Microsoft Windows, Office, Internet Explorer に複数の脆弱性

JPCERT-WR-2006-4002 2006-10-18 2006-10-08 2006-10-14

Microsoft Windows, Office, Internet Explorer に複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-283A Microsoft Updates for Vulnerabilities in Windows, Office, and Internet Explorer http://www.us-cert.gov/cas/techalerts/TA06-283A.html US-CERT Cyber Security Alert SA06-283A Microsoft Updates for Vulnerabilities in Windows, Office, and Internet Explorer http://www.us-cert.gov/cas/alerts/SA06-283A.html US-CERT Vulnerability Note VU#187028 Microsoft PowerPoint fails to properly handle malformed object pointers http://www.kb.cert.org/vuls/id/187028 US-CERT Vulnerability Note VU#938196 Microsoft PowerPoint fails to properly handle malformed data records http://www.kb.cert.org/vuls/id/938196 US-CERT Vulnerability Note VU#205948 Microsoft PowerPoint malformed record memory corruption http://www.kb.cert.org/vuls/id/205948 US-CERT Vulnerability Note VU#706668 Microsoft Excel fails to properly process malformed DATETIME records http://www.kb.cert.org/vuls/id/706668 US-CERT Vulnerability Note VU#143292 Microsoft Excel fails to properly process malformed STYLE records http://www.kb.cert.org/vuls/id/143292 US-CERT Vulnerability Note VU#703936 Microsoft Object Packager fails to properly display file types http://www.kb.cert.org/vuls/id/703936 US-CERT Vulnerability Note VU#252500 Microsoft Excel fails to properly process malformed COLINFO records http://www.kb.cert.org/vuls/id/252500 US-CERT Vulnerability Note VU#821772 Microsoft Excel fails to properly handle Lotus 1-2-3 files http://www.kb.cert.org/vuls/id/821772 US-CERT Vulnerability Note VU#455604 Microsoft .NET Framework contains a cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/455604 US-CERT Vulnerability Note VU#547212 Microsoft XML Core Services XMLHTTP ActiveX control fails to properly interpret certain HTTP operations http://www.kb.cert.org/vuls/id/547212 US-CERT Vulnerability Note VU#820628 Microsoft Server Service fails to properly handle network messages http://www.kb.cert.org/vuls/id/820628 US-CERT Vulnerability Note VU#534276 Microsoft Office fails to properly parse malformed chart records http://www.kb.cert.org/vuls/id/534276 US-CERT Vulnerability Note VU#176556 Microsoft Office fails to properly parse malformed records http://www.kb.cert.org/vuls/id/176556 US-CERT Vulnerability Note VU#234900 Microsoft Office fails to properly parse malformed strings http://www.kb.cert.org/vuls/id/234900 US-CERT Vulnerability Note VU#807780 Microsoft Office fails to properly parse malformed Smart Tags http://www.kb.cert.org/vuls/id/807780 US-CERT Vulnerability Note VU#921300 Microsoft Word vulnerable to remote code execution http://www.kb.cert.org/vuls/id/921300 US-CERT Vulnerability Note VU#562788 Microsoft XML Core Services contain a buffer overflow in the XSLT component http://www.kb.cert.org/vuls/id/562788 US-CERT Vulnerability Note VU#806548 Microsoft Word 2000 malformed record vulnerability http://www.kb.cert.org/vuls/id/806548 CIAC Bulletin R-007 Vulnerability in Windows Explorer http://www.ciac.org/ciac/bulletins/r-007.shtml CIAC Bulletin R-008 Vulnerabilities in Microsoft PowerPoint http://www.ciac.org/ciac/bulletins/r-008.shtml CIAC Bulletin R-009 Vulnerabilities in Microsoft Excel http://www.ciac.org/ciac/bulletins/r-009.shtml CIAC Bulletin R-010 Vulnerabilities in Microsoft Word http://www.ciac.org/ciac/bulletins/r-010.shtml CIAC Bulletin R-011 Vulnerabilities in Microsoft XML Core Services http://www.ciac.org/ciac/bulletins/r-011.shtml CIAC Bulletin R-012 Vulnerabilities in Microsoft Office http://www.ciac.org/ciac/bulletins/r-012.shtml CIAC Bulletin R-013 Vulnerability in ASP.NET 2.0 http://www.ciac.org/ciac/bulletins/r-013.shtml CIAC Bulletin R-014 Vulnerability in Windows Object Packager http://www.ciac.org/ciac/bulletins/r-014.shtml

Microsoft Windows, Office, Internet Explorer には複数の脆弱性があります。結果として、遠隔の第三者により任意のコードを実行されるなど様々な影響を受ける可能性があります。この問題は、Microsoft が提供するセキュリティ更新プログラムを適用することで解決します。なお、MS06-061 の問題を修正する際、環境によっては複数のセキュリティ更新プログラムを適用する必要があります。詳細については、ベンダが提供する情報を参照してください。

