-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-3201
                                                               JPCERT/CC
                                                              2004-08-18

                 <<< JPCERT/CC REPORT 2004-08-18 >>>

これは JPCERT/CC が 8/8(日) から 8/14(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Exchange Server 5.5 Outlook Web Access の脆弱性

    CIAC Bulletin O-197
    Microsoft Exchange Server 5.5 Outlook Web Access Vulnerability
    http://www.ciac.org/ciac/bulletins/o-197.shtml

Microsoft Exchange Server 5.5 の Outlook Web Access コンポネントには、
クロスサイトスクリプティングの脆弱性とキャッシュデータを偽造されてしま
う脆弱性があります。結果として、第三者が Web ブラウザを実行しているユー
ザの権限を取得したり、ユーザの Web ブラウザに対して偽造したキャッシュ
データを返したりする可能性があります。

この問題は、Microsoft が提供する修正プログラムを適用することで解決しま
す。

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    Exchange Server 5.5 Outlook Web Access の脆弱性により、クロスサイト スクリプティングと詐称による攻撃が実行される (842436) (MS04-026)
    http://www.microsoft.com/japan/technet/security/bulletin/ms04-026.asp


[2] libpng の脆弱性に関する追加情報

JPCERT/CC REPORT 2004-08-11号の [1] でも紹介した、libpng の脆弱性に関
する追加情報です。

    Turbolinux Security Advisory TLSA-2004-19
    libpng に複数の弱点
    http://www.turbolinux.co.jp/security/2004/TLSA-2004-19j.txt

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-08-11号 [1]
    http://www.jpcert.or.jp/wr/2004/wr043101.txt

    JPCERT/CC Alert 2004-08-05
    libpng に複数の脆弱性
    http://www.jpcert.or.jp/at/2004/at040010.txt

    JP Vendor Status Note JVNTA04-217A
    libpng に複数の脆弱性
    http://jvn.jp/cert/JVNTA04-217A.html


[3] インターネット定点観測システム公開グラフ更新頻度変更

    JPCERT/CC インターネット定点観測システム
    http://www.jpcert.or.jp/isdas/

インターネット定点観測システム (ISDAS) 公開グラフの更新頻度を、これま
での 1日1回から 1時間1回 (毎時15分頃) に変更しました。

今回の更新頻度の変更により、これまでより即時性の高い情報を提供できるよ
うになりましたが、更なる提供内容の品質向上については現在検討および準備
を進めています。



[今週の一口メモ]

* Web phishing (Web 偽装詐欺) その2

Web phishing の被害を受けないためには、対象となる Web サイトのドメイン
名が本当にその組織のものであるかをインターネット以外の方法で入手した情
報を元に確認する必要があります。しかし、たとえドメイン名 (の文字列) が
正しいものであったとしても、Web ブラウザの脆弱性のために、詐称された 
URL が表示されてしまう場合があります。使用している Web ブラウザにその
ような脆弱性が存在していないかどうかを確認し、脆弱性が存在する場合は、
パッチを適用したり、回避策を講じたりすることを強くお勧めします。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST04-014
    Avoiding Social Engineering and Phishing Attacks
    http://www.us-cert.gov/cas/tips/ST04-014.html

  参考文献 (日本語)
    JPCERT/CC REPORT 2004-08-11号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr043101.txt

    JPCERT/CC REPORT 2004-07-22号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr042801.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQSKqhYx1ay4slNTtAQEo+gP/bdVUXUuTXxYK7u1+aCG2oM4Sw/F1UNu9
IWyL1B7g5fC3t065cQeHb88GzwZlBO7EFmBnPWZiuji3LYrQqKHHQPKskoYs9VYW
WaUQgGBqXNwUscOjlqDTJYUbjUuM693eYtzmRyuKafiFUZLzFJIFAmdNSJadIy8Z
aMKL+RDVat0=
=g3Df
-----END PGP SIGNATURE-----