Microsoft Windows および Microsoft Publisher に複数の脆弱性

JPCERT-WR-2006-3601 2006-09-21 2006-09-10 2006-09-16

Microsoft Windows および Microsoft Publisher に複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-255A Microsoft Windows and Publisher Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-255A.html US-CERT Cyber Security Alert SA06-255A Microsoft Windows and Publisher Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-255A.html US-CERT Vulnerability Note VU#108884 Microsoft Indexing Services vulnerable to cross-site scripting http://www.kb.cert.org/vuls/id/108884 US-CERT Vulnerability Note VU#455516 Microsoft PGM vulnerable to remote code execution http://www.kb.cert.org/vuls/id/455516 US-CERT Vulnerability Note VU#406236 Microsoft Publisher does not adequately validate Publisher documents http://www.kb.cert.org/vuls/id/406236 CIAC Bulletin Q-310 Vulnerability in Microsoft Publisher http://www.ciac.org/ciac/bulletins/q-310.shtml CIAC Bulletin Q-311 Vulnerability in Pragmatic General Multicast (PGM) http://www.ciac.org/ciac/bulletins/q-311.shtml CIAC Bulletin Q-312 Vulnerability in Indexing Service http://www.ciac.org/ciac/bulletins/q-312.shtml

Microsoft Windows および Microsoft Publisher には複数の脆弱性があります。結果として、遠隔の第三者により任意のコードを実行されるなど様々な影響を受ける可能性があります。この問題は、Microsoft が提供するセキュリティ更新プログラムを適用することで解決します。

JP Vendor Status Notes JVN#52201480 Microsoft Windows のインデックスサービスにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2352201480/index.html JP Vendor Status Notes JVNTA06-255A Microsoft Windows, Publisher に関する脆弱性 http://jvn.jp/cert/JVNTA06-255A/index.html JP Vendor Status Notes TRTA06-255A Microsoft Windows, Publisher に関する脆弱性 http://jvn.jp/tr/TRTA06-255A/index.html 2006 年 9 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-sep.mspx マイクロソフトセキュリティ情報 Pragmatic General Multicast (PGM) の脆弱性により、リモートでコードが実行される (919007) (MS06-052) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-052.mspx マイクロソフトセキュリティ情報インデックスサービスの脆弱性により、クロスサイトスクリプティングが行われる (920685) (MS06-053) http://www.microsoft.com/japan/technet/security/bulletin/ms06-053.mspx マイクロソフトセキュリティ情報 Microsoft Publisher の脆弱性により、リモートコードが実行される (910729) (MS06-054) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-054.mspx JPCERT/CC Alert 2006-09-13 Microsoft 製品に含まれる脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060014.txt @police マイクロソフト社のセキュリティ修正プログラムについて(MS06-052,053,054)(9/13) http://www.cyberpolice.go.jp/important/2006/20060913_062328.html 独立行政法人情報処理推進機構セキュリティセンター JVN#52201480：Microsoft Windows の「インデックスサービス」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_52201480_IndexService.html

Microsoft DirectAnimation パス ActiveX コントロールにおける入力値未チェックの脆弱性 US-CERT Cyber Security Alert SA06-258A Microsoft Internet Explorer ActiveX Vulnerability http://www.us-cert.gov/cas/alerts/SA06-258A.html US-CERT Vulnerability Note VU#377369 Microsoft DirectAnimation Path ActiveX control fails to validate input http://www.kb.cert.org/vuls/id/377369

ActiveX コントロールの一種である Microsoft DirectAnimation パスには、入力値の検査が不十分であることに起因する脆弱性があります。結果として、遠隔の第三者によって細工された HTML ドキュメント（ウェブページ、HTML 形式のメール、添付ファイルなど）を閲覧することにより、ユーザの権限で任意のコードを実行されるなどの可能性があります。 2006年9月20日現在、修正パッチは提供されていません。回避策として、 ActiveX コントロールを実行されないようにするなどの方法があります。詳しくは、ベンダが提供する情報を参照してください。

