JPCERT-WR-2006-4801
2006-12-13
2006-12-03
2006-12-09
Adobe AcroPDF ActiveX コントロールの脆弱性に関する追加情報
JPCERT/CC REPORT 2006-12-06号【2】で紹介した、Adobe AcroPDF
ActiveX コントロールの脆弱性に関する追加情報です。
2006年12月7日に、US-CERT Vulnerability Note VU#198908「Adobe
Acrobat AcroPDF ActiveX control fails to properly handle
malformed input」において、本脆弱性に対応した Adobe Reader 8 の
リリースが報告されています。
Adobe Reader を使用している場合は、速やかに Adobe Reader 8 (また
はそれ以降) に移行することを推奨します。
JPCERT/CC REPORT 2006-12-06号
【2】Adobe AcroPDF ActiveX コントロールに脆弱性
http://www.jpcert.or.jp/wr/2006/wr064701.html#2
アドビ システムズ社
セキュリティ情報
http://www.adobe.com/jp/support/security/
Adobe Security bulletin APSB06-20
Update available for potential vulnerabilities in Adobe Reader and Adobe Acrobat 7
http://www.adobe.com/support/security/bulletins/apsb06-20.html
Adobe Download Manager にバッファオーバーフローの脆弱性
Adobe Download Manager にはバッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が任意のコードを実行する可能性があり
ます。
対象となるバージョンは以下の通りです。
- Adobe Download Manager 2.1 およびそれ以前
この問題は、配布元が提供する修正済みのバージョン 2.2 (またはそれ
以降) に Adobe Download Manager を更新することで解決します。
なお、前項「Adobe AcroPDF ActiveX コントロールの脆弱性に関する追
加情報」に於いて言及されている Adobe Reader 8 (またはそれ以降)
をインストールすることで、Adobe Download Manager も同時に更新さ
れます
詳細については、ベンダーが提供する情報を参照してください。
アドビ システムズ社
セキュリティ情報
http://www.adobe.com/jp/support/security/
アドビ システムズ社
Adobe Download Managerについて
http://www.adobe.com/jp/products/acrobat/acrrmanager.html
Adobe Security bulletin APSB06-19
Update available for buffer overflow in Adobe Download Manager
http://www.adobe.com/support/security/bulletins/apsb06-19.html
Microsoft Windows Media Player にヒープオーバーフローの脆弱性
Microsoft Windows Media Player にはヒープオーバーフローの脆弱性
があります。結果として、遠隔の第三者が Windows Media メタファイ
ルを使用して任意のコードを実行したり、Windows Media Player をク
ラッシュさせたりする可能性があります。
2006年12月12日現在、この問題を解決するセキュリティ更新プログラム
は提供されていません。この問題は、信頼できない Windows Media メ
タファイルにアクセスしない、あるいは Windows Media メタファイル
を自動的に開かないように Web ブラウザを設定するなどの方法で回避
できます。詳細についてはベンダが提供する情報を参照してください。
Microsoft Word の文字列処理に脆弱性
Microsoft Word には文字列の処理に起因する脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行する可能性があります。
対象となる製品とバージョンは以下の通りです。
- Word 2000
- Word 2002
- Word 2003
- Word Viewer 2003
- Word 2004 for Mac
- Word 2004 v.X for Mac
- Works 2004、2005、および 2006
2006年12月12日現在、この問題を解決するセキュリティ更新プログラム
は提供されていません。この問題を回避するには、不審な Word ファイ
ルを開かないよう注意する必要があります。詳細についてはベンダが提
供する情報を参照してください。
マイクロソフト セキュリティ アドバイザリ (929433)
Microsoft Word の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/929433.mspx
JP Vendor Status Notes JVNVU#167928
Microsoft Word の文字列処理に関する脆弱性
http://jvn.jp/cert/JVNVU%23167928/index.html
GnuPG に複数の脆弱性
GnuPG には複数の脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行するなどの可能性があります。
対象となるバージョンは以下の通りです。
- GnuPG 1.4.5 およびそれ以前
- GnuPG 2.0.1 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GnuPG を更新することで解決します。
Gnupg-announce mailing list
[Announce] GnuPG 1.4 and 2.0 buffer overflow
http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000241.html
Gnupg-announce mailing list
[Announce] GnuPG: remotely controllable function pointer [CVE-2006-6235]
http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000246.html
Red Hat Security Advisory RHSA-2006:0754-2
Important: gnupg security update
https://rhn.redhat.com/errata/RHSA-2006-0754.html
l2tpns にバッファオーバーフローの脆弱性
レイヤ 2 トンネリングプロトコルネットワークサーバである l2tpns
にはバッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行する可能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに l2tpns を更新することで解決します。
l2tpns
Release Name: 2.1.21
http://sourceforge.net/project/shownotes.php?group_id=97282&release_id=468202
Debian Security Advisory DSA-1230-1
l2tpns -- buffer overflow
http://www.debian.org/security/2006/dsa-1230
