セキュリティホール memo - 2011.04

Last modified: Mon Nov 14 18:56:08 2011 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2011.04.29

いろいろ (2011.04.29)
(various)

Firefox と Thunderbird のセキュリティアップデートを公開しました
(Mozilla.jp, 2011.04.29)

 Firefox 4.0.1 / 3.6.17 / 3.5.19、Thunderbird 3.1.10 がリリースされています。 とんとかいもさん情報ありがとうございます。

 セキュリティ修正項目:

 SeaMonkey 2.0.14 も出ています。SeaMonkey 2.0.14 セキュリティ修正項目 (mozilla-japan.org)


2011.04.28

追記

Microsoft 2011 年 4 月のセキュリティ情報

 MS11-024 の改訂にあわせ、MS11-024 の項目に CVE-2010-4701 の件を追加。


2011.04.27

WordPress 3.1.2
(Wordpress, 2011.04.26)

 WordPress 3.1.2、セキュリティ修正を含むそうで。「Fix a vulnerability that allowed Contributor-level users to improperly publish posts. (r17710)」がセキュリティ修正なのかな。


2011.04.26

FBI OpenBSD IPSEC Backdoors Update 2
(Cryptome, 2011.04.16)

  確かに脆弱性は OpenBSD 3.[01] にあり、3.2 になる前に秘かに修正された模様。脆弱性があったことよりも、なぜ秘かに修正されたのか (なぜ脆弱性情報が公開されなかったのか) が問題か。そして、状況を語るべき関係者がなぜか黙ったままなことが。


2011.04.25

追記

Microsoft 2011 年 4 月のセキュリティ情報

 MS11-022 の PowerPoint 2003 副作用問題、hotfix 登場。


2011.04.23


2011.04.22

追記

Evernote の XSS 脆弱性に関して mala 氏のつぶやき

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Adobe Reader / Acrobat 修正出ました。APSB11-08: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.04.21)、APSB11-08: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2011.04.21)

  • Adobe Reader X 10.0.3 for Mac

  • Adobe Reader 9.4.4

  • Acrobat X 10.0.3

  • Acrobat 9.4.4

 Adobe Reader X for Windows は Protected Mode によって守られているため、2011.06.14 の定期更新時に修正される予定。


2011.04.21

追記

マイクロソフト セキュリティ アドバイザリ (2524375) 不正なデジタル証明書により、なりすましが行われる

 Comodo事件はどのようにして起こったのか? (セキュリティは楽しいかね?, 2011.04.15)

Microsoft 2011 年 4 月のセキュリティ情報

 MS11-028 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2484015) の更新プログラム 2449742 (Windows Vista / Server 2008 用) または 2446709 (Windows 7 / Server 2008 R2 用) を適用すると、Exchange Server や SQL Server、PowerShell が crash するようになる場合がある模様。


2011.04.20

いろいろ (2011.04.20)
(various)

Oracle Critical Patch Update Advisory - April 2011
(Oracle, 2011.04.19)

 Oracle 定例 patch 登場。次回は 2011.07.19。

About the security content of iTunes 10.2.2
(Apple, 2011.04.18)

 iTunes 10.2.2 登場。Windows 版では、About the security content of Safari 5.0.5 (Apple, 2011.04.14) などと同様に、WebKit に関する 2 件の欠陥 CVE-2011-1290 CVE-2011-1344 が修正されている。

追記

マイクロソフト セキュリティ アドバイザリ (2506014) Windows オペレーティング システム ローダー用の更新プログラム

 KB2506014 kills TDL4 on x64 (ESET blog, 2011.04.15)

マイクロソフト セキュリティ アドバイザリ(973811) 認証に対する保護の強化

 2010.10.13 付で SMB、2010.12.30 付で Office Live Meeting Service Portal、2011.04.13 付で Outlook 2007 の対応が追加されてます。

 しかし、Outlook 2007 の修正プログラム 2509470 を適用すると、プリンタ関連で障害が発生する事例がある模様です。nkz さん情報ありがとうございます。


2011.04.19

追記

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Google Chrome の修正済み Flash Player バージョン修正。山賀さん感謝。