JP Vendor Status Notes JVNVU#377369 Microsoft DirectAnimation パス ActiveX コントロールにおける入力値未チェックの脆弱性 http://jvn.jp/cert/JVNVU%23377369/index.html マイクロソフトセキュリティアドバイザリ (925444) Microsoft DirectAnimation パスの ActiveX コントロールの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/925444.mspx @police マイクロソフト社の Internet Explorer の脆弱性について(9/16) http://www.cyberpolice.go.jp/important/2006/20060916_094859.html

Apple QuickTime に複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-256A Apple QuickTime Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-256A.html US-CERT Cyber Security Alert SA06-256A Apple QuickTime Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-256A.html US-CERT Vulnerability Note VU#540348 Apple QuickTime fails to properly handle FlashPix files http://www.kb.cert.org/vuls/id/540348 US-CERT Vulnerability Note VU#554252 Apple QuickTime Player H.264 Codec contains an integer overflow http://www.kb.cert.org/vuls/id/554252 US-CERT Vulnerability Note VU#683700 Apple QuickTime movie buffer overflow vulnerability http://www.kb.cert.org/vuls/id/683700 US-CERT Vulnerability Note VU#200316 Apple QuickTime vulnerable to denial of service via specially crafted FlashPix file http://www.kb.cert.org/vuls/id/200316 US-CERT Vulnerability Note VU#308204 Apple QuickTime fails to properly handle SGI images http://www.kb.cert.org/vuls/id/308204 US-CERT Vulnerability Note VU#489836 Apple QuickTime fails to properly handle FLC movies http://www.kb.cert.org/vuls/id/489836 CIAC Bulletin Q-314 QuickTime 7.1.3 http://www.ciac.org/ciac/bulletins/q-314.shtml

Apple Quicktime には複数の脆弱性があります。結果として、遠隔の第三者により、任意のコードやコマンドを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。影響を受けるシステムは以下の通りです。 - Apple Mac OS X - Microsoft Windows 詳しくは、ベンダの提供する情報を確認してください。この問題は、Apple が提供する修正済みのソフトウェアに更新することで解決します。

JP Vendor Status Notes JVNTA06-256A Apple QuickTime に複数の脆弱性 http://jvn.jp/cert/JVNTA06-256A/index.html JP Vendor Status Notes TRTA06-256A Apple QuickTime に複数の脆弱性 http://jvn.jp/tr/TRTA06-256A/index.html QuickTime 7.1.3 Update のセキュリティコンテンツについて http://docs.info.apple.com/article.html?artnum=304357-ja @police QuickTime の脆弱性について(9/13) http://www.cyberpolice.go.jp/important/2006/20060913_173644.html

Adobe Flash Player に脆弱性 CIAC Bulletin Q-313 Flash-Plugin Security Update http://www.ciac.org/ciac/bulletins/q-313.shtml

Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者に任意のコードを実行される可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケージに Adobe Flash Player を更新することで解決します。

@police Flash Player の脆弱性について(9/13) http://www.cyberpolice.go.jp/important/2006/20060913_173332.html マイクロソフトセキュリティアドバイザリ (925143) Adobe セキュリティ速報: APSB06-11: Flash Player の脆弱性を解決するアップデート http://www.microsoft.com/japan/technet/security/advisory/925143.mspx Red Hat Security Advisory RHSA-2006:0674-5 Critical: flash-plugin security update http://rhn.redhat.com/errata/RHSA-2006-0674.html Adobe Security bulletin Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions http://www.adobe.com/support/security/bulletins/apsb06-11.html

Mozilla 製品に複数の脆弱性 CIAC Bulletin Q-317 Firefox Security Update http://www.ciac.org/ciac/bulletins/q-317.shtml

