-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-4701
                                                               JPCERT/CC
                                                              2005-11-30

                 <<< JPCERT/CC REPORT 2005-11-30 >>>

これは JPCERT/CC が 11/20(日) から 11/26(土) の間に得たセキュリティ関
連情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Internet Explorer の JavaScript の脆弱性

    US-CERT Vulnerability Note VU#887861
    Microsoft Internet Explorer vulnerable to code execution via scripting "window()" object
    http://www.kb.cert.org/vuls/id/887861

    CIAC Bulletin Q-059
    Vulnerability in the way Internet Explorer Handles Mismatched Document Object Model Objects
    http://www.ciac.org/ciac/bulletins/q-059.shtml

Microsoft Internet Explorer (以降、MSIE) には、JavaScript の処理に脆弱
性があります。結果として、遠隔から第三者が Web ページや HTML 形式の電
子メールを経由して、MSIE を実行しているユーザの権限を取得する可能性が
あります。対象となるのは以下のバージョンです。

  - Microsoft Internet Explorer 5.01、5.5 および 6

  ※ HTML 表示機能として、内部で Internet Explorer を使用している　　
     ソフトウェアも本脆弱性の影響を受ける可能性があります。

2005年11月29日 (日本時間) 現在、Microsoft より対策済みソフトウェアは公
開されていません。対策済みソフトウェアがリリースされるまでの間の一時的
な対策として JavaScript を無効にする (アクティブスクリプトを無効にする) 
などの方法があります。

設定方法の詳細については、以下の関連文書をご参照ください。

  関連文書 (日本語)
    JPCERT/CC Alert 2005-11-22
    Internet Explorer の JavaScript の脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050010.txt

    JP Vendor Status Notes JVNVU#887861
    Microsoft Internet Explorer の "Window()" オブジェクトの処理に任意のコード実行の脆弱性
    http://jvn.jp/cert/JVNVU%23887861/

    マイクロソフト セキュリティ アドバイザリ (911302)
    Internet Explorer の不適切な Document Object Model オブジェクトの処理方法による脆弱性のため、リモートでコードが実行される
    http://www.microsoft.com/japan/technet/security/advisory/911302.mspx


[2] Sober ワームの変種について

    US-CERT Current Activity
    W32/Sober Revisited
    http://www.us-cert.gov/current/archive/2005/11/22/archive.html#sobergen

    AusCERT AA-2005.0029
    Increased activity of Sober email worm variant including faked FBI and CIA emails
    http://www.auscert.org.au/render.html?it=5779

Sober ワームの変種が出現し、それによって大量のメールが送信され、結果と
してメールサーバのサービス運用妨害 (DoS) を引き起こす、また、ウイルス
検知サービスが発するエラーメールが大量に送信されるなどの事例が報告され
ています。

このワームは、電子メールの添付ファイルを媒介として Windows システムに
感染し、ワームそれ自身の複製をメールに添付して拡散します。レジストリや
システム自体の改ざんを行なうため、ワームに感染した Windows システムを
再起動しても復旧できない可能性があります。したがって Windows システム
が感染してしまった場合は、ハードディスクをフォーマットした上で OS を再
インストールすることを強くお勧めします。

ワームの検知と対策方法については上記または下記関連文書をご参照ください。

  関連文書 (日本語)
    JPCERT/CC Alert 2005-11-25
    Sober ワームの変種に関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050011.txt

    情報処理推進機構 セキュリティセンター
    W32/Soberウイルスの亜種に関する情報
    http://www.ipa.go.jp/security/topics/newvirus/sober.html


[3] netpbm の複数のバッファオーバーフローの脆弱性

    CIAC Bulletin Q-058
    netpbm-free -- buffer overflows
    http://www.ciac.org/ciac/bulletins/q-058.shtml

netpbm の pnmtopng には複数のバッファオーバーフローの脆弱性があります。
結果として、遠隔から第三者が PNM 形式のファイルを経由して pnmtopng を
実行しているユーザの権限を取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに netpbm を更新することで解決します。

