JPCERT-WR-2006-3801
2006-10-04
2006-09-24
2006-09-30
Microsoft Windows の ActiveX コントロールにバッファオーバーフローの脆弱性
Microsoft Windows の ActiveX コントロール WebViewFolderIcon には
整数の扱いに関するバッファオーバーフローの脆弱性があります。結果
として、遠隔の第三者によって巧妙に細工された Web ページや HTML
形式のメールなどを閲覧することによりユーザの権限で任意のコードを
実行される可能性があります。
対象となるシステムは以下の通りです。
- Microsoft Windows
詳細についてはベンダが提供する情報を参照してください。
2006年10月3日現在、セキュリティ更新プログラムは提供されていませ
ん。回避策として、kill bit を設定して ActiveX コントロールを無効
にする、スクリプトを無効にする、テキスト形式でメールを閲覧する、
信頼できないリンク先は参照しないなどの方法があります。
JP Vendor Status Notes JVNTA06-270A
Microsoft Internet Explorer の ActiveX コントロール WebViewFolderIcon に脆弱性
http://jvn.jp/cert/JVNTA06-270A/index.html
JP Vendor Status Notes TRTA06-270A
Microsoft Internet Explorer の ActiveX コントロール WebViewFolderIcon に脆弱性
http://jvn.jp/tr/TRTA06-270A/index.html
マイクロソフト セキュリティ アドバイザリ (926043)
Windows シェルの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/926043.mspx
@police
マイクロソフト社の Microsoft Windows の脆弱性について(9/29)
http://www.cyberpolice.go.jp/important/2006/20060929_204315.html
Microsoft PowerPoint に脆弱性
Microsoft PowerPoint には未修正の脆弱性があります。結果として、
任意のコードが実行されるなどの影響を受ける可能性があります。本脆
弱性を使用したウイルスが既に存在しているとの情報があります。
影響を受けるバージョンは以下の通りです。
- PowerPoint 2000
- PowerPoint 2002
- PowerPoint 2003
- PowerPoint 2004 for Mac
- PowerPoint v. X for Mac
詳細についてはベンダが提供する情報を参照してください。
2006年10月3日現在、セキュリティ更新プログラムは提供されていませ
ん。回避策としては、PowerPoint Viewer 2003 を使用してファイルを
表示する、信頼できない PowerPoint ファイルを開かないなどの方法が
あります。
JP Vendor Status Notes TRVU#231204
Microsoft PowerPoint に遠隔から任意のコードが実行可能な脆弱性
http://jvn.jp/tr/TRVU%23231204/index.html
JPCERT/CC Alert 2006-09-28
Microsoft PowerPoint 未修正の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2006/at060016.txt
マイクロソフト セキュリティ アドバイザリ (925984)
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/925984.mspx
@police
マイクロソフト社の Microsoft PowerPoint の脆弱性について(9/28)
http://www.cyberpolice.go.jp/important/2006/20060928_084535.html
Microsoft Windows VML 処理の脆弱性に関する追加情報
JPCERT/CC REPORT 2006-09-27号【1】で紹介した、Microsoft Windows
の VML 処理の脆弱性に関する追加情報です。
2006年9月20日に公開しました注意喚起「Microsoft Windows VML の処
理に未修正の脆弱性」を更新しました。2006年9月27日にマイクロソフ
トより公開された、本脆弱性に関するセキュリティ更新プログラムの情
報を追記しました。
JPCERT/CC REPORT 2006-09-27
【1】Microsoft Windows の VML 処理にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2006/wr063701.html#1
独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows の Vector Markup Language の脆弱性(MS06-055)について
http://www.ipa.go.jp/security/ciadr/vul/20060927-ms06-055.html
OpenSSL に複数の脆弱性
OpenSSL には複数の脆弱性があります。結果として、遠隔の第三者によ
り任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受け
たりする可能性があります。
対象となるシステムは以下の通りです。
- OpenSSL を使用するソフトウェア
この問題は、使用している OS のベンダや配布元が提供するパッチを適
用するか修正済みのパッケージに OpenSSL を更新することで解決しま
す。詳細については配布元またはベンダが提供する情報を参照してくだ
さい。
JP Vendor Status Notes JVNVU#386964
OpenSSL の SSLv2 クライアントコードに NULL データをチェックできない脆弱性
http://jvn.jp/cert/JVNVU%23386964/index.html
JP Vendor Status Notes JVNVU#547300
OpenSSL の SSL_get_shared_ciphers() にバッファオーバフローの脆弱性
http://jvn.jp/cert/JVNVU%23547300/index.html
OpenSSL Project
OpenSSL Security Advisory [28th September 2006]
http://www.openssl.org/news/secadv_20060928.txt
Movable Type の検索機能にクロスサイトスクリプティングの脆弱性
シックス・アパート株式会社が提供しているウェブログシステム Movable
Type には、検索機能にクロスサイトスクリプティングの脆弱性がありま
す。結果として、ユーザのブラウザ上で任意のスクリプトを実行される
可能性があります。
対象となるバージョンは以下の通りです。