Mozilla から提供されているウェブブラウザやその他の製品には、複数の脆弱性があります。結果として、遠隔の第三者に任意のコードを実行されるなどの可能性があります。対象となる製品は以下の通りです。 - Mozilla SeaMonkey - Mozilla Firefox - Mozilla Thunderbird この問題は、使用している OS のベンダや配布元が提供する修正済みの以下のバージョンにそれぞれの製品を更新することで解決します。 - Mozilla SeaMonkey 1.0.5 - Mozilla Firefox 1.5.0.7 - Mozilla Thunderbird 1.5.0.7

Mozilla Foundation セキュリティアドバイザリ 2006-57 JavaScript 正規表現によるヒープ破壊 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-57.html Mozilla Foundation セキュリティアドバイザリ 2006-58 DNS と SSL のなりすましを通じた自動更新の乗っ取り http://www.mozilla-japan.org/security/announce/2006/mfsa2006-58.html Mozilla Foundation セキュリティアドバイザリ 2006-59 並列処理に関する脆弱性 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-59.html Mozilla Foundation セキュリティアドバイザリ 2006-60 RSA 署名の偽造 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-60.html Mozilla Foundation セキュリティアドバイザリ 2006-61 document.open() を使ったフレームのなりすまし http://www.mozilla-japan.org/security/announce/2006/mfsa2006-61.html Mozilla Foundation セキュリティアドバイザリ 2006-62 ポップアップブロック機能を通じたクロスサイトスクリプティング (XSS) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-62.html Mozilla Foundation セキュリティアドバイザリ 2006-64 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.7) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-64.html Red Hat Security Advisory RHSA-2006:0675-5 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2006-0675.html Red Hat Security Advisory RHSA-2006:0676-10 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2006-0676.html Red Hat Security Advisory RHSA-2006:0677-5 Critical: thunderbird security update https://rhn.redhat.com/errata/RHSA-2006-0677.html

複数の RSA 実装において署名が正しく検証されない脆弱性 US-CERT Vulnerability Note VU#845620 Multiple RSA implementations fail to properly handle signatures http://www.kb.cert.org/vuls/id/845620

RSA を実装している複数のソフトウェアにおいて、署名が正しく検証されない脆弱性が存在します。結果として、遠隔の第三者により RSA 署名が偽造される可能性があります。この問題の解決策については、使用しているシステムやアプリケーションのベンダや配布元が提供する情報を参照してください。

JP Vendor Status Notes JVNVU#845620 複数の RSA 実装において署名が正しく検証されない脆弱性 http://jvn.jp/cert/JVNVU%23845620/ JPCERT/CC REPORT 2006-09-13 号【2】OpenSSL に証明書が正しく検証されない脆弱性 http://www.jpcert.or.jp/wr/2006/wr063501.html#2

TikiWiki に脆弱性 CIAC Bulletin Q-309 TikiWiki http://www.ciac.org/ciac/bulletins/q-309.shtml

TikiWiki にはアップロードされたファイルが正しく検証されない脆弱性があります。結果として、遠隔の第三者に任意のコードを実行される可能性があります。この問題は、配布元が提供する修正済みのバージョン 1.9.5 またはそれ以降に TikiWiki を更新することで解決します。

TikiWiki : Tiki under attack Tiki under attack http://tikiwiki.org/tiki-read_article.php?articleId=136 TikiWiki : ReleaseProcess195 Release Process Tiki 1.9.5 http://tikiwiki.org/tiki-index.php?page=ReleaseProcess195

掲示板やメーリングリストなどでの質疑応答と情報漏洩インターネットの普及に伴い、誰でも投稿・閲覧可能な掲示板やメーリングリストが増加し、質疑応答が容易になりました。しかしながら、このような掲示板やメーリングリストが誰でも閲覧可能であることを失念すると、所属組織に関する機密情報を投稿してしまい、結果として情報漏洩をひきおこす可能性があります。掲示板やメーリングリストへの投稿を考えている場合、所属組織の情報取り扱いポリシーに照らして問題がないことを確認するようお勧めします。