/advisory/975191.mspx

Japan Vulnerability Notes JVNVU#276653
Microsoft Internet Information Services FTP サーバにおけるバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU276653/index.html

情報源
US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.5
http://www.us-cert.gov/current/archive/2009/09/04/archive.html#apple_releases_java_updates_for2

概要
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が権限を昇格したり、任意のコードを実行したりする可能性が
あります。

対象となるバージョンは以下のとおりです。

- Java for Mac OS X 10.5 Update 5 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに、Java for Mac
OS X を更新することで解決します。詳細については、Apple が提供す
る情報を参照してください。

関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2009-08-12
【3】Java Runtime Environment (JRE) に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr093101.html#3

Apple Support HT3649
Java for Mac OS X 10.5 Update 5 について
http://support.apple.com/kb/HT3649?viewlocale=ja_JP

Apple Support Download
Java for Mac OS X 10.5 Update 5
http://support.apple.com/kb/DL924?viewlocale=ja_JP&locale=ja_JP

関連文書 (英語)
Apple Support HT3851
About the security content of Java for Mac OS X 10.5 Update 5
http://support.apple.com/kb/HT3851

Apple Mailing List APPLE-SA-2009-09-03-1
Java for Mac OS X 10.5 Update 5
http://lists.apple.com/archives/security-announce/2009/Sep/msg00000.html

情報源
US-CERT Vulnerability Note VU#444513
VMware VMnc AVI video codec image height heap overflow
http://www.kb.cert.org/vuls/id/444513

概要
VMware の VMnc AVI コーデックには、AVI ファイルの処理に起因する
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が細工した Web ページまたは細工した AVI ファイルを閲覧させるこ
とで、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- VMware Movie Decoder 6.5.3 より前のバージョン
- VMware Workstation 6.5.3 より前のバージョン
- VMware Player 2.5.3 より前のバージョン
- VMware ACE 2.5.3 より前のバージョン

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

関連文書 (英語)
VMware Security Advisory VMSA-2009-0012
VMware Movie Decoder, VMware Workstation, VMware Player, and VMware ACE resolve security issues.
http://www.vmware.com/security/advisories/VMSA-2009-0012.html

VMware Security Announcements
VMSA-2009-0012 VMware Movie Decoder, VMware Workstation, VMware Player, and VMware ACE resolve security issues.
http://lists.vmware.com/pipermail/security-announce/2009/000065.html