Evernote の XSS 脆弱性に関して mala 氏のつぶやき
(togetter, 2011.04.18)

 Evernote に XSS 欠陥があり、「少なくともメールアドレスが取れるし多分保存したノート全部取れる」という指摘。少なくとも Web クリッパーに欠陥がある模様。セキュリティアップデート 2011-04-19 (Evernote, 2011.04.19) により部分的には修正されたが、まだ欠陥は残っているという。

 それよりもむしろ、Webクリッパーがうまく動かないときは、IE の XSS フィルタを停止しろとか、当該サイトを信頼済みサイトゾーンに登録しろとか書いている Evernote のドキュメントの方がはるかにマズいような。そういうドキュメントを書く会社ということなのだけど。

2011.04.22 追記:

 関連:


2011.04.18

追記

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Flash Player 10.2.159.1 出ました。修正されてます。

 Adobe AIR 2.6.19140 も出ています。利用者は更新してください。

 Google Chrome な人は Google Chrome 10.0.648.205 で対応されています。Flash Player のバージョンは 10.2.154.25 10.2.154.27 となります。

 Android 用の Flash Player の更新は 2011.04.25 の週に公開されます。


2011.04.15

Google Chrome Stable Channel Update
(Google, 2011.04.14)

 Google Chrome 10.0.648.205 登場。APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat の件への対応の他、3 件の欠陥が修正されている。

追記

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

マイクロソフト セキュリティ アドバイザリ (2501584) Microsoft Office 向けの Microsoft Office ファイル検証機能の公開

 関連: Office 2003/2007 のファイル検証機能の組み込み (日本のセキュリティチーム, 2011.04.14)。うわ、上記は間違いですね。こうだそうです。

Office 製品 ファイル検証機能に必要な更新プログラム
Excel 2003 2502786 (MS11-021) + 2508603 (MS11-023)
Excel 2007 2464583 (MS11-021) + 2508603 (MS11-023)
Word 2003 2464603 + 2508603 (MS11-023)
Word 2007 2464605 + 2508603 (MS11-023)
PowerPoint 2003 2464588 (MS11-022) + 2508603 (MS11-023)
PowerPoint 2007 2464594 (MS11-022) + 2508603 (MS11-023)
Publisher 2003 2464598 + 2508603 (MS11-023)
Publisher 2007 2464599 + 2508603 (MS11-023)

Microsoft 2011 年 4 月のセキュリティ情報
(Microsoft, 2011.04.13)

 予定どおり大量に出まして。PowerPoint 2003 用の修正プログラム (MS11-022) で副作用が発生するので注意:

MS11-018 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2497640)

 IE 6 / 7 / 8 に 5 件の欠陥。IE 9 にはこれらの欠陥はない。

 関連: MS11-018 addresses the IE8 pwn2own vulnerability (Microsoft Security Research & Defense, 2011.04.12)

MS11-019 - 緊急: SMB クライアントの脆弱性により、リモートでコードが実行される (2511455)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 2 件の欠陥。

  • Browser Pool の破損の脆弱性 - CVE-2011-0654

    攻略ブラウザメッセージにより、無認証で任意のコードが実行される。 Exploitability Index: 2

  • SMB クライアントの応答の解析の脆弱性 - CVE-2011-0660

    攻略 SMB 応答により、無認証で任意のコードが実行される。Exploitability Index: 1

 関連: MS11-019 and MS11-020: April SMB Updates (Microsoft Security Research & Defense, 2011.04.12)

MS11-020 - 緊急: SMB サーバーの脆弱性により、リモートでコードが実行される (2508429)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。

  • SMB のトランザクション解析の脆弱性 - CVE-2011-0661

    攻略 SMB パケットにより、無認証で任意のコードが実行される。 Exploitability Index: 1

 関連: MS11-019 and MS11-020: April SMB Updates (Microsoft Security Research & Defense, 2011.04.12)

MS11-021 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2489279)

 Excel 2002 / 2003 / 2007 / 2010、Office 2004 / 2008 for Mac、 Office for Mac 2011、Open XML File Format Converter for Mac、 Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックに 9 つの欠陥。

