-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-3801
                                                               JPCERT/CC
                                                              2002-10-02

                  <<< JPCERT/CC REPORT 2002-10-02 >>>

これは JPCERT/CC が 9/23(月) から 9/27(金) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin M-129
    Microsoft FrontPage SmartHTML Interpreter Vulnerability
    http://www.ciac.org/ciac/bulletins/m-129.shtml

Microsoft FrontPage Server Extensions (FPSE) 2000 および 2002 の Smart
HTML インタプリタ (shtml.dll) には、特定の要求に対する処理に脆弱性があ
ります。結果として、FPSE 2000 ではサービス運用妨害 (DoS) 攻撃を受ける
可能性があります。また FPSE 2002 では、遠隔から第三者が、バッファオー
バーフローを発生させることで、プログラムの実行ユーザ権限を取得する可能
性があります。この問題は、Microsoft が提供する修正プログラムを適用する
ことで解決します。

なお、FPSE は IIS 4.0、5.0 および 5.1 では標準でインストールされます。
また、Microsoft SharePoint Team Services 2002 上で稼働するいくつかのア
プリケーションにも同様の問題が存在します。詳細は以下の関連文書を参照し
てください。

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (MS02-053)
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-053.asp


[2] CIAC Bulletin M-128
    Apple QuickTime ActiveX Buffer Overrun
    http://www.ciac.org/ciac/bulletins/m-128.shtml

Windows 版 QuickTime バージョン 5.0.2 の ActiveX コントロールには、バッ
ファオーバーフローの脆弱性があります。結果として、遠隔から第三者が Web
ページや HTML メールを介してユーザの権限を取得する可能性があります。な
お、MacOS X および MacOS 9 版の QuickTime には、この脆弱性は存在しない
ことが報告されています。

この問題は、ActiveX コントロールを更新する、もしくは QuickTime をバー
ジョン 6 に更新することで解決します。

  関連文書 (日本語)
    アップル - QuickTime - ダウンロード
    http://www.apple.co.jp/quicktime/download/


[3] CIAC Bulletin M-127
    Microsoft Office Documents Expose ODBC Passwords
    http://www.ciac.org/ciac/bulletins/m-127.shtml

Open Database Connectivity (ODBC) を使って外部データベースからデータを
取り込むように設定されている Microsoft Word および Excel には、そのデー
タベースへのアクセスに用いるユーザ名とパスワードを平文で文書内に保存し
てしまう脆弱性があります。結果として、Word や Excel の文書を手に入れた
第三者がユーザ名とパスワードを取得してデータベースにアクセスする可能性
があります。

対象となるのは、Windows 版および Macintosh 版の Microsoft Word と
Excel です。この問題は、パスワードを保存する機能を無効にするなどの方法
で解決します。詳細は上記文書を参照してください。

  関連文書 (英語)
    Microsoft Product Support Services
    XL2000: How to Avoid Saving Password in Text File When You Get External Data
    http://support.microsoft.com/support/kb/articles/Q253/3/00.asp

    ACC2000: How to Use a Secured Database in Word Mail Merge
    http://support.microsoft.com/support/kb/articles/Q208/9/33.asp

 ※ 上記「関連文書」の日本語版は、現在 Microsoft において準備中です。
    完成後、それぞれ以下の URL で掲載される予定です。なお、この URL は
    2002年10月1日現在、無効となっています。

    http://support.microsoft.com/default.aspx?scid=kb;ja;JP253300
    http://support.microsoft.com/default.aspx?scid=kb;ja;JP208933


[4] マイクロソフト セキュリティ情報
    証明書確認の問題により、ID が偽装される (Q328145) (MS02-050)
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-050.asp

JPCERT/CC REPORT 2002-09-11号で紹介した、Microsoft Internet Explorer
および Microsoft Office の脆弱性に対して、以下の製品の日本語版修正プロ
グラムが公開されました。

  - Microsoft Internet Explorer for Mac (OS 8.1 から 9.x 用)
  - Microsoft Internet Explorer for Mac (OS X 用)

これにより、2002年10月1日時点で修正プログラムが開発中であるのは、以下
の製品となります。詳細については Microsoft の提供する上記文書を参照し
てください。

  - Microsoft Windows XP 64 bit Edition
  - Microsoft Office v.X for Mac
  - Microsoft Office 2001 for Mac
  - Microsoft Office 98 for Macintosh Edition
  - Microsoft Outlook Express for Mac

  関連文書 (日本語)
    JPCERT/CC REPORT 2002-09-11号
    http://www.jpcert.or.jp/wr/2002/wr023501.txt


[5] DNS resolver の脆弱性に関する追加情報

JPCERT/CC REPORT 2002-07-03号でも紹介した、DNS resolver の脆弱性に関す
る追加情報です。

    HP社セキュリティ報告: HPSBUX0209-218
    HP周辺装置のDNSにおけるセキュリティ脆弱性
    http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0209-218.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2002-07-03号
    http://www.jpcert.or.jp/wr/2002/wr022501.txt

  関連文書 (英語)
    CERT Advisory CA-2002-19
    Buffer Overflow in Multiple DNS Resolver Libraries
    http://www.cert.org/advisories/CA-2002-19.html


[6] CIAC Technical Bulletin CIACTech02-005
    Understanding Capturing Files with Microsoft Word Field Codes
    http://www.ciac.org/ciac/techbull/CIACTech02-005.shtml

ローカルシステム上の文書や画像ファイルを挿入する Microsoft Word の機能
を使って、第三者が他人のシステム上のファイルの複製を取得する可能性が指
摘されています。

この文書は、攻撃の手法や検知方法、またこの問題を使われる可能性が高くは
ない理由を説明しています。

  関連文書 (日本語)
    Microsoft TechNet - セキュリティ - トピック
    報告された Microsoft Word フィールドの脆弱性に関する情報
    http://www.microsoft.com/japan/technet/security/topics/secword.asp


[7] Internet Week 2002
    http://internetweek.jp/

12/16(月) から 12/20(金) にわたって、パシフィコ横浜会議センターで開催
される Internet Week 2002 の参加申込の受付が始まりました。なお、申込方
法や締切などについては、上記 Internet Week 2002 の Web サイトを参照し
てください。お問い合わせは iw2002@nic.ad.jp までお願いします。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用ください。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPox1ay4slNTtAQEC+wP/XSJTTO3vk0ib9Zy/FbuF5W3nOrLUoXhL
t6Y7llV1oUhXP1qF0bLyTh23s8tDGIP67hdEjEG6BTS0bZxd3UNkR22oYkHEKXX3
ZCVIQ+7IWUMXSstCN4Qi7QaJNaAjgPGu+oquNpWQRC/W4zY/jRre1b8gqIKPvB89
z3PXiHLX6+I=
=yGU0
-----END PGP SIGNATURE-----