-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2008-0601
                                                                   JPCERT/CC
                                                                  2008-02-14

                 <<< JPCERT/CC REPORT 2008-02-14 >>>

――――――――――――――――――――――――――――――――――――――
■02/03(日)〜02/09(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Reader および Adobe Acrobat に脆弱性
【2】「Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性」に関する追加情報
【3】KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に脆弱性
【4】Yahoo! Music Jukebox の複数の ActiveX コントロールにバッファオーバーフローの脆弱性
【5】PC2M にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第13回 「プロバイダ責任制限法」

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/2008/wr080601.html
        http://www.jpcert.or.jp/wr/2008/wr080601.xml
============================================================================


【1】Adobe Reader および Adobe Acrobat に脆弱性

    情報源
      Adobe Securiry advisory
      Security Update available for Adobe Reader and Acrobat 8
      http://www.adobe.com/support/security/advisories/apsa08-01.html

    概要
      Adobe Reader および Adobe Acrobat には、脆弱性があります。結果と
      して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ
      とで、ユーザの権限で任意のコマンドを実行する可能性があります。な
      お、本件に関しては攻撃方法に関する情報が公開されています。

      対象となる製品とバージョンは以下の通りです。

      - Adobe Reader 8.1.1 およびそれ以前
      - Adobe Acrobat Professional, 3D, Standard 8.1.1 およびそれ以前

      なお、Adobe Reader、Acrobat 7.0.9 およびそれ以前も本脆弱性の影響
      を受けます。

      この問題は、Adobe が提供する Adobe Reader 8.1.2 または Acrobat
      8.1.2 にバージョンアップすることで解決します。詳細については 
      Adobe が提供する情報を参照してください。

    関連文書 (英語)
      Adobe
      Adobe Reader 8.1.2 Release Notes
      http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403079&sliceId=1

      US-CERT Technical Cyber Security Alert TA08-043A
      Adobe Reader and Acrobat Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA08-043A.html

      Vulnerability Note VU#666281
      Adobe Reader and Acrobat JavaScript methods buffer overflow vulnerabilities
      http://www.kb.cert.org/vuls/id/666281

      CERT/CC Current Activity Archive
      Active Exploitation of Adobe Reader Vulnerabilities
      http://www.us-cert.gov/current/archive/2008/02/11/archive.html#publically_available_exploit_for_adobe

【2】「Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性」に関する追加情報

    情報源
      Apple - Support
      QuickTime 7.4.1 のセキュリティコンテンツについて
      http://docs.info.apple.com/article.html?artnum=307407-ja

    概要
      JPCERT/CC REPORT 2008-01-17 号【2】で紹介した「Apple QuickTime
      RTSP の Response message の処理にバッファオーバーフローの脆弱性」
      に関する追加情報です。

      Apple はこの問題に対する修正を含むセキュリティアップデートとして
      QuickTime 7.4.1 を公開しました。詳細については、Apple が提供する
      情報を参照してください。

    関連文書 (日本語)
      @police
      QuickTime の脆弱性について(2/7)
      http://www.cyberpolice.go.jp/important/2008/20080207_164356.html

      JPCERT/CC REPORT 2008-01-17
      【2】Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性
      http://www.jpcert.or.jp/wr/2008/wr080201.html#2

【3】KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に脆弱性

    情報源
      US-CERT Vulnerability Note VU#110947
      KAME project IPv6 IPComp header denial of service vulnerability
      http://www.kb.cert.org/vuls/id/110947

    概要
      KAME プロジェクトの IPv6 スタックにおける IPComp パケット処理に
      は、脆弱性があります。結果として、遠隔の第三者が細工した IPComp 
      ヘッダを持つ IPv6 パケットを送信することで、サービス運用妨害
      (DoS) 攻撃を行う可能性があります。

      対象となる製品は以下の通りです。

      - IPv6 スタックに KAME プロジェクトが提供しているソースコードを
        使っている製品

      この問題は、各ベンダや配布元が提供する修正済みのバージョンに該当
      する製品を更新することで解決します。詳細については、各ベンダや配
      布元が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#110947
      KAME プロジェクトの IPv6 スタックにおける IPComp パケットの処理にサービス運用妨害(DoS)の脆弱性
      http://jvn.jp/cert/JVNVU%23110947/index.html

    関連文書 (英語)
      The KAME project
      http://www.kame.net/

【4】Yahoo! Music Jukebox の複数の ActiveX コントロールにバッファオーバーフローの脆弱性

    情報源
      US-CERT Vulnerability Note VU#101676
      Yahoo! Music Jukebox YMP Datagrid ActiveX control stack buffer overflows
      http://www.kb.cert.org/vuls/id/101676