  • Excel の整数オーバーランの脆弱性 - CVE-2011-0097

    Exploitability Index: 1

  • Excel のヒープ オーバーフローの脆弱性 - CVE-2011-0098

    Exploitability Index: 1

  • Excel のレコード解析の WriteAV の脆弱性 - CVE-2011-0101

    Exploitability Index: 1

  • Excel のメモリ破損の脆弱性 - CVE-2011-0103

    Exploitability Index: 2

  • Excel のバッファー上書きの脆弱性 - CVE-2011-0104

    Exploitability Index: 2

  • Excel のデータ初期化の脆弱性 - CVE-2011-0105

    Exploitability Index: 2

  • Excel の配列インデックスの脆弱性 - CVE-2011-0978

    Exploitability Index: 1

  • Excel の連結リスト破損の脆弱性 - CVE-2011-0979

    Exploitability Index: 1

  • Excel のダングリング ポインターの脆弱性 - CVE-2011-0980

    Exploitability Index: 1

 関連: Office 2003/2007 のファイル検証機能の組み込み (日本のセキュリティチーム, 2011.04.13)

MS11-022 - 重要: Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (2489283)

 PowerPoint 2002 / 2003 / 2007 / 2010、Office 2004 / 2008 for Mac、 Office for Mac 2011、Open XML File Format Converter for Mac、 Excel Viewer、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックに 3 つの欠陥。

  • Techno-color Time Bandit の浮動小数点の RCE の脆弱性 - CVE-2011-0655

    Exploitability Index: 2

  • Persist ディレクトリの RCE の脆弱性 - CVE-2011-0656

    Exploitability Index: 2

  • OfficeArt の Atom の RCE の脆弱性 - CVE-2011-0976

    Exploitability Index: 1

 修正プログラムを適用すると、PowerPoint 2003 では副作用が発生するので注意:

 関連: Office 2003/2007 のファイル検証機能の組み込み (日本のセキュリティチーム, 2011.04.13)

MS11-023 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2489293)

 Office 2002 / 2003 / 2007、Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac に 2 件の欠陥。

  • Office コンポーネントの安全でないライブラリのロードの脆弱性 - CVE-2011-0107

    DLL ロードねた。Exploitability Index: 1

  • Microsoft Office グラフィック オブジェクトの逆参照の脆弱性 - CVE-2011-0977

    Exploitability Index: 2

MS11-024 - 重要: Windows FAX 送付状エディターの脆弱性により、リモートでコードが実行される (2527308)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 2 件の欠陥。

  • FAX 送付状エディターのメモリ破損の脆弱性 - CVE-2011-3974

    攻略 FAX 送付状によって任意のコードが実行される。 Exploitability Index: 3

  • FAX 送付状の解放後使用の脆弱性 - CVE-2010-4701

    攻略 FAX 送付状によって任意のコードが実行される。 Exploitability Index: 3

MS11-025 - 重要: Microsoft Foundation Classes (MFC) ライブラリの脆弱性により、リモートでコードが実行される (2500212)

 Visual Studio .NET 2003 / 2005 / 2008 / 2010 に 1 件の欠陥。

  • MFC の安全でないライブラリのロードの脆弱性 - CVE-2010-3190

    DLL ロードねた。 Exploitability Index: 1

MS11-026 - 重要: MHTML の脆弱性により、情報漏えいが起こる (2503658)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 1 件の欠陥。

  • MHTML の MIME 形式のリクエストの脆弱性 - CVE-2011-0096

    Exploitability Index: 3

MS11-027 - 緊急: ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2508272)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 3 件の欠陥。

  • Microsoft Internet Explorer 8 開発者ツールの脆弱性 - CVE-2010-0811

    Exploitability Index: N/A

  • Microsoft WMITools の ActiveX コントロールの脆弱性 - CVE-2010-3973

    Exploitability Index: N/A

  • Microsoft Windows Messenger の ActiveX コントロールの脆弱性 - CVE-2011-1243

    Exploitability Index: N/A

MS11-028 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2484015)

