■ ２009 年 4 月のセキュリティ情報 (Microsoft, 4/15)

でてました。
緊急:

• MS09-009 Microsoft Office Excel の脆弱性により、リモートでコードが実行される (968557)
  これによりセキュリティ アドバイザリ (968272) の件が直りました。
• MS09-010 ワードパッドおよび Office テキスト コンバーターの脆弱性により、リモートでコードが実行される (960477)
  これによりマイクロソフト セキュリティ アドバイザリ (960906) の件が直りました。
• MS09-011 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (961373)
• MS09-013 Windows HTTP サービスの脆弱性により、リモートでコードが実行される (960803)
• MS09-014 Internet Explorer 用の累積的なセキュリティ更新プログラム (963027)

重要:

• MS09-012 Windows の脆弱性により、特権が昇格される (959454)
• MS09-015 SearchPath の複合的脅威の脆弱性により、特権が昇格される (959426)
• MS09-016 Microsoft ISA Server および Forefront Threat Management Gateway (Medium Business Edition) の脆弱性により、サービス拒否が起こる (961759)

関連：

• 2009年4月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 (JPCERT/CC)
• JVNTA09-104A 緊急 Microsoft 製品における複数の脆弱性に対するアップデート (JVN, 4/16)
• 2009年4月のセキュリティ情報 (日本のセキュリティーチーム, 4/15)

■ JVNTA09-105A 緊急 Oracle 製品における複数の脆弱性に対するアップデート (JVN, 4/16)

Oracle Critical Patch Update Advisory - April 2009がでてます。

■ JVN#82744714 LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性 (JVN, 4/16)

ウェブページのアクセスログ解析を行うためのソフトウェアapricot.phpに、XSSの脆弱性。
パッチ提供されないので、使用を止めるしかないらしい。

■ JVNVU#196617 Xpdf および poppler の JBIG2 データの処理における複数の脆弱性 (JVN ,4/17)

Xpdf 3.02pl2 およびそれ以前、poppler 0.10.5 およびそれ以前 に、JBIG2 データの処理において複数の脆弱性が存在する模様。Xpdf は 3.02pl3 に、poppler は 0.10.6 にそれぞれアップデートすればよいようです。

■ ■ ［Security-announce］ VMSA-2009-0006 VMware Hosted products and patches for ESX and ESXi resolve a critical security vulnerability (VMware, 2009.04.10) (セキュリティホールmemo, 4/12)

　VMware Workstation 6.5.1 以前 / Player 2.5.1 以前 / ACE 2.5.1 以前 / Server 2.0 以前 / Server 1.0.8 以前 / Fusion 2.0.3 以前、ESXi 3.5 / ESX 3.5 / ESX 3.0.[23] に欠陥。ゲスト OS から、ホスト OS 上で任意のコードを実行できる。 CVE-2009-1244 ESX 2.5.5 にはこの欠陥はない。

　VMware Workstation 6.5.2 build 156735 などの修正版、もしくは修正 patch が提供されている。アップデートあるいは適用すればよい。