JPCERT-WR-2007-4201
2007-10-31
2007-10-21
2007-10-27
Adobe Reader および Acrobat に脆弱性
Adobe Reader および Adobe Acrobat には、脆弱性があります。結果と
して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させること
で、ユーザの権限で任意のコマンドを実行する可能性があります。なお、
本脆弱性を使った攻撃が行われているとの情報も公開されています。
対象となる製品とバージョンは以下の通りです。
- Microsoft Windows XP または Windows Server 2003 に
Internet Explorer 7 がインストールされている環境で動作する以下
の製品およびバージョン
- Adobe Reader 7.0.9 およびそれ以前
- Adobe Reader 8.1 およびそれ以前
- Adobe Acrobat Professional、3D、Standard、Elements 7.0.9 およ
びそれ以前
- Adobe Acrobat Professional、3D、Standard 8.1 およびそれ以前
この問題は、Adobe が提供するアップデートに、該当する製品を更新す
ることで解決します。詳細については Adobe が提供する情報を参照し
てください。
なお、2007年10月30日現在、Adobe Reader 7.0.9 および Acrobat 7.0.9
などに対するアップデートは提供されていません。Adobe によると後日
アップデートが提供される予定です。それまでは、Adobe の提供する回
避策を行うことを推奨します。
Japan Vulnerability Notes JVNTA07-297B
Microsoft Windows における URI 処理の脆弱性に対する Adobe 製品のアップデート
http://jvn.jp/cert/JVNTA07-297B/index.html
Adobe セキュリティ情報 APSA07-04
バージョン8.1、もしくはそれ以前のAdobe ReaderおよびAcrobatの脆弱性について
http://www.adobe.com/jp/support/security/advisories/apsa07-04.html
@police
アドビシステムズ社の Adobe Reader と Acrobat の脆弱性について(10/23)
http://www.cyberpolice.go.jp/important/2007/20071023_110255.html
マイクロソフト セキュリティ アドバイザリ (943521)
Windows Internet Explorer 7 がインストールされた Windows XP および Windows Server 2003 の URL の処理の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/943521.mspx
Adobe Security advisory APSB07-18
Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb07-18.html
一太郎シリーズに複数のバッファオーバーフローの脆弱性
ジャストシステムの一太郎シリーズには、複数のバッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が細工した一太郎文書
ファイルをユーザに開かせることで、ユーザの権限で任意のコードを実
行する可能性があります。また、特定環境下でウェブブラウザを使用し
てアクセスする場合、悪意ある URL にアクセスするだけで被害を受け
る可能性があります。
対象となる製品は以下の通りです。
- 一太郎ビューア
- 一太郎11
- 一太郎12
- 一太郎13
- 一太郎2004
- 一太郎2005
- 一太郎 文藝
- 一太郎2006
- 一太郎ガバメント2006
- 一太郎2007
- 一太郎ガバメント2007
- 一太郎2007体験版
- 一太郎Lite2
- 一太郎 for Linux
この問題は、ジャストシステムが提供するアップデートモジュールを該
当する製品に適用することで解決します。詳細についてはジャストシス
テムが提供する情報を参照してください。
ジャストシステム
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/pd7004.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#50495547/JVN#32981509/JVN#29211062 「一太郎シリーズ」における3つのバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_50495547.html
独立行政法人 情報処理推進機構 セキュリティセンター
「一太郎シリーズ」における3つのセキュリティ上の弱点(脆弱性)の注意喚起について
http://www.ipa.go.jp/security/vuln/200710_Ichitaro.html
@police
ジャストシステム社ワープロソフト一太郎の脆弱性について(10/25)
http://www.cyberpolice.go.jp/important/2007/20071025_172120.html
Java Runtime Environment (JRE) の仮想マシンに権限昇格の脆弱性
Java Runtime Environment (JRE) の仮想マシンには、権限昇格の脆弱性
があります。結果として、遠隔の第三者がユーザのコンピュータ上のフ
