-----BEGIN PGP SIGNED MESSAGE-----

                                                         JPCERT-WR-2006-1801
                                                                   JPCERT/CC
                                                                  2006-05-17

                 <<< JPCERT/CC REPORT 2006-05-17 >>>

――――――――――――――――――――――――――――――――――――――
■05/07(日)〜05/13(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ===================================================================

【1】Microsoft Windows と Exchange Server の脆弱性
【2】Mac OS X に複数の脆弱性
【3】Apple QuickTime に複数の脆弱性
【4】cgiirc にバッファオーバーフローの脆弱性

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/
=============================================================================


【1】Microsoft Windows と Exchange Server の脆弱性

    情報源
      US-CERT Technical Cyber Security Alert TA06-129A
      Microsoft Windows and Exchange Server Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA06-129A.html

      US-CERT Cyber Security Alert SA06-129A
      Microsoft Windows Vulnerabilities
      http://www.us-cert.gov/cas/alerts/SA06-129A.html

      US-CERT Vulnerability Note VU#303452
      Microsoft Exchange fails to properly handle vCal and iCal properties
      http://www.kb.cert.org/vuls/id/303452

      US-CERT Vulnerability Note VU#945060
      Adobe Flash products contain multiple vulnerabilities
      http://www.kb.cert.org/vuls/id/945060

      US-CERT Vulnerability Note VU#146284
      Macromedia Flash Player fails to properly validate the frame type identifier read from a "SWF" file
      http://www.kb.cert.org/vuls/id/146284

      CIAC Bulletin Q-193
      Vulnerabilities in Macromedia Flash Player
      http://www.ciac.org/ciac/bulletins/q-193.shtml

      CIAC Bulletin Q-194
      Vulnerability in Microsoft Exchange
      http://www.ciac.org/ciac/bulletins/q-194.shtml

    概要
      Microsoft Windows および Microsoft Exchange Server には、脆弱性
      があります。結果として、遠隔から第三者が、ログオンしているユーザ
      や Exchange Server を実行しているユーザの権限を取得する可能性が
      あります。

      この問題は、Microsoft が提供するセキュリティ更新プログラムを適用
      することで解決します。

    関連文書 (日本語)
      JP Vendor Status Notes JVNTA06-129A
      Microsoft Windows と Exchange Server に関する脆弱性
      http://jvn.jp/cert/JVNTA06-129A/

      2006 年 5 月のセキュリティ情報
      http://www.microsoft.com/japan/technet/security/bulletin/ms06-may.mspx

      マイクロソフト セキュリティ情報
      Microsoft Exchange の脆弱性により、リモートでコードが実行される (916803) (MS06-019)
      http://www.microsoft.com/japan/technet/security/bulletin/ms06-019.mspx

      マイクロソフト セキュリティ情報
      Adobe の Macromedia Flash Player の脆弱性により、リモートでコードが実行される (913433) (MS06-020)
      http://www.microsoft.com/japan/technet/security/bulletin/ms06-020.mspx

      JPCERT/CC REPORT 2006-03-23号 [2]
      http://www.jpcert.or.jp/wr/2006/wr061101.txt

      Macromedia セキュリティ速報 APSB06-03
      Flash Player 脆弱性を解決するアップデート
      http://www.macromedia.com/jp/devnet/security/security_zone/apsb06-03.html

【2】Mac OS X に複数の脆弱性

    情報源
      US-CERT Technical Cyber Security Alert TA06-132A
      Apple Mac Products Affected by Multiple Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA06-132A.html

      US-CERT Cyber Security Alert SA06-132A
      Apple Mac Products Affected by Multiple Vulnerabilities
      http://www.us-cert.gov/cas/alerts/SA06-132A.html

      US-CERT Vulnerability Note VU#519473
      Apple Safari fails to properly handle archive files containing symbolic links
      http://www.kb.cert.org/vuls/id/519473

      CIAC Bulletin Q-196
      Apple Security Update 2006-003
      http://www.ciac.org/ciac/bulletins/q-196.shtml

    概要
      Apple Mac OS X、Mac OS X Server、Safari (Web ブラウザ)、Apple
      Mail などには脆弱性があります。結果として、遠隔から第三者がログ
      インしているユーザの権限を取得するなどの様々な影響を受ける可能性
      があります。

      この問題は、Apple が提供する修正済みのソフトウェアに更新すること
      で解決します。

    関連文書 (日本語)
      JP Vendor Status Notes JVNTA06-132A
      Apple 社の Mac 製品に複数の脆弱性
      http://jvn.jp/cert/JVNTA06-132A/

