US-CERT Technical Cyber Security Alert TA06-270A
Microsoft Internet Explorer WebViewFolderIcon ActiveX Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-270A.html

US-CERT Cyber Security Alert SA06-270A
Microsoft Internet Explorer ActiveX Vulnerability
http://www.us-cert.gov/cas/alerts/SA06-270A.html

US-CERT Vulnerability Note VU#753044
Microsoft Windows WebViewFolderIcon ActiveX integer overflow
http://www.kb.cert.org/vuls/id/753044

概要

Microsoft Windows の ActiveX コントロール WebViewFolderIcon には
整数の扱いに関するバッファオーバーフローの脆弱性があります。結果
として、遠隔の第三者によって巧妙に細工された Web ページや HTML 
形式のメールなどを閲覧することによりユーザの権限で任意のコードを
実行される可能性があります。

対象となるシステムは以下の通りです。

- Microsoft Windows 

詳細についてはベンダが提供する情報を参照してください。 

2006年10月3日現在、セキュリティ更新プログラムは提供されていませ
ん。回避策として、kill bit を設定して ActiveX コントロールを無効
にする、スクリプトを無効にする、テキスト形式でメールを閲覧する、
信頼できないリンク先は参照しないなどの方法があります。

【2】Microsoft PowerPoint に脆弱性

情報源

US-CERT Vulnerability Note VU#231204
Microsoft PowerPoint contains an unspecified remote code execution vulnerability
http://www.kb.cert.org/vuls/id/231204

概要

Microsoft PowerPoint には未修正の脆弱性があります。結果として、
任意のコードが実行されるなどの影響を受ける可能性があります。本脆
弱性を使用したウイルスが既に存在しているとの情報があります。

影響を受けるバージョンは以下の通りです。

- PowerPoint 2000
- PowerPoint 2002
- PowerPoint 2003
- PowerPoint 2004 for Mac
- PowerPoint v. X for Mac

詳細についてはベンダが提供する情報を参照してください。

2006年10月3日現在、セキュリティ更新プログラムは提供されていませ
ん。回避策としては、PowerPoint Viewer 2003 を使用してファイルを
表示する、信頼できない PowerPoint ファイルを開かないなどの方法が
あります。

【3】Microsoft Windows VML 処理の脆弱性に関する追加情報

情報源

JPCERT/CC Alert 2006-09-20
Microsoft Windows VML の処理に未修正の脆弱性
http://www.jpcert.or.jp/at/2006/at060015.txt

概要

JPCERT/CC REPORT 2006-09-27号【1】で紹介した、Microsoft Windows
の VML 処理の脆弱性に関する追加情報です。

2006年9月20日に公開しました注意喚起「Microsoft Windows VML の処
理に未修正の脆弱性」を更新しました。2006年9月27日にマイクロソフ
トより公開された、本脆弱性に関するセキュリティ更新プログラムの情
報を追記しました。

【4】OpenSSL に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#386964
OpenSSL SSLv2 client code fails to properly check for NULL
http://www.kb.cert.org/vuls/id/386964

US-CERT Vulnerability Note VU#547300
OpenSSL SSL_get_shared_ciphers() vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/547300

US-CERT Vulnerability Note VU#247744
OpenSSL may fail to properly parse invalid ASN.1 structures
http://www.kb.cert.org/vuls/id/247744

概要

OpenSSL には複数の脆弱性があります。結果として、遠隔の第三者によ
り任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受け
たりする可能性があります。

対象となるシステムは以下の通りです。

- OpenSSL を使用するソフトウェア

この問題は、使用している OS のベンダや配布元が提供するパッチを適
用するか修正済みのパッケージに OpenSSL を更新することで解決しま
す。詳細については配布元またはベンダが提供する情報を参照してくだ
さい。

【5】Movable Type の検索機能にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#68295640
Movable Type の検索機能におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2368295640/index.html

概要

シックス・アパート株式会社が提供しているウェブログシステム Movable
Type には、検索機能にクロスサイトスクリプティングの脆弱性がありま
す。結果として、ユーザのブラウザ上で任意のスクリプトを実行される
可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 3.3、3.31、3.32
- Movable Type Enterprise 1.01、1.02

