■ 2009 年 8 月のセキュリティ情報 (Microsoft, 8/12)

昨日出ました。緊急5件、重要4件。しかし、世間はお盆休み直前（あるいはお休みまっただ中）。
緊急5件：

• MS09-037 Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
• MS09-038 Windows Media ファイル処理における脆弱性により、リモートでコードが実行される (971557)
• MS09-039 WINS の脆弱性により、リモートでコードが実行される (969883)
• MS09-043 Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
• MS09-044 リモート デスクトップ接続の脆弱性により、リモートでコードが実行される (970927)

重要4件：

• MS09-036 Microsoft Windows の ASP.NET の脆弱性により、サービス拒否が起こる (970957)
• MS09-040 メッセージ キューの脆弱性により、特権が昇格される (971032)
• MS09-041 ワークステーション サービスの脆弱性により、特権が昇格される (971657)
• MS09-042 Telnet の脆弱性により、リモートでコードが実行される (960859)

関連：

• JVNTA09-223A 緊急 Microsoft 製品における複数の脆弱性に対するアップデート (JVN, 8/12)
• 2009年8月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 (JPCERT/CC, 8/12)
• Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について (IPA, 8/12)
• Microsoft ATL の脆弱性(MS09-037)について (IPA, 8/12)
• Microsoft Office Web コンポーネント の脆弱性(MS09-043)について (IPA, 8/12)
• 2009年8月12日のセキュリティ情報 (日本のセキュリティチーム, 8/12)
• 8月のMSパッチ、企業ユーザーは緊急3件の適用に留意を (ITmedia, 8/12)

■ Javaの更新版リリース、多数の脆弱性とバグを解決 (ITmedia, 8/5)

JDK／JRE 1.6.0_15（6 Update 15）がでた。多数の脆弱性修正、バグ修正ありのもよう。

■ JVNVU#817433 複数の XML ライブラリの実装に脆弱性 (JVN, 8/6)

CERT-FI のアドバイザリによると、以下の実装が影響を受けることが確認されています：

* Python libexpat
* Apache Xerces すべてのバージョン
* Sun JDK および JRE 6 Update 14 およびそれ以前
* Sun JDK および JRE 5.0 Update 19 およびそれ以前

その他の実装も影響を受ける可能性があります。

各ベンダの情報を確認し、アップデートしましょう。

■ JVNTA09-218A 緊急 Apple 製品における複数の脆弱性に対するアップデート (JVN, 8/7)

「Mac OS X 10.5.8」「セキュリティアップデート2009-003」でた。
関連：

• Mac OS Xの更新版が公開　18項目の脆弱性を解決 (ITmedia, 8/6)

■ Mac OS Xのセキュリティアップデートが公開、BINDの脆弱性に対処 (ITmedia, 8/13)

8月12日付けで「Security Update 2009-004」も出た。BINDに起因する1件の脆弱性を修正。

■ Apple、Safariブラウザの更新版を公開 (ITmedia, 8/12)

Safari 4.0.3 登場。6件の脆弱性直した。
Apple：Safari 4.0.3 のセキュリティコンテンツについて (Apple, 8/11)

■ WordPressに未解決の脆弱性、パッチは開発中 (ITmedia, 8/12)

リモートのユーザーが管理用パスワードをリセットすることができるらしい。

■ JVN#89791790 FreeNAS におけるクロスサイトスクリプティングの脆弱性 、および、JVN#15267895 FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 8/5)

最新版へアップデートすればよい。
関連：

• 「FreeNAS」におけるセキュリティ上の弱点（脆弱性）の注意喚起 (IPA, 8/5)

■ ■ Subversion clients and servers up to 1.6.3 (inclusive) have heap overflow issues in the parsing of binary deltas (subversion.tigris.org, 2009.08.07) (セキュリティホールmemo, 8/11)

　Subversion 1.5.6 以前、および 1.6.0〜1.6.3 に欠陥。APR / APR-util の欠陥 CVE-2009-2412 に関連した欠陥があり、remote の認証済みユーザによって任意のコードを実行できる。 CVE-2009-2411

　Subversion 1.5.7 / 1.6.4 で修正されている。また、Subversion 1.5.x / 1.6.x 用の patch が添付されている。

■ ■ Apache Portable Runtime 1.3.8 and APR-Utility 1.3.9 Released (apache.org, 2009.08.06) (セキュリティホールmemo, 8/11)

APR 1.3.8 / APR-util 1.3.9 で修正されている。