- Movable Type 3.3、3.31、3.32
- Movable Type Enterprise 1.01、1.02
この問題は、配布元が提供する修正済みの最新のバージョンに Movable
Type または Movable Type Enterprise を更新することで解決します。
詳細についてはベンダが提供する情報を参照してください。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#68295640「Movable Type」の検索機能におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_68295640_MovableType.html
Six Apart - Movable Type News
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
SugarCRM にクロスサイトスクリプティングの脆弱性
オープンソースの CRM (Customer Relationship Management) ソフトウ
ェアである SugarCRM には、クロスサイトスクリプティングの脆弱性が
あります。結果として、ユーザのブラウザ上で任意のスクリプトを実行
される可能性があります。
対象となるバージョンは以下の通りです。
- SugarCRM 4.2.1b およびそれ以前
- SugarCRM 4.0.1g およびそれ以前
- SugarCRM 3.5.1h およびそれ以前
この問題は、配布元が提供するパッチを適用するか、SugarCRM を バー
ジョン 4.5.0 (またはそれ以降) に更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#30144870「SugarCRM」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_30144870_SugarCRM.html
SugarCRM Forums
Sugar Suite 3.5.1 Patch I Now Available for Download
http://www.sugarcrm.com/forums/showthread.php?t=16346
SugarCRM Forums
Sugar Suite 4.0.1 Patch H Now Available for Download
http://www.sugarcrm.com/forums/showthread.php?t=16347
SugarCRM Forums
Sugar Suite 4.2.1 Patch C Now Available for Download
http://www.sugarcrm.com/forums/showthread.php?t=16348
Joomla! にクロスサイトスクリプティングの脆弱性
オープンソースのコンテンツ管理システムである Joomla! には、クロ
スサイトスクリプティングの脆弱性があります。結果として、ユーザの
ブラウザ上で任意のスクリプトを実行されるなど、様々な影響を受ける
可能性があります。
対象となるバージョンは以下の通りです。
- Joomla! 1.0.8 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに Joomla! を更
新することで解決します。
なお、2006年10月3日現在、Joomla! の最新バージョンとして 1.0.11
が公開されており、本バージョンにはその他の脆弱性に関する修正も含
まれていますので、Joomla! バージョン 1.0.11 (またはそれ以降) へ
の更新をお勧めします。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#79484135「Joomla!」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_79484135_Joomla.html
Upgrade immediately to Joomla! 1.0.11
http://www.joomla.org/content/view/1843/37/
Drupal にクロスサイトスクリプティングの脆弱性
オープンソースのコンテンツ管理システムである Drupal には、クロス
サイトスクリプティングの脆弱性があります。結果として、ユーザのブ
ラウザ上で任意のスクリプトを実行されるなど、様々な影響を受ける可
能性があります。
対象となるバージョンは以下の通りです。
- Drupal 4.7.2 およびそれ以前
- Drupal 4.6.8 およびそれ以前
この問題は、配布元が提供する修正済みの最新バージョンに Drupal を
更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#82240092「Drupal」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_82240092_Drupal.html
Drupal security advisory DRUPAL-SA-2006-011
http://drupal.org/files/sa-2006-011/advisory.txt
Advisory ID: DRUPAL-SA-2006-011
XSS Vulnerability in user module
http://drupal.org/node/76748
Drupal 4.7.3 and 4.6.9 released
http://drupal.org/drupal-4.7.3
JPCERT/CC 10周年に際してのご挨拶
おかげさまで JPCERT/CC は 10月1日をもちまして創立 10周年の佳節を
迎えました。つきましては、ご挨拶を上記 URL に掲載いたしました。
ご一読くだされば幸いに存じます。
創立以来多事多難を克服して発展することができましたのは、ひとえに
皆様方の温かいご支援とご指導の賜と、心より厚く感謝申し上げます。
改めて皆様あっての JPCERT/CC であると感じております。重ね重ねお
礼申し上げます。
CSIRT の役割について
一般的に CSIRT (Computer Security Incident Responce Team) に求め
られる役割には、以下のようなものがあります。
- インシデントの報告を受け取り、調査をし、対応する
- コンピュータセキュリティインシデントに関する技術的・社会的な情
報を収集・伝達して、インシデントの発生を未然に防ぐ
- ソフトウェアの脆弱性に関する情報を収集・伝達して、インシデント
の発生を未然に防ぐ
- カンファレンスやワークショップへの参加・聴講によって得られた知
識・技術を伝達して、constituency の啓発を行う
ただし、実際には constituency (サービス対象) によって CSIRT に求
められる役割は異なります。
JPNIC・JPCERT/CC Security Seminar 2005 講演資料
インシデントレスポンス概論 3. CSIRT
http://www.jpcert.or.jp/present/2005/IncidentResponseOverview2005.pdf