 .NET Framework 2.0 / 3.5 / 3.5.1 / 4 に 1 件の欠陥。

  • .NET Framework のスタック破損の脆弱性 - CVE-2010-3958

    特定の関数呼び出しの処理方法に欠陥があり、任意のコードを実行できる。 Exploitability Index: 1

MS11-029 - 緊急: GDI+ の脆弱性により、リモートでコードが実行される (2489979)

 Windows XP / Server 2003 / Vista / Server 2008、Office XP に 1 件の欠陥。

  • GDI+ の整数オーバーフローの脆弱性 - CVE-2011-0041

    攻略 EMF ファイルによって任意のコードを実行できる。 Exploitability Index: 1

MS11-030 - 緊急: DNS 解決の脆弱性により、リモートでコードが実行される (2509553)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 1 件の欠陥。

  • DNS クエリの脆弱性 - CVE-2011-0657

    攻略 LLMNR クエリによって任意のコードが実行される。 Exploitability Index: 2

 関連: MS11-030: Exploitable or Not? (Rapid7, 2011.06.27)

MS11-031 - 緊急: JScript および VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (2514666)

 JScript 5.6 / 5.7 / 5.8、VBScript 5.6 / 5.7 / 5.8 に 1 件の欠陥。 ただし、IE 9 に同梱されている JScript 5.8 / VBScript 5.8 にはこの欠陥はない。

  • スクリプトのメモリの再割り当ての脆弱性 - CVE-2011-0663

    攻略スクリプトによって任意のコードが実行される。 Exploitability Index: 2

MS11-032 - 緊急: OpenType Compact Font Format (CFF) ドライバーの脆弱性により、リモートでコードが実行される (2507618)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 1 件の欠陥。

  • OpenType フォントのスタック オーバーフローの脆弱性 - CVE-2011-0034

    攻略 OpenType フォントによって任意のコードが実行される。 Exploitability Index: 3

MS11-033 - 重要: ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される (2485663)

 Windows XP / Server 2003 に 1 件の欠陥。

  • ワードパッドのコンバーターの解析の脆弱性 - CVE-2011-0028

    攻略 Word ファイルによって任意のコードが実行される。 Exploitability Index: 2

MS11-034 - 重要: Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2506223)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 30 件 (!!) の欠陥。

 関連: MS11-034: Addressing vulnerabilities in the win32k subsystem (Microsoft Security Research & Defense, 2011.04.12)

 関連:

2011.04.21 追記:

 MS11-028 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2484015) の更新プログラム 2449742 (Windows Vista / Server 2008 用) または 2446709 (Windows 7 / Server 2008 R2 用) を適用すると、Exchange Server や SQL Server、PowerShell が crash するようになる場合がある模様。

2011.04.25 追記:

 MS11-022 の PowerPoint 2003 副作用問題、hotfix 登場。

2011.04.28 追記:

 MS11-024 の改訂にあわせ、MS11-024 の項目に CVE-2010-4701 の件を追加。

2011.05.11 追記:

 MS11-028 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2484015) の更新プログラム 2449742 (Windows Vista / Server 2008 用) または 2446709 (Windows 7 / Server 2008 R2 用) を適用すると、Exchange Server や SQL Server、PowerShell が crash するようになる場合がある件、 2449742 と 2446709 更新プログラムが、新しい 979744 更新プログラムと共に再リリースされているそうです。

なぜこのセキュリティ情報は 2011 年 5 月 11 日に再リリースされたのですか?
マイクロソフトは、このセキュリティ情報を再リリースし、セキュリティ更新プログラム KB2446709 および KB2449742 と共に、修正プログラム KB979744 を再提供して、SQL および Exchange サーバーに影響を与えた既知の問題を解決します。この問題の詳細は、サポート技術情報 2540222 で説明しています。最初のバージョンの修正プログラム KB979744 をインストール済みのお客様には、今回の更新により、セキュリティ更新プログラムと新しいバージョンの修正プログラム KB979744 が自動的に提供およびインストールされます。システムを既に更新済みのお客様で、最初のバージョンの修正プログラム KB979744 をインストールしていない場合、この更新プログラムを再インストールする必要はありません。

2011.05.18 追記:

