-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-3101
                                                               JPCERT/CC
                                                              2004-08-11

                 <<< JPCERT/CC REPORT 2004-08-11 >>>

これは JPCERT/CC が 8/1(日) から 8/7(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] libpng に複数の脆弱性

    US-CERT Technical Cyber Security Alert TA04-217A
    Multiple Vulnerabilities in libpng
    http://www.us-cert.gov/cas/techalerts/TA04-217A.html

libpng バージョン 1.2.5 およびそれ以前には、バッファオーバーフローなど
複数の脆弱性があります。結果として、遠隔から第三者が PNG 形式の画像ファ
イルを経由して、libpng を使用したアプリケーションを実行しているユーザ
の権限を取得する可能性があります。

この問題は、使用している OS およびアプリケーションのベンダや配布元が提
供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしくは
それ以降) に更新することで解決します。各ベンダや配布元の対応状況につい
ては、以下の文書を参照してください。

  関連文書 (日本語)
    JPCERT/CC Alert 2004-08-05
    libpng に複数の脆弱性
    http://www.jpcert.or.jp/at/2004/at040010.txt

    JP Vendor Status Note JVNTA04-217A
    libpng に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-217A.html

    Red Hat セキュリティアドバイス RHSA-2004:402-08
    Updated libpng packages fix security issues
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-402J.html

    Miracle Linux アップデート情報 libpng セキュリティ 2004年8月5日
    libpngライブラリに含まれる複数の脆弱性の修正
    http://www.miraclelinux.com/support/update/data/libpng.html

    Vine Linux errata
    libpng にセキュリティホール
    http://vinelinux.org/errata/25x/20040807-1.html

    Apple Security Updates
    http://www.info.apple.com/kbnum/n61798-ja

  関連文書 (英語)
    CIAC Bulletin O-192
    "libpng" Package Vulnerabilities
    http://www.ciac.org/ciac/bulletins/o-192.shtml

    Debian Security Advisory DSA-536-1
    libpng -- several vulnerabilities
    http://www.debian.org/security/2004/dsa-536.en.html

    Gentoo Linux Security Advisory GLSA 200408-03
    libpng: Numerous vulnerabilities
    http://www.gentoo.org/security/en/glsa/glsa-200408-03.xml


[2] Mozilla に複数の脆弱性

    CIAC Bulletin O-195
    Mozilla Updated Security Packages
    http://www.ciac.org/ciac/bulletins/o-195.shtml

Mozilla には、バッファオーバーフローなどの複数の脆弱性があります。また
上記 [1] で紹介した libpng に含まれる脆弱性も存在します。結果として、
遠隔から第三者が Mozilla を実行しているユーザの権限を取得する可能性が
あります。対象となるのは以下のソフトウェアです。バージョンなどの詳細に
ついては、下記関連文書などを参照してください。

  - Mozilla
  - Firebird
  - Firefox
  - Thunderbird
  - Netscape

この問題は、使用している OS およびアプリケーションのベンダや配布元が提
供する修正済みのパッケージに更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2004:421-17
    Updated mozilla packages fix security issues
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-421J.html

    Miracle Linux アップデート情報 mozilla セキュリティ 2004年8月6日
    複数のセキュリティ対策およびバージョンアップ
    http://www.miraclelinux.com/support/update/data/mozilla.html


[3] CERT/CC 統計情報公開

    CERT/CC Statistics 1988-2004
    http://www.cert.org/stats/cert_stats.html

米国 CERT/CC の統計情報に、2004年の第1および第2四半期のデータが追加さ
れました。


[4] Internet Week 2004 開催のお知らせ

    Internet Week 2004 ～ネットワーク技術者集結!～
    http://internetweek.jp/

来たる 11/30(火) から 12/3(金) にわたって、パシフィコ横浜会議センター
において Internet Week 2004 が開催されます。プログラムの詳細は 9/13(月) 
に公開する予定です。また参加受付の開始は 10/4(月) を予定しています。お
問い合わせは iw2004-info@nic.ad.jp までお願い致します。

今回 JPCERT/CC は、特定非営利活動法人日本ネットワークセキュリティ協会 
(JNSA) とインシデント情報共有・分析センター (Telecom-ISAC Japan) と共
催でカンファレンス「Security Day」を 12/1(水) に行なう予定です。



[今週の一口メモ]

* Web phishing (Web 偽装詐欺)

Web phishing の被害が急増しています。これは銀行などのサイトであると詐
称して、Web のフォームなどから入力された口座番号やキャッシュカードの暗
証番号といった個人情報を盗み取るものです。既に国内での被害も報告されて
おり、注意が必要です。

Web phishing の被害を受けないためには、ある特定の Web サイトにアクセス
するように促してきたメールが本当に送信元とされる組織から送られてきたも
のなのかを、送信元とされる組織に直接確認することが必要です。その場合、
連絡先の情報として、送られてきた電子メールや Web サイトに掲載された情
報を用いてはいけません。契約時に取り交わした書類など、確実に対象となる
組織から送付されたものであることが確認できる資料に掲載された情報を用い
てください。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST04-014
    Avoiding Social Engineering and Phishing Attacks
    http://www.us-cert.gov/cas/tips/ST04-014.html

  参考文献 (日本語)
    JPCERT/CC REPORT 2004-07-22号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr042801.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQRl3Lox1ay4slNTtAQH/ZgP9FHKdfx3wjrVaGGCl12rbo9ccStqDYXRC
h98WyEbwjPj/Q1LULYqKEME/Ty/B6JxCDtpzmC1YLK5Fve23hgWoR4YF05tBatwl
A62r5swfZPQsoq5EvtZzM3PuT0pHokXhbNUp12/g5otMkc1oW+BfIR4STOsTMm0r
p7RV5HWTYfg=
=vQ/L
-----END PGP SIGNATURE-----