      US-CERT Vulnerability Note VU#340860
      Yahoo! Music Jukebox Yahoo! MediaGrid ActiveX control stack buffer overflows
      http://www.kb.cert.org/vuls/id/340860

    概要
      Yahoo! Music Jukebox の複数の ActiveX コントロールには、バッファ
      オーバーフローの脆弱性があります。結果として、遠隔の第三者が細工
      した HTML 文書をユーザに閲覧させることで、ユーザの権限で任意のコー
      ドを実行する可能性があります。なお、本件に関しては攻撃方法に関す
      る情報が公開されています。

      対象となるバージョンは以下の通りです。

      - Yahoo! Music Jukebox 2.2.2.058 より前のバージョン

      この問題は、Yahoo! が提供する修正済みのバージョンに Yahoo! Music
      Jukebox を更新することで解決します。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#340860
      Yahoo! Music Jukebox Yahoo! MediaGrid ActiveX コントロールにおけるバッファオーバーフローの脆弱性
      http://jvn.jp/cert/JVNVU%23340860/index.html

      Japan Vulnerability Notes JVNVU#101676
      Yahoo! Music Jukebox YMP Datagrid ActiveX コントロールにおけるバッファオーバーフローの脆弱性
      http://jvn.jp/cert/JVNVU%23101676/index.html

    関連文書 (英語)
      Yahoo! Troubleshooting and FAQs
      Yahoo! Music Jukebox Security Update
      http://help.yahoo.com/l/us/yahoo/music/jukebox/troubleshoot/securityupdate.html

【5】PC2M にクロスサイトスクリプティングの脆弱性

    情報源
      JP Vendor Status Notes JVN#38893575
      PC2M におけるクロスサイトスクリプティングの脆弱性
      http://jvn.jp/jp/JVN%2338893575/index.html

    概要
      携帯電話端末のブラウザ向けに Web ページや画像などを閲覧できるよう
      に変換するソフトウェアである PC2M には、クロスサイトスクリプティ
      ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
      ザ上で任意のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - PC2M 0.9.22.4 およびそれ以前

      この問題は、配布元が提供する修正済みのバージョン 0.9.22.5 に 
      PC2M を更新することで解決します。詳細については、配布元が提供す
      る情報を参照してください。

    関連文書 (日本語)
      Under Construction, Baby
      バージョン0.9.22.4及びそれ以前のPC2Mにおけるクロスサイトスクリプティング脆弱性について
      http://www.rcdtokyo.com/pc2m/note/archives/i000854.php


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○インターネットセキュリティの歴史 第13回 「プロバイダ責任制限法」

      2001年11月30日、「特定電気通信役務提供者の損害賠償責任の制限及び
      発信者情報の開示に関する法律 (プロバイダ責任制限法) 」が公布され、
      2002年5月27日から施行されました。

      この法律は、特定電気通信 (インターネット) による情報の流通によっ
      て権利の侵害があった場合について、(1) 特定電気通信役務提供者 (プ
      ロバイダ等) の損害賠償責任の制限、および (2) 発信者情報の開示を
      請求する権利、の 2点について定めています。

      また、社団法人テレコムサービス協会内に設置された「プロバイダ責任
      制限法ガイドライン等検討協議会」により、「プロバイダ責任制限法 
      発信者情報開示関係ガイドライン」が公表されています。

    参考文献 (日本語)
      総務省
      特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の概要
      http://www.soumu.go.jp/joho_tsusin/top/denki_h.html

      総務省
      特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の図解
      http://www.soumu.go.jp/joho_tsusin/top/pdf/zukai.pdf

      社団法人 テレコムサービス協会
      プロバイダ責任制限法 発信者情報開示関係ガイドライン
      http://www.telesa.or.jp/consortium/provider/pdf/provider_070226_guideline.pdf


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        http://www.jpcert.or.jp/form/

以上。
__________

2008 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQCVAwUBR7OZpYx1ay4slNTtAQi6IgQAzpD4gvlzTXF07YGAqZaulc1iJfOkKewu
r7JwOTf2etx+BOmAlaHyqa/FKG3SjyA/7QABIPnZDGW07ZxuURU+XWlqDuxUDC/u
Dz5Mp35wgXmTGq6aa/2USr7/T/rYhkLLlmmshMYCgz6ATT4aR37M86nYMhcU3bd+
7qqSr+/5RQc=
=IMJy
-----END PGP SIGNATURE-----