 MS11-018 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2497640) が改訂されています。2011.05.17 付で Windows XP / Server 2003 向の IE 7 用の hotfix が再リリースされたそうです。検出ロジックに問題があり、正常に適用されないことがあった模様。検出ロジックが変更されただけで hotfix の中身に変化はないので、既に適用済の場合はそのままで ok。

2011.07.05 追記:

 関連: MS11-030: Exploitable or Not? (Rapid7, 2011.06.27)

2011.08.09 追記:

 関連: FIX: An application that uses objects that are derived from the CArchive class may crash after you install security update MS11-024 on a computer that is running Windows 7 or Windows Server 2008 R2 (Microsoft, 2011.08.05)

2011.11.14 追記:

 Microsoft Office Excelにおける変数初期化処理の脆弱性(CVE-2011-0105, MS11-021)に関する検証レポート (NTTデータ先端技術, 2011.11.14)

Apple 4 連発 (Mac OS X, Safari, iOS for iPhone 4, iOS for iPhone / iPod / iPad)
(Apple, 2011.04.14)


2011.04.14

追記

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

  APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat が改訂され、新版の公開日が示されました。

  • Flash Player: 2011.04.15

  • Adobe Reader / Acrobat: 2011.04.25 の週

  • Adobe Reader X for Windows: 2011.06.14 (既報)


2011.04.13

追記

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 関連:

マイクロソフト セキュリティ アドバイザリ (2501584) Microsoft Office 向けの Microsoft Office ファイル検証機能の公開
(Microsoft, 2011.04.13)

 Office 2010 の「Office ファイル検証機能」が Office 2003 / 2007 に backport された話。 Excel / PowerPoint については MS11-021 / MS11-022 patch に含まれる。 Word は 2464603 / 2464605、 Publisher は 2464598 / 2464599 を適用する。 Word / Publisher 用更新プログラムのダウンロードリンクは 2501584 にある。

2011.04.15 追記:

 関連: Office 2003/2007 のファイル検証機能の組み込み (日本のセキュリティチーム, 2011.04.14)。うわ、上記は間違いですね。こうだそうです。

Office 製品 ファイル検証機能に必要な更新プログラム
Excel 2003 2502786 (MS11-021) + 2508603 (MS11-023)
Excel 2007 2464583 (MS11-021) + 2508603 (MS11-023)
Word 2003 2464603 + 2508603 (MS11-023)
Word 2007 2464605 + 2508603 (MS11-023)
PowerPoint 2003 2464588 (MS11-022) + 2508603 (MS11-023)
PowerPoint 2007 2464594 (MS11-022) + 2508603 (MS11-023)
Publisher 2003 2464598 + 2508603 (MS11-023)
Publisher 2007 2464599 + 2508603 (MS11-023)

マイクロソフト セキュリティ アドバイザリ (2506014) Windows オペレーティング システム ローダー用の更新プログラム
(Microsoft, 2011.04.13)

 64bit 版 Windows Vista / Server 2008 / 7 / Server 2008 R2 において、署名されていないドライバーが読み込まれてしまう問題に対応する更新プログラムが公開されたという話。

これはセキュリティ情報が必要となる更新プログラムですか?
いいえ。これは、マイクロソフト セキュリティ情報およびセキュリティ更新プログラムを必要とする問題ではありません。上記に説明したようにプログラムがコードを実行するには、プログラムが既に特権レベルで実行されている必要があります。この更新プログラムは、有効な証明機関により署名されている意図されたプログラムのみが、ブートの段階で winload.exe を実行できるよう変更を行います。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。矛盾がありませんか?
セキュリティ アドバイザリは、セキュリティ情報が必要ないものの、お客様のセキュリティ全体に影響を与える可能性があるセキュリティの変更に対応するものです。セキュリティ アドバイザリは、脆弱性として分類されておらずセキュリティ情報の公開を必要としない問題、またはセキュリティ情報がリリースされていない問題について、マイクロソフトがお客様に提供するセキュリティ関連の情報です。今回の場合、マイクロソフトはセキュリティ更新プログラムを含む今後の更新プログラムの実行に影響する更新プログラムの提供をお伝えしています。従って、このアドバイザリは特定のセキュリティの脆弱性を解決するというよりはむしろ、お客様のセキュリティ全般に対応するものです。

