以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━▽McKesson Horizon Clinical Infrastructure─────────────McKesson Horizon Clinical Infrastructure(HCI)は、HCIスクリプトおよびバイナリのハードコードパスワードの使用によって機密情報を奪取されるセキュリティホールが存在する。この問題は、ローカルの攻撃者にさらなる攻撃に悪用される可能性がある。2009/10/20 登録危険度:低影響を受けるバージョン:10.1、10.0、7.8、7.6影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽GD Graphics Library───────────────────────GD Graphics Libraryは、細工されたGDファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。なお、同様の脆弱性がPHPにも存在する。 [更新]2009/10/19 登録危険度:高影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ZoIPer──────────────────────────────ZoIPerは、細工されたSIP INVITEメッセージを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]2009/10/16 登録危険度:低影響を受けるバージョン:2.22 Free影響を受ける環境:UNIX、Linux、Windows回避策:2.24以降へのバージョンアップ▽Adobe Acrobat Reader / Acrobat──────────────────Adobe Acrobat ReaderおよびAcrobatは、細工されたPDFファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]2009/10/09 登録危険度:高影響を受けるバージョン:7.1.1以前、8.1.4以前、9.13以前影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽3Com OfficeConnect ADSL Wireless 11g Firewall Router───────3Com OfficeConnect ADSL Wireless 11g Firewall Routerは、utility.cgiスクリプトのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイス上で任意のコマンドを実行される可能性がある。2009/10/20 登録危険度:高影響を受けるバージョン:3.0影響を受ける環境:OfficeConnect ADSL Wireless 11g Firewall Router回避策:公表されていません▽Intel Desktop Board───────────────────────Intel Desktop Boardは、特定されていないBIOSのエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にBIOSを以前のバージョンに戻される可能性がある。2009/10/20 登録危険度:高影響を受けるバージョン:D5400XSほか影響を受ける環境:Intel Desktop Boards回避策:公表されていません▽UiTV UiPlayer ActiveX control──────────────────UiTV UiPlayer (UiCheck.dll) ActiveX controlは、過度に長いファイル名を渡す細工されたWebページを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。なお、同様の脆弱性がBaiduVなど他のアプリケーションにも存在する。2009/10/20 登録危険度:高影響を受けるバージョン:1.0.0.6影響を受ける環境:Windows回避策:UiPlayer 1.0.0.7以降へのバージョンアップ▽IBM Rational RequisitePro────────────────────IBM Rational RequisiteProは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2009/10/20 登録危険度:中影響を受けるバージョン:7.10影響を受ける環境:Windows回避策:ベンダの回避策を参照▽Snitz Forums 2000────────────────────────Snitz Forums 2000は、pop_send_to_friend.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]2009/10/19 登録危険度:中影響を受けるバージョン:3.4.07影響を受ける環境:Windows回避策:公表されていません<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽Pidgin──────────────────────────────Pidginは、oscar protocol pluginのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に細工されたICQメッセージによってアプリケーションをクラッシュされる可能性がある。 [更新]2009/10/19 登録危険度:低影響を受けるバージョン:2.4.0〜2.6.2影響を受ける環境:UNIX、Linux回避策:2.6.3以降へのバージョンアップ<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽Linux Kernel───────────────────────────Linux Kernelは、unix_stream_connect () 機能のdeadlockエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に利用可能なCPUリソースを消費される可能性がある。2009/10/20 登録危険度:低影響を受けるバージョン:2.6.31影響を受ける環境:Linux回避策:公表されていません▽aria2──────────────────────────────aria2は、src/AbstractCommand.ccのAbstractCommand::onAbort() 機能のフォーマットストリングエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。2009/10/20 登録危険度:高影響を受けるバージョン:1.6.0、1.6.1影響を受ける環境:Linux回避策:1.6.2以降へのバージョンアップ<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽Becky! Internet Mail───────────────────────Becky! Internet Mail 2.52.00がリリースされた。