-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-2801
                                                               JPCERT/CC
                                                              2004-07-22

                 <<< JPCERT/CC REPORT 2004-07-22 >>>

これは JPCERT/CC が 7/11(日) から 7/17(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Windows および Outlook Express などに含まれる脆弱性

    US-CERT Technical Cyber Security Alert TA04-196A
    Multiple Vulnerabilities in Microsoft Windows Components and Outlook Express
    http://www.us-cert.gov/cas/techalerts/TA04-196A.html

    US-CERT Cyber Security Alert SA04-196A
    Multiple Vulnerabilities in Microsoft Windows Components and Outlook Express
    http://www.us-cert.gov/cas/alerts/SA04-196A.html

    CIAC Bulletin O-178
    Vulnerability in Task Scheduler Could Allow Code Execution
    http://www.ciac.org/ciac/bulletins/o-178.shtml

    CIAC Bulletin O-179
    Microsoft Update for IIS 4.0 (841373)
    http://www.ciac.org/ciac/bulletins/o-179.shtml

    CIAC Bulletin O-180
    Microsoft Utility Manager Vulnerability
    http://www.ciac.org/ciac/bulletins/o-180.shtml

    CIAC Bulletin O-181
    Microsoft Vulnerability in POSIX Could Allow Code Execution
    http://www.ciac.org/ciac/bulletins/o-181.shtml

    CIAC Bulletin O-182
    Microsoft Vulnerability in HTML Help Could Allow Code Execution
    http://www.ciac.org/ciac/bulletins/o-182.shtml

    CIAC Bulletin O-183
    Microsoft Vulnerability in Windows Shell Could Allow Remote Code Execution
    http://www.ciac.org/ciac/bulletins/o-183.shtml

Microsoft Windows、Outlook Express および Internet Information Server
4.0 には、バッファオーバーフローなどの脆弱性があります。結果として、遠
隔から第三者がユーザの権限や管理者権限を取得する可能性があります。対象
となるバージョンについては、上記文書や下記関連文書を参照してください。

この問題は、Microsoft が提供する修正プログラムを適用することで解決しま
す。Windows Update を実行することを強くお勧めします。

  関連文書 (日本語)
    JP Vendor Status Notes JVNTA04-196A
    Microsoft Windows Components および Outlook Express に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-196A.html

    マイクロソフト セキュリティ情報
    Outlook Express 用の累積的なセキュリティ更新プログラム (823353) (MS04-018)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-018.asp

    マイクロソフト セキュリティ情報
    ユーティリティ マネージャの脆弱性により、コードが実行される (842526) (MS04-019)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-019.asp

    マイクロソフト セキュリティ情報
    POSIX の脆弱性により、コードが実行される (841872) (MS04-020)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-020.asp

    マイクロソフト セキュリティ情報
    Internet Information Server 4.0 のセキュリティ更新プログラム(841373) (MS04-021)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-021.asp

    マイクロソフト セキュリティ情報
    タスク スケジューラの脆弱性により、コードが実行される (841873) (MS04-022)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-022.asp

    マイクロソフト セキュリティ情報
    HTML ヘルプの脆弱性により、コードが実行される (840315) (MS04-023)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-023.asp

    マイクロソフト セキュリティ情報
    Windows シェルの脆弱性により、リモートでコードが実行される (839645) (MS04-024)
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-024.asp

    独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
    IIS 4.0 の重要な脆弱性（MS04-021）について
    http://www.ipa.go.jp/security/ciadr/vul/20040714-ms04-021.html

    独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
    Windows タスクスケジューラの脆弱性 (MS04-022) について
    http://www.ipa.go.jp/security/ciadr/vul/20040714-ms04-022.html

    独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
    Windows showHelp および HTMLヘルプの脆弱性（MS04-023）について
    http://www.ipa.go.jp/security/ciadr/vul/20040714-ms04-023.html


[2] Windows 版 Mozilla の shell: プロトコルの処理に含まれる脆弱性

    CIAC Bulletin O-175
    'shell:' Protocol Security Issue
    http://www.ciac.org/ciac/bulletins/o-175.shtml

    US-CERT Vulnerability Note VU#927014
    Mozilla fails to restrict access to the "shell:" URI handler
    http://www.kb.cert.org/vuls/id/927014

Microsoft Windows 版の Mozilla には、shell: 形式の URI の処理に脆弱性
があります。結果として、遠隔から第三者が Mozilla を実行しているユーザ
の権限を取得する可能性があります。対象となるのは以下のバージョンのソフ
トウェアです。

  - Mozilla バージョン 1.7.0 およびそれ以前
  - Firefox バージョン 0.9.1 およびそれ以前
  - Thunderbird バージョン 0.7.1 およびそれ以前