      Security Update 2006-003 について
      http://docs.info.apple.com/article.html?artnum=303737-ja

【3】Apple QuickTime に複数の脆弱性

    情報源
      US-CERT Technical Cyber Security Alert TA06-132B
      Apple QuickTime Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA06-132B.html

      US-CERT Cyber Security Alert SA06-132B
      Apple QuickTime Vulnerabilities
      http://www.us-cert.gov/cas/alerts/SA06-132B.html

      US-CERT Vulnerability Note VU#289705
      Apple Quicktime JPEG integer overflow
      http://www.kb.cert.org/vuls/id/289705

      US-CERT Vulnerability Note VU#570689
      Apple QuickTime FlashPix integer overflow
      http://www.kb.cert.org/vuls/id/570689

      CIAC Bulletin Q-197
      Apple QuickTime Vulnerabilities
      http://www.ciac.org/ciac/bulletins/q-197.shtml

    概要
      Apple QuickTime には複数の脆弱性があります。結果として、遠隔から
      第三者が QuickTime を実行しているユーザの権限を取得する可能性が
      あります。

      この問題は、QuickTime バージョン 7.1 (またはそれ以降) に更新する
      ことで解決します。

    関連文書 (日本語)
      JP Vendor Status Notes JVNTA06-132B
      Apple QuickTime に複数の脆弱性
      http://jvn.jp/cert/JVNTA06-132B/

    関連文書 (英語)
      About the security content of the QuickTime 7.1 Update
      http://docs.info.apple.com/article.html?artnum=303752

【4】cgiirc にバッファオーバーフローの脆弱性

    情報源
      CIAC Bulletin Q-190
      cgiirc -- Buffer Overflows
      http://www.ciac.org/ciac/bulletins/q-190.shtml

    概要
      Web ベースの IRC クライアントである cgiirc には複数のバッファオー
      バーフローの脆弱性があります。結果として、遠隔から第三者が 
      cgiirc を実行しているユーザの権限を取得する可能性があります。

      この問題は、使用している OS のベンダや配布元が提供するパッチを適
      用することで解決します。

    関連文書 (英語)
      Debian Security Advisory DSA-1052-1
      cgiirc -- buffer overflows
      http://www.debian.org/security/2006/dsa-1052.en.html


――――――――――――――――――――――――――――――――――――――
■今週の一口メモ
――――――――――――――――――――――――――――――――――――――

○パスワードの取り扱いについて

      パスワードを取り扱う際には、以下のような点に注意することが推奨さ
      れます。

      - 自分のパスワードを他人に教えない。
      - パスワードを他人の目につく場所に残さない。
      - パスワードを入力する対象が本来意図したもの (サイトなど) である
        ことを確認する (サーバ証明書など)。
      - パスワードを入力する際には、周囲から覗き込まれていないことを確
        認する。
      - ネットワーク越しにパスワードを送信する際には、通信経路が暗号化
        されていることを確認する。
      - コピー & ペーストを使ってパスワードを入力しない。
      - パスワードを定期的に変更する。

    参考文献 (日本語)
      RFC 2504
      ユーザのセキュリティハンドブック 3.4. パスワード
      http://www.ipa.go.jp/security/rfc/RFC2504JA.html#304

      マイクロソフト 個人ユーザー向けセキュリティ
      強力なパスワード : その作り方と使い方
      http://www.microsoft.com/japan/athome/security/privacy/password.mspx

      JPCERT/CC REPORT 2004-11-04号 [今週の一口メモ]
      http://www.jpcert.or.jp/wr/2004/wr044301.txt

      JPCERT/CC REPORT 2006-05-10号 [今週の一口メモ]
      http://www.jpcert.or.jp/wr/2006/wr061701.txt

    参考文献 (英語)
      US-CERT Cyber Security Tip ST04-002
      Choosing and Protecting Passwords
      http://www.us-cert.gov/cas/tips/ST04-002.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRGpuqIx1ay4slNTtAQGggwP/S5MDrMWobtPs+h0arBnVTrXmQLjqH95z
l8Q/xJfMZzTYZnLuFt589M0snTVH7I2ORn16HyMiaw8PeMsBvILJ34CFy8SkTBeV
/oqobMAm/nv8GiAdWL4lr6VpR83Mxf3HJWCUhS/g2SrSv88HLm4rCtK/sJ5dDJ0h
xzzimHvH1gs=
=rr6V
-----END PGP SIGNATURE-----