http://www.rimarts.co.jp/becky-j.htm <セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━▽トピックス@police、マイクロソフト社のセキュリティ修正プログラムについて(MS09-050,051,052,053,054,055,056,057,058,059,060,061,062)(10/14)http://www.cyberpolice.go.jp/important/2009/20091019_110409.html ▽トピックス@police、アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて(10/14)http://www.cyberpolice.go.jp/important/2009/20091019_105816.html ▽トピックスJVN、Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性 (TA09-209A)http://jvn.jp/tr/JVNTR-2009-19/index.html ▽トピックスJVN、Microsoft 製品における複数の脆弱性に対するアップデート(TA09-286A)http://jvn.jp/tr/JVNTR-2009-23/index.html ▽トピックスJVN、Adobe Reader および Acrobat における複数の脆弱性に対するアップデート (TA09-286B)http://jvn.jp/tr/JVNTR-2009-24/index.html ▽トピックスIAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新http://www.iajapan.org/anti_spam/portal/ ▽トピックス迷惑メール相談センター、違反メールの情報提供 更新http://www.dekyo.or.jp/soudan/ihan/index.html ▽トピックストレンドマイクロ、パターンファイルを使わずに、未知の不正プログラムも検知する「Trend Micro Threat Management Solution(TM)」の新バージョンを発表http://jp.trendmicro.com/jp/about/news/pr/article/20091020034936.html ▽トピックスマカフィー、エプソンダイレクトの「Endeavor シリーズ」新製品に「マカフィー PC セキュリティセンター90 日期間限定版」を標準搭載、提供開始http://www.mcafee.com/japan/about/prelease/pr_09b.asp?pr=09/10/19-1 ▽トピックスマカフィー、コンシューマ向け2010 年製品をリリースhttp://www.mcafee.com/japan/about/prelease/pr_09b.asp?pr=09/10/17-1 ▽トピックスDr.WEB、メディアウォーズ社の共用サーバサービス『ECOプラン』に採用http://drweb.jp/news/20091020.html ▽トピックスエフセキュアブログ、「Truth」を直視せよ:IMスパムhttp://blog.f-secure.jp/archives/50293431.html ▽トピックスエフセキュアブログ、Firefoxがセキュリティ強化のためMSアドオンをブロックhttp://blog.f-secure.jp/archives/50293429.html ▽トピックスNTTドコモ、特定サービス契約状態通知設定の初期設定の変更についてhttp://www.nttdocomo.co.jp/info/notice/page/091020_00_m.html ▽トピックスNTTコミュニケーションズ、モバイルシンクライアントサービスの月額料金値下げおよび対応端末の拡充についてhttp://www.ntt.com/serviceinfo/monthinfo/detail/20091019.html ▽トピックスKDDI、「フルサポートコース」の改定についてhttp://www.kddi.com/corporate/news_release/2009/1019a/index.html ▽トピックスマイクロソフト、Windows(R) 7のアクセシビリティ機能および対応製品を拡充http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3768 ▽トピックスマイクロソフト TechNet、セキュリティ更新プログラム KB974571 に関する重要なお知らせhttp://support.microsoft.com/kb/974571 ▽トピックスマイクロソフト:ブログ、SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法http://blogs.technet.com/jpsecurity/archive/2009/10/19/3287612.aspx ▽トピックスNEC、NECのアプライアンスサーバがトレンドマイクロのSaaS型セキュリティサービスに対応http://www.nec.co.jp/press/ja/0910/1901.html ▽トピックス住商情報システム、日立電線ネットワークスと検疫ネットワークソリューション提供で協業http://www.scs.co.jp/news/pdf/20091020_1.pdf ▽トピックス富士通研究所、ハードディスクドライブ抜き取りによる情報漏えいを防止する技術を開発http://pr.fujitsu.com/jp/news/2009/10/19.html ▽トピックス日立と仏社、指紋認証と指静脈認証を組み合わせたマルチモーダル生体認証装置を開発http://www.hitachi.co.jp/New/cnews/month/2009/10/1019a.html ▽トピックス日立ソフト、特権ID管理ソフト「SR-AdminSupport」内部統制監査支援機能強化版を販売http://hitachisoft.jp/press/archive2009/news091019.html ▽トピックスメディアウォーズ、共有サーバーサービスにてウイルス駆除、迷惑メール判定サービスを無償提供開始http://www.mediawars.ne.jp/news/index.html#091020 ▽サポート情報トレンドマイクロ、ウイルスパターンファイル:6.557.80 (10/20)http://jp.trendmicro.com/jp/support/download/pattern/full/ ▽サポート情報トレンドマイクロ、マルウェアDCT:1062 (10/19)http://jp.trendmicro.com/jp/support/download/pattern/index.html ▽サポート情報アンラボ、V3 / SpyZero アップデート情報http://www.ahnlab.co.jp/news/view.asp?seq=4419 ▽ウイルス情報トレンドマイクロ、VBS_PSYME.DMBhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS%5FPSYME%2EDMB ▽ウイルス情報トレンドマイクロ、VBS_PSYME.DLVhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS%5FPSYME%2EDLV ▽ウイルス情報トレンドマイクロ、BKDR_RUNRUB.Ahttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FRUNRUB%2EA ▽ウイルス情報シマンテック、Bloodhound.Exploit.284http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-101920-5138-99 ▽ウイルス情報シマンテック、Bloodhound.Exploit.278http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-101906-3351-99 ▽ウイルス情報シマンテック、Bloodhound.Exploit.279http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-101902-5211-99 ▽ウイルス情報シマンテック、Bloodhound.Exploit.276http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-101902-4941-99 ▽ウイルス情報マカフィー、IRC-Ibot.gen.ahttp://www.mcafee.com/japan/security/virI.asp?v=IRC-Ibot.gen.a