ァイルを読み書きしたり、Java アプレットを実行しているユーザの権限
で任意のコマンドを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- JDK and JRE 6 Update 2 およびそれ以前
- JDK and JRE 5.0 Update 12 およびそれ以前
- SDK and JRE 1.4.2_15 およびそれ以前
- SDK and JRE 1.3.1_20 およびそれ以前
この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。
Sun Alert Notification 103112
Vulnerability in Java Runtime Environment Virtual Machine May Allow Untrusted Application or Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103112-1
IBM Lotus Notes に複数の脆弱性
IBM の Lotus Notes には、複数の脆弱性があります。結果として、遠
隔の第三者が細工した Microsoft Word for DOS ファイルなどを開かせ
ることで、ユーザの権限で任意のコマンドを実行したり、サービス運用
妨害 (DoS) 攻撃を行ったりする可能性があります。なお、本件に関し
ては攻撃方法に関する情報が公開されています。
対象となるバージョンは以下の通りです。
- IBM Lotus Notes 8.0 および 7.0.3 より前のバージョン
この問題は、IBM が提供する修正済みのバージョンに Lotus Notes を更
新することで解決します。詳細については IBM が提供する情報を参照し
てください。
IBM サポート技術情報 - 731307
(参考)Lotus Notes のファイルビューアーにおけるバッファーオーバーフローの潜在的な脆弱性の問題 (wpd, sam, doc, mif)
http://www-06.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/731307
IBM Technote (FAQ) 1271111
Buffer overflow vulnerability in Lotus Notes file viewers (.wpd, .sam, .doc, and .mif )
http://www-1.ibm.com/support/docview.wss?uid=swg21271111
IBM Support & Downloads
Download the IBM Lotus Domino and Notes 7.0.3 Maintenance Release
http://www-1.ibm.com/support/docview.wss?uid=swg24017252
IBM Support & Downloads
IBM Lotus Notes 8.0
http://www-1.ibm.com/support/docview.wss?uid=swg24015327
RSA KEON Registration Authority の Web インターフェイスに複数のクロスサイトスクリプティングの脆弱性
RSA Security 社が提供する RSA KEON Registration Authority の Web
インターフェイスには、複数のクロスサイトスクリプティングの脆弱性
があります。結果として、遠隔の第三者が RSA KEON Registration
Authority ソフトウェアを実行しているサイトから機密情報を取得した
り、偽装コンテンツを作成したりする可能性があります。
この問題は RSA Security 社が提供する修正済みのバージョンに
RSA KEON Registration Authority ソフトウェアを更新することで解決
します。詳細については RSA Security 社が提供する情報を参照してく
ださい。
RSA Security, Inc. (登録が必要です)
https://knowledge.rsasecurity.com/
L.ROOT-SERVERS.NET の IP アドレス更新
DNS ルートネームサーバのひとつである L.ROOT-SERVERS.NET の
IP アドレスが 2007年11月1日に変更される予定です。
DNS ネームサーバの設定にルートネームサーバの IP アドレスを含んで
いる場合には、更新が必要になります。なお、現在使われている IP ア
ドレス 198.32.64.12 は、今後 6ヶ月間維持される予定です。
DNS ネームサーバを管理している方は、設定内容や更新作業について確
認しておくことをおすすめします。
株式会社日本レジストリサービス
(速報) L.root-servers.net の IP アドレス変更について
http://jprs.jp/tech/notice/2007-10-25-l.root-servers.net.html
社団法人日本ネットワークインフォメーションセンター
Lルートネームサーバ(L.root-servers.net)のIPアドレス変更について
http://www.nic.ad.jp/ja/topics/2007/20071026-01.html
ICANN Blog
Advisory - "L Root" changing IP address on 1st November
http://blog.icann.org/?p=227
l.root-servers.net
IMPORTANT: Change of IP address
http://l.root-servers.org/ip-change-28oct07.htm