PR

Hitach Incident Response Team

 2010年5月16日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

マイクロソフト2010年5月の月例セキュリティアップデート(2010/05/12)

 5月の月例セキュリティアップデートでは、2件のセキュリティ更新プログラムを公開し、2件のセキュリティ問題を解決しています。このうち、MS10-030:Outlook ExpressおよびWindowsメールのぜい弱性については検証コードが公開されています。

【 任意のコード実行 】
 MS10-030:Outlook ExpressおよびWindowsメールのぜい弱性
 MS10-031:Microsoft Visual Basic for Applications(VBA)のぜい弱性

[参考情報]

米アドビ システムズ Shockwave Player 11.5.7.609リリース:APSB10-12(2010/05/11)

 米アドビ システムズからShockwave Player 11.5.7.609がリリースされました。確認されたぜい弱性は計18件で、任意のコード実行につながるぜい弱性17件、サービス不能につながるぜい弱性1件です。メモリー破損に起因するぜい弱性12件、バッファオーバーフローに起因するぜい弱性2件となっています。

[参考情報]

■変更履歴
Shockwave Playerのバージョンを11.5.2.609としていましたが,11.5.7.609です。お詫びして訂正します。本文は修正済みです。 [2010/05/27 18:40]

米アドビ システムズ ColdFusionにクロスサイトスクリプティングのぜい弱性:APSB10-11(2010/05/11)

 Windows版、Macintosh版、UNIX版のColdFusion 8.0、8.0.1、9.0およびそれ以前のバージョンに、クロスサイトスクリプティングのぜい弱性と情報漏えいに関わるぜい弱性が確認されています。クロスサイトスクリプティングのぜい弱性は、ColdFusionのメソッドを利用したアプリケーション(CVE-2009-3467)および、ColdFusionのAdministrator画面(CVE-2010-1293)に存在します。情報漏えいにかかわるぜい弱性(CVE-2010-1294)は、悪用にあたりローカルからのアクセス権限が必要となるぜい弱性で、脅威は限定的なものとなります。

[参考情報]

米シスコ PGW 2200ソフトスイッチに複数のぜい弱性(2010/05/12)

 PGW 2200ソフトスイッチのSIP(Session Initiation Protocol)とMGCP(Media Gateway Control Protocol)メッセージ処理にサービス不能につながる複数のぜい弱性が報告されています。SIPはIP電話などのセッション制御プロトコルで、ポート番号は5060/TCP、5061/TCP、5060/UDPを使用します。MGCPはインターネットと公衆交換電話網とをつなぐための制御プロトコルです。報告されたぜい弱性は、装置の異常終了に関わるぜい弱性8件、新規のTCP接続が確立できなくなるぜい弱性1件です。

[参考情報]

Samba 3.4.8リリース(2010/05/11)

 Samba 3.4.8がリリースされました。このバージョンでは、mount.cifs処理に存在するアクセス権限の昇格につながるぜい弱性(CVE-2010-0787)を解決しています。

[参考情報]

Cyber Security Bulletin SB10-130(2010/05/10)

 5月3日の週に報告されたぜい弱性の中からマイクロソフトVisioのぜい弱性を取り上げます(Vulnerability Summary for the Week of May 3, 2010)。

■マイクロソフト Visioにバッファオーバーフローのぜい弱性(2010/05/04)

 マイクロソフトOffice VisioのVISIODWG.DLLの10.0.6880.4より前のバージョンには、任意のコード実行につながるバッファオーバーフローのぜい弱性(CVE-2010-1681)が存在します。VISIODWG.DLLは、DXFファイルをVisio文書に挿入する際に呼び出されるDLLです。このぜい弱性は、MS10-028で報告されているぜい弱性(CVE-2010-0254、CVE-2010-0256)と異なるものですが、MS10-028のセキュリティ更新プログラムを適用することで解決できます。

 このぜい弱性の対応経緯は次の通りです。
2010年4月28日  Core Security Technologies:マイクロソフトにMS10-028に公開されていないぜい弱性の有無を問合せ。同日 マイクロソフト:Core Security Technologiesにセキュリティ更新プログラム適用後のぜい弱性有無について問合せ。同日 Core Security Technologies:セキュリティ更新プログラム適用後にはぜい弱性が存在しないことを回答するとともに、公開されていないぜい弱性の有無を再確認。
2010年5月 4日   Core Security Technologies:ぜい弱性(CVE-2010-1681)情報の公開

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。