JP Vendor Status Notes JVNTA06-283A Microsoft Windows, Office, Internet Explorer に関する脆弱性 http://jvn.jp/cert/JVNTA06-283A/index.html JPCERT/CC Alert 2006-10-11 2006年10月 Microsoft セキュリティ情報 (緊急6件含) に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060017.txt 2006 年 10 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-oct.mspx マイクロソフトセキュリティ情報 ASP.NET 2.0 の脆弱性により、情報漏えいが起こる (922770) (MS06-056) http://www.microsoft.com/japan/technet/security/bulletin/ms06-056.mspx マイクロソフトセキュリティ情報 Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057) http://www.microsoft.com/japan/technet/security/bulletin/ms06-057.mspx マイクロソフトセキュリティ情報 Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058) http://www.microsoft.com/japan/technet/security/bulletin/ms06-058.mspx マイクロソフトセキュリティ情報 Microsoft Excel の脆弱性により、リモートでコードが実行される (924164) (MS06-059) http://www.microsoft.com/japan/technet/security/bulletin/ms06-059.mspx マイクロソフトセキュリティ情報 Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060) http://www.microsoft.com/japan/technet/security/bulletin/ms06-060.mspx マイクロソフトセキュリティ情報 Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) (MS06-061) http://www.microsoft.com/japan/technet/security/bulletin/ms06-061.mspx マイクロソフトセキュリティ情報 Microsoft Office の脆弱性により、リモートでコードが実行される (922581) (MS06-062) http://www.microsoft.com/japan/technet/security/bulletin/ms06-062.mspx マイクロソフトセキュリティ情報 Server サービスの脆弱性により、サービス拒否およびリモートでのコードの実行が起こる (923414) (MS06-063) http://www.microsoft.com/japan/technet/security/bulletin/ms06-063.mspx マイクロソフトセキュリティ情報 TCP/IP IPv6 の脆弱性により、サービス拒否が起こる (922819) (MS06-064) http://www.microsoft.com/japan/technet/security/bulletin/ms06-064.mspx マイクロソフトセキュリティ情報 Windows オブジェクトパッケージャの脆弱性により、リモートでコードが実行される (924496) (MS06-065) http://www.microsoft.com/japan/technet/security/bulletin/ms06-065.mspx @police マイクロソフト社のセキュリティ修正プログラムについて(MS06-056,057,058,059,060,061,062,063,064,065)(10/11) http://www.cyberpolice.go.jp/important/2006/20061011_065033.html 独立行政法人情報処理推進機構セキュリティセンター Windows の Server サービスの脆弱性(MS06-063)について http://www.ipa.go.jp/security/ciadr/vul/20061011-ms06-063.html

TrendMicro OfficeScan に脆弱性 US-CERT Vulnerability Note VU#788860 Trend Micro OfficeScan Management Console ActiveX control format string vulnerability http://www.kb.cert.org/vuls/id/788860 CIAC Bulletin R-017 TrendMicro OfficeScan http://www.ciac.org/ciac/bulletins/r-017.shtml

Trendmicro OfficeScan Corporate Edition には書式文字列の処理に起因する脆弱性があります。結果として、遠隔の第三者に任意のコードを実行されるなどの影響を受ける可能性があります。対象となるバージョンは以下の通りです。 - Trendmicro OfficeScan Corporate Edition 7.3 この問題は Trendmicro が提供するパッチを適用することで解決します。

OfficeScan Corporate Edition(TM) version 7.3 Patch 1 - build 1146 http://www.trendmicro.com/ftp/documentation/readme/osce_73_win_en_patch1_readme.txt Layered Defense Security Advisories Layered Defense Research Advisory 1 October 2006 http://www.layereddefense.com/TREND01OCT.html

Adobe ColdFusion MX 7 に権限昇格の脆弱性 CIAC Bulletin R-015 Patch available for ColdFusion MX 7 http://www.ciac.org/ciac/bulletins/r-015.shtml

Adobe ColdFusion MX 7 には権限昇格の脆弱性があります。結果として、ローカルユーザにより SYSTEM の権限で任意のコードを実行される可能性があります。対象となるバージョンは以下の通りです。 - ColdFusion MX 7 - ColdFusion MX 7.0.1 - ColdFusion MX 7.0.2 この問題は、ベンダが提供するアップデータに ColdFusion MX 7 を更新することで解決します。

Adobe Security bulletin Patch available for ColdFusion MX 7 local privilege escalation http://www.adobe.com/support/security/bulletins/apsb06-17.html

X Window System に複数の脆弱性 CIAC Bulletin R-005 xfree86 Several Vulnerabilities http://www.ciac.org/ciac/bulletins/r-005.shtml

X Window System の実装である XFree86 および X.Org には整数オーバーフローをはじめとする複数の脆弱性があります。結果として、遠隔の第三者により任意のコードを実行されるなど様々な影響を受ける可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケージに X Window System を更新することで解決します。