この問題は、配布元が提供する修正済みの最新のバージョンに Movable
Type または Movable Type Enterprise を更新することで解決します。
詳細についてはベンダが提供する情報を参照してください。

【6】SugarCRM にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#30144870
SugarCRM におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2330144870/index.html

概要

オープンソースの CRM (Customer Relationship Management) ソフトウ
ェアである SugarCRM には、クロスサイトスクリプティングの脆弱性が
あります。結果として、ユーザのブラウザ上で任意のスクリプトを実行
される可能性があります。

対象となるバージョンは以下の通りです。

- SugarCRM 4.2.1b およびそれ以前
- SugarCRM 4.0.1g およびそれ以前
- SugarCRM 3.5.1h およびそれ以前

この問題は、配布元が提供するパッチを適用するか、SugarCRM を バー
ジョン 4.5.0 (またはそれ以降) に更新することで解決します。

【7】Joomla! にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#79484135
Joomla! におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2379484135/index.html

概要

オープンソースのコンテンツ管理システムである Joomla! には、クロ
スサイトスクリプティングの脆弱性があります。結果として、ユーザの
ブラウザ上で任意のスクリプトを実行されるなど、様々な影響を受ける
可能性があります。

対象となるバージョンは以下の通りです。

- Joomla! 1.0.8 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに Joomla! を更
新することで解決します。

なお、2006年10月3日現在、Joomla! の最新バージョンとして 1.0.11 
が公開されており、本バージョンにはその他の脆弱性に関する修正も含
まれていますので、Joomla! バージョン 1.0.11 (またはそれ以降) へ
の更新をお勧めします。

【8】Drupal にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#82240092
Drupal におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2382240092/index.html

概要

オープンソースのコンテンツ管理システムである Drupal には、クロス
サイトスクリプティングの脆弱性があります。結果として、ユーザのブ
ラウザ上で任意のスクリプトを実行されるなど、様々な影響を受ける可
能性があります。

対象となるバージョンは以下の通りです。

- Drupal 4.7.2 およびそれ以前 
- Drupal 4.6.8 およびそれ以前

この問題は、配布元が提供する修正済みの最新バージョンに Drupal を
更新することで解決します。

【9】JPCERT/CC 10周年に際してのご挨拶

情報源

JPCERT/CC
10周年を迎えて
http://www.jpcert.or.jp/10th-anniversary.html

概要

おかげさまで JPCERT/CC は 10月1日をもちまして創立 10周年の佳節を
迎えました。つきましては、ご挨拶を上記 URL に掲載いたしました。
ご一読くだされば幸いに存じます。

創立以来多事多難を克服して発展することができましたのは、ひとえに
皆様方の温かいご支援とご指導の賜と、心より厚く感謝申し上げます。
改めて皆様あっての JPCERT/CC であると感じております。重ね重ねお
礼申し上げます。

■今週のひとくちメモ

○CSIRT の役割について

一般的に CSIRT (Computer Security Incident Responce Team) に求め
られる役割には、以下のようなものがあります。

- インシデントの報告を受け取り、調査をし、対応する
- コンピュータセキュリティインシデントに関する技術的・社会的な情
  報を収集・伝達して、インシデントの発生を未然に防ぐ
- ソフトウェアの脆弱性に関する情報を収集・伝達して、インシデント
  の発生を未然に防ぐ
- カンファレンスやワークショップへの参加・聴講によって得られた知
  識・技術を伝達して、constituency の啓発を行う

ただし、実際には constituency (サービス対象) によって CSIRT に求
められる役割は異なります。

参考文献 (日本語)

JPNIC・JPCERT/CC Security Seminar 2005 講演資料
インシデントレスポンス概論 3. CSIRT
http://www.jpcert.or.jp/present/2005/IncidentResponseOverview2005.pdf

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2006-10-04号

<<< JPCERT/CC WEEKLY REPORT 2006-10-04 >>>

■09/24(日)〜09/30(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

○CSIRT の役割について

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次