2011.04.20 追記:

 KB2506014 kills TDL4 on x64 (ESET blog, 2011.04.15)

2011.05.11 追記:

 The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 ) (ESET blog, 2011.05.10)。闘いは続く。


2011.04.12

いろいろ (2011.04.12)
(various)

APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
(Adobe, 2011.04.11)

 また 0-day だってさ。CVE-2011-0611。欠陥があるのは:

 修正版のリリース時期は未定。また Adobe Reader X の保護モードこの攻撃に対する耐性があるため、Windows 版 Adobe Reader X の修正は次回の定例リリース (2011.06.14) においてなされる。

 関連:

2011.04.13 追記:

 関連:

2011.04.14 追記:

  APSA11-02: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat が改訂され、新版の公開日が示されました。

2011.04.15 追記:

 “Adobe Flash Player” に新たなゼロデイ脆弱性を確認。 今回はWordファイルに埋め込まれる (トレンドマイクロ セキュリティ blog, 2011.04.14)

2011.04.18 追記:

 Flash Player 10.2.159.1 出ました。修正されてます。

 Adobe AIR 2.6.19140 も出ています。利用者は更新してください。

 Google Chrome な人は Google Chrome 10.0.648.205 で対応されています。Flash Player のバージョンは 10.2.154.25 10.2.154.27 となります。

 Android 用の Flash Player の更新は 2011.04.25 の週に公開されます。

2011.04.19 追記:

 Google Chrome の修正済み Flash Player バージョン修正。山賀さん感謝。

2011.04.22 追記:

 Adobe Reader / Acrobat 修正出ました。APSB11-08: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.04.21)、APSB11-08: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2011.04.21)

 Adobe Reader X for Windows は Protected Mode によって守られているため、2011.06.14 の定期更新時に修正される予定。

2011.06.16 追記:

  APSB11-16: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.06.14)。Adobe Reader X 10.1 for Windows 出ました。


2011.04.11


2011.04.09


2011.04.08

WordPress 3.1.1
(WordPress.org, 2011.04.05)

 WordPress 3.1.1 登場。セキュリティ修正が含まれている模様です。 Some security hardening to media uploads だそうで。

フランスのセキュリティ調査会社がIEのゼロデイ脆弱性を報告  最新のIE 9+Windows 7 SP1でも危険、概念実証コードも作成
(ComputerWorld.jp, 2011.04.07)

 Vupen による報告だそうで。

 「この脆弱性は、IE 6、7、8、9に影響する。HTMLおよびJavaScriptコードの特定の組み合わせを処理する際における『mshtml.dll』 ライブラリのUse After Freeエラーに起因するものだ」と同氏。VupenはIEユーザーに対し、当面の対策として、JavaScriptを無効にするか、問題の脆弱性がない別のブラウザを使うことを勧めている。

EFF uncovers further evidence of SSL CA bad behavior
(Sophos, 2011.04.06)

 全て FQDN かと思ったら大間違いの模様。 おまけに、EV SSL にすら FQDN ではないものが!

追記

APSA11-01: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

いろいろ (2011.04.08)
(various)

マイクロソフト セキュリティ情報の事前通知 - 2011 年 4 月
(Microsoft, 2011.04.08)

 17 種類 (うげぇ)。

 関連: 2011 年 4 月 13 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2011.04.08)


2011.04.07


2011.04.06


2011.04.05


2011.04.04


2011.04.02

いろいろ (2011.04.02)
(various)


2011.04.01

いろいろ (2011.04.01)
(various)

Operational Advisory for BIND 9.6-ESV-R3 and Previous
(ISC, 2011.03.28)

 BIND 9.6-ESV-R3 以前を利用しており、かつ DNSSEC を検証するリゾルバを運用している場合に欠陥。2011.03.31 に .com の DNSSEC 情報が root ゾーンに挿入されるのだが、その際に、.com に関するクエリーが検証失敗としてエラーになる。 この欠陥は BIND 9.6.3 / 9.7.3 / 9.8.0 にはない。

 BIND 9.6.3 は BIND 9.6-ESV-R4 として再パッケージされている。


[セキュリティホール memo]
[私について]