Debian Security Advisory DSA-1193-1 xfree86 -- several vulnerabilities http://www.debian.org/security/2006/dsa-1193 X.Org security advisory: setuid return value check problems http://lists.freedesktop.org/archives/xorg/2006-June/016146.html Red Hat Security Advisory RHSA-2006:0500-10 Moderate: freetype security update http://www.redhat.com/support/errata/RHSA-2006-0500.html Red Hat Security Advisory RHSA-2006:0634-2 Important: xorg-x11 security update http://www.redhat.com/support/errata/RHSA-2006-0634.html Red Hat Security Advisory RHSA-2006:0635-2 Important: XFree86 security update http://www.redhat.com/support/errata/RHSA-2006-0635.html Red Hat Security Advisory RHSA-2006:0665-3 Important: xorg-x11 security update http://www.redhat.com/support/errata/RHSA-2006-0665.html Red Hat Security Advisory RHSA-2006:0666-4 Important: XFree86 security update http://www.redhat.com/support/errata/RHSA-2006-0666.html

HP Version Control Agent に脆弱性 CIAC Bulletin R-016 HP Version Control Agent http://www.ciac.org/ciac/bulletins/r-016.shtml

HP Version Control Agent には脆弱性があります。結果として、遠隔の HP Version Control Agent ユーザにより HP Version Control Repository Manager が不正にアクセスされる可能性があります。対象となるバージョンは以下の通りです。 - Linux および Windows 上で動作する HP Version Control Agent バージョン 2.1.5 より前のバージョンこの問題は、ベンダが提供するパッチを適用することで解決します。

SUPPORT COMMUNICATION - SECURITY BULLETIN c00786136 HPSBMA02158 SSRT061251 rev.1 - HP Version Control Agent, Remote Unauthorized Access and Possible Elevation of Privilege (登録が必要です) http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00786136

Kmail CGI に認証回避の脆弱性 JP Vendor Status Notes JVN#41241092 Kmail CGI における認証回避の脆弱性 http://jvn.jp/jp/JVN%2341241092/index.html

携帯電話向けのウェブメールシステムである Kmail CGI には、ユーザ認証を回避される脆弱性があります。結果として、遠隔の第三者により Kmail CGI のユーザ認証を回避され、利用者のメールを閲覧されたり、削除されたりする可能性があります。対象となるバージョンは以下の通りです。 - バージョン 1.0.3 およびそれ以前この問題は、使用している OS のベンダや配布元が提供する最新のバージョンに Kmail CGI を更新することで解決します。

独立行政法人情報処理推進機構セキュリティセンター JVN#41241092「Kmail CGI」における認証回避の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_41241092_KmailCGI.html Kmail CGI 新バージョンの提供について http://www.futomi.com/library/info/20061012.html

JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内 JPCERT/CC 脆弱性のない安全なプログラムを開発するために http://www.jpcert.or.jp/seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナーを以下のとおり開催します。従来のプログラミング教育は、基本的なアルゴリズムをどのようにコーディングするかが主なものでした。そのため、基本的な C/C++ 言語によるプログラミングは、予期せぬ脆弱性を多く含む結果を招いています。このセミナーを受講することにより、ソフトウエアの脆弱性によるリスクの把握ができるようになり、安全なソフトウエア開発への投資の意義が理解できるようになります。特定のアプリケーションに限らず C/C++ 言語を使って安全なプログラムを開発する業務に携わる全ての方を対象としています。詳細については http://www.jpcert.or.jp/seminar.html なお、早期割引の申込みが 10月26日(木) までとなっております。受講ご希望の方はお早めにお申し込みください。【講師】ロバート・C・シーコード　( Robert C. Seacord ) 氏【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラムマネージャ【開催日】(1) 2006年11月 9日(木) 9:30 - 18:00 (2) 2006年11月10日(金) 9:30 - 18:00 ※セミナーは同内容です。いずれか 1日をお選びください。【受講料】10月26日まで早期割引 40,000円(税込) 10月27日から通常価格 50,000円(税込) ※昼食は含まれません【申込方法】アスキービジネスオンラインサイトよりお申し込みください http://ascii-business.com/abiz/jpcert/form.html

CSIRT の活動内容の制限について CSIRT (Computer Security Incident Response Team) には、 constituency (サービス対象) だけではなく、CSIRT の活動目的や所属する組織、所属する国の法的な制限などにより、活動内容および活動範囲はそれぞれ異なり、場合によっては実施することが不可能な活動があります。たとえば、JPCERT/CC の活動目的はインシデントの予防、再発防止および影響範囲の拡大防止の観点からシステム運用管理の技術的な支援を行なうことであり、法的な拘束力の行使ではありません。そのため、行為者の特定や懲罰、被害者の救済等の活動は行っておらず、また、要求された場合でも対応できないことがあります。インシデント対応の一環として、インシデント当事者に関係する CSIRT に連絡を行う際には、事前に連絡先 CSIRT の活動内容や制限を把握しておくことをお勧めします。 JPNIC・JPCERT/CC Security Seminar 2005 講演資料インシデントレスポンス概論 http://www.jpcert.or.jp/present/2005/IncidentResponseOverview2005.pdf JPCERT/CC REPORT 2006-10-12号 [今週の一口メモ] CSIRT の種類について http://www.jpcert.or.jp/wr/2006/wr063901.txt CERT/CC CSIRT Documents http://www.cert.org/csirts/national/documents.html