ImageKit ActiveX コントロールに複数のバッファオーバーフローの脆弱性
イメージ処理を行うコンポーネントである ImageKit ActiveX コントロ
ールには複数のバッファオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、Web ブラウザをクラッ
シュさせたりする可能性があります。
対象となるバージョンは以下の通りです。
- ImageKit7 ActiveX FixNo.11 およびそれ以前
- ImageKit6 FixNo.60 およびそれ以前
- ImageKit5 FixNo.60 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに ImageKit
ActiveX コントロールを更新することで解決します。なお、ImageKit4
以前の製品はベンダがサポートを終了しているため、本件の問題を修正
したバージョンに移行することを推奨します。
ニュートン正規登録ユーザ専用サービス (ImageKit5)
イメージ処理ActiveXコンポーネント ImageKit5
http://www.newtone.co.jp/supportik5.html
ニュートン正規登録ユーザ専用サービス (ImageKit6)
イメージ処理コンポーネント ImageKit6
http://www.newtone.co.jp/supportik6.html
正規登録ユーザ専用サービス(ImageKit7 ActiveX)
イメージ処理コンポーネント ImageKit7 ActiveX
http://www.newtone.co.jp/supportik7AX.html
Ruby の CGI ライブラリに脆弱性
Ruby の標準ライブラリである cgi.rb には脆弱性があります。結果と
して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があ
ります。
対象となるバージョンは以下の通りです。
- Ruby 1.8.5 以前のすべてのバージョン(1.8系)
- 2006-12-04 以前のすべての開発版 (1.9系)
この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに Ruby を更新することで解決します。詳細については、ベ
ンダや配布元の Web ページを参照してください。
もう一つのCGIライブラリのDoS脆弱性について
http://www.ruby-lang.org/ja/news/2006/12/04/another-dos-vulnerability-in-cgi-library/
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#84798830「Ruby」の CGI ライブラリ cgi.rb におけるサービス運用妨害(DoS)の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_84798830_Ruby.html
ジャストシステムの製品群に脆弱性
ジャストシステムの製品群である一太郎 (一太郎ビューア含む)、花子
(花子ビューア含む) および三四郎には脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- 一太郎2005
- 一太郎2004
- 一太郎 文藝
- 花子2006
- 花子2005
- 花子2004
- 三四郎2005
- 一太郎Lite2 /R.2
- 一太郎Lite2
- 一太郎ビューア (バージョン 4.1.1.0 以前)
- 花子ビューア (バージョン 1.0.1.0 以前)
詳細については、ベンダが提供する情報を参照してください。
この問題は、配布元が提供するアップデートモジュールを導入すること
で解決します。
「一太郎2005/2004、花子2006/2005/2004、三四郎2005 セキュリティ更新モジュール」、「一太郎ビューア」、「花子ビューア」、「一太郎Lite2 セキュリティ更新モジュール」の公開
http://www.justsystem.co.jp/info/pd6005.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#47272891「花子」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_47272891_hanako.html
TikiWiki にクロスサイトスクリプティングの脆弱性
TikiWiki にはクロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。
対象となるバージョンは以下の通りです。
- TikiWiki 1.9.5 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに TikiWiki を更
新することで解決します。
Downloading Tikiwiki
http://tikiwiki.org/tiki-index.php?page=Download&bl
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#38746816「TikiWiki」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_38746816_TikiWiki.html
しょぼしょぼ日記システム (sns) にクロスサイトスクリプティングの脆弱性
Web 日記作成用スクリプトであるしょぼしょぼ日記システム (sns) に
は、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- しょぼしょぼ日記システム (sns) 3.11 およびそれ以前
この問題は、配布元が提供する修正済みのバージョン 3.12 にしょぼしょ
ぼ日記システム (sns) をバージョンアップすることで解決します。
Project Amateras
http://amateras.sourceforge.jp/cgi-bin/fswiki/wiki.cgi
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#34830904「しょぼしょぼ日記システム (sns)」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_34830904_sns.html
偽オンラインショッピングサイトに注意
オンラインショッピングサイトやオークションサイトを装ったサイトに
よって、商品代金が騙し取られたり、クレジットカード番号などの機密
情報が盗まれたりする被害が発生しています。オンラインショッピング
サイトやオークションサイトを利用する場合には以下の点に注意してく
ださい。
- SSL (https) による電子署名および経路の暗号化が行なわれているか
確認
機密情報を送信するページにおいて、署名がない、また経路の暗号化
が行なわれていないサイトは利用しないことをお勧めします。
- SSL サーバ証明書の内容に問題がないか確認
証明書自体は適切な認証局から発行されていても、本来のサイトを運
営している会社とは全く無関係の会社の証明書である場合があります。
このように、サイトを運営している会社と証明書に記載された会社と
の関係が明確でない場合は、そのサイトを利用しないことをお勧めし
ます。
- オンラインで使用する専用クレジットカードを準備
普段使用するクレジットカードとオンラインショッピングなどで使用
するカードを別にし、後者で使用するカードの上限金額を低めに設定
することをお勧めします。また、請求書の明細をこまめに確認するこ
とを強くお勧めします。
※これは JPCERT/CC REPORT 2005-12-14号「今週の一口メモ」の再掲で
す。
JPCERT/CC REPORT 2005-12-14 [今週の一口メモ]
偽オンラインショッピングサイトに注意
http://www.jpcert.or.jp/wr/2005/wr054901.txt