なお、Microsoft Windows 版以外の Mozilla にはこの問題が存在しないこと
が報告されています。

この問題は、Mozilla Project が公開しているパッチをインストールする、ま
たは以下のバージョンに更新することで解決します。

  - Mozilla バージョン 1.7.1 (またはそれ以降)
  - Firefox バージョン 0.9.2 (またはそれ以降)
  - Thunderbird バージョン 0.7.2 (またはそれ以降)

またパッチのインストールが困難または不可能な場合の回避策としては、以下
のような手順で shell: プロトコルハンドラを無効にする方法があります。

  1. URL として about:config を指定
  2. 表示ウィンドウ内でマウス右ボタンクリックして、「新規/New」から
     「論理/Boolean」を選択
  3. 「設定名を入力/New boolean value」のダイアログボックスに対して
     network.protocol-handler.external.shell を入力して OK を選択
  4. 次に表示されたダイアログボックスに false を入力して OK を選択

  関連文書 (日本語)
    もじら組 和訳プロジェクト
    shell: プロトコルのセキュリティ問題について Mozilla ユーザが知っておくべきこと
    http://jt.mozilla.gr.jp/security/shell.html


[3] ISC DHCP 3 に含まれる脆弱性に関する追加情報

    CIAC Bulletin O-177
    Multiple Vulnerabilities in ISC DHCP 3
    http://www.ciac.org/ciac/bulletins/o-177.shtml

JPCERT/CC REPORT 2004-06-30号の [1] でも紹介した、ISC DHCP 3 に含まれ
る脆弱性に関する追加情報です。

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-06-30号 [1]
    http://www.jpcert.or.jp/wr/2004/wr042501.txt

    JP Vendor Status Note - CERT/CC - JVNTA04-174A
    ISC DHCP 3 に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-174A.html


[4] JPNIC・JPCERT/CCセキュリティセミナー2004 開催のお知らせ

    JPNIC・JPCERT/CC Security Seminar 2004
    http://www.nic.ad.jp/security-seminar/

昨年度から社団法人日本ネットワークインフォメーションセンター (JPNIC) 
と共催で行なっている「JPNIC・JPCERT/CC Security Seminar」が、今年度は 
9月から開催されます。今回は昨年度と異なり、オペレータ初心者向けに基礎
知識を学んでいただく「For Beginners」コースと、オペレータ中級者以上向
けに踏み込んだ内容を学んでいただく「For Advanced」コースの 2つを用意し
ました。

プログラムの日程、会場、内容、参加費および参加申込方法の詳細については、
上記 Web ページをご参照ください。

  関連文書 (日本語)
    社団法人日本ネットワークインフォメーションセンター (JPNIC)
    http://www.nic.ad.jp/



[今週の一口メモ]

* プライバシー保護のために

個人名や電子メールアドレスなどの個人情報を Web サイトの入力フォームな
どを通じてネットワーク上に流す場合には、最低限以下の項目に注意する必要
があります。

  - 情報がどのように扱われるのか、情報を受け取る側が提供しているプライ
    バシーポリシーなどを事前に読んで確認しておく。

  - 通信経路が暗号化されているかどうかを確認する。Web (の入力フォーム) 
    の場合は URL が http:// ではなく、https:// であることを確認する。

  - 情報を受け取る側が、本当にユーザの想定しているサイトであるかどうか
    を確認する。例えば相手のドメイン名が想定しているものであることを確
    認する、https:// で提供されている Web サイトの場合は証明書の内容を
    確認する、など。

更に以下の項目にも注意することが推奨されます。

  - 情報を受け取る側が信頼できる企業、団体かどうかを世の中の評価、評判
    などから確認、判断する。

  - 電子メールアドレスを登録する場合は、SPAM メールの送付先に使われる
    可能性があるので、オンライン登録用のアドレスを別に用意する。

  - クレジットカード番号を入力する場合は、オンライン専用のクレジットカー
    ドを別途用意し、利用可能金額を最低限の額に制限しておく。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST04-013
    Protecting Your Privacy
    http://www.us-cert.gov/cas/tips/ST04-013.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQP8Yzox1ay4slNTtAQFBbAP+J38jojgqFMfZP3Az+mbOK19/DyXwPR+t
aJbERt1mSqvhDiiLfGRK2MSxxmxFkpdBwPkZ31NGYiQubQc3Piy42Xxn+2bpdxp7
Yi+ehRdd93phUsyl437UuUQSNIG9/2zd2t3Gx+oBnUBfKSNWp2C6Lolqwvu+p5gw
HDFAPhtO3q4=
=8G25
-----END PGP SIGNATURE-----