  関連文書 (英語)
    Debian Security Advisory DSA-904-1
    netpbm-free -- buffer overflows
    http://www.us.debian.org/security/2005/dsa-904.en.html


[4] JPCERT/CC レポート読者アンケート集計結果公開

    http://www.jpcert.or.jp/pr/2005/pr050006.pdf

2005年9月7日(水) から 2005年9月22日(木) まで行なった「JPCERT/CC レポー
ト」の利用状況や内容について、読者の皆様からのご意見、ご要望をうかがう
ためのアンケートの集計結果を公開しました。

予想を上回る多くの方からご回答をいただき、貴重なご意見を多数伺うことが
できましたことを大変ありがたく思っております。ご協力ありがとうございま
した。

この結果を元に JPCERT/CC レポートの内容をグレードアップするための準備
を現在進めております。新しい JPCERT/CC レポートの公開日程が決まりまし
たら、別途、当レポートや Web などを通じてアナウンスします。引き続き、
ご愛顧のほど、よろしくお願い致します。


[5] Internet Week 2005 事前参加申込締切迫る

    Internet Week 2005
    http://internetweek.jp/

2005年12月6日(火) から 12月9日(金) にわたって、パシフィコ横浜会議セン
ターで開催される Internet Week 2005 の事前参加申込受付の締切が 11月30
日(水) 18:00 に迫っています。締切後は当日、会場受付にて参加申込をお願
いします。

参加申込についてのお問合せは iw2005@pac.ne.jp までお願いします。また、
Internet Week 2005 の運営全般についてのお問い合わせは
iw2005-info@nic.ad.jp までお願いします。

JPCERT/CC が JNSA および Telecom-ISAC Japan と共催で行なうカンファレン
ス「Security Day」のプログラムについては以下の Web ページをご参照くだ
さい。

    Security Day ここだけの話〜あなたはどう考えますか？〜
    http://internetweek.jp/program/shosai.asp?progid=C6



[今週の一口メモ]

* 0 day attack が発生したら

未公開 (未修正) の脆弱性を使った攻撃、いわゆる「0 day attack」が発生す
る場合があります。この場合は、まず以下のような手順で対応することをお勧
めします。

  - 情報収集

      JPCERT/CC などの CSIRT (Computer Security Incident Response
      Team) が提供する情報など、複数の情報源から情報を収集し、以下のよ
      うなポイントで内容を確認しましょう。

      o 対象となるソフトウェアとそのバージョンを確認

          対象となっているソフトウェアを使用している場合、当該ソフトウェ
          アの使用停止やサービス停止を検討することをお勧めします。

      o 攻撃手法を確認

          例えば特定のポートが狙われている場合、当該ポートへの外部から
          のアクセスの遮断または制限を検討することをお勧めします。

  - 監視体制の強化

      外部からのアクセス状況だけでなく、内部のシステムから外部のシステ
      ムへのアクセスも併せて監視しましょう。

  - 情報収集体制の強化

      対象となるソフトウェアやバージョンなどが、検証の結果、追加される
      ことがあるので、最新の情報を収集するよう努めましょう。また修正プ
      ログラムの提供 (公開) に関する情報にも注意しましょう。

  参考文献 (日本語)
    JPCERT/CC REPORT 2005-07-06号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr052601.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ40BK4x1ay4slNTtAQHJ6wP8CjHrTax/n0wfL68hCDjGtMW2jhk8fuh/
AvakXyfUsWCW5XPY07Sjmm7K+2HILbRR1QLFC0Omv2jBO5sGEU9NBCcF+eSZh6im
lvad++9MFNYrJPhIs46rwdc2g4/sMHOjwq3HM37ZGMlc7BHyE7g6qxChlBF0LiaS
addvTcb5nTg=
=IElJ
-----END PGP SIGNATURE-----