-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2006-0801
                                                               JPCERT/CC
                                                              2006-03-01

                 <<< JPCERT/CC REPORT 2006-03-01 >>>

これは JPCERT/CC が 2/19(日) から 2/25(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Apple Mac OS X Safari の脆弱性

    US-CERT Technical Cyber Security Alert TA06-053A
    Apple Mac OS X Safari Command Execution Vulnerability
    http://www.us-cert.gov/cas/techalerts/TA06-053A.html

    US-CERT Cyber Security Alert SA06-053A
    Apple Mac OS X Safari Command Execution Vulnerability
    http://www.us-cert.gov/cas/alerts/SA06-053A.html

    US-CERT Vulnerability Note VU#999708
    Apple Safari automatically executes arbitrary shell commands or code
    http://www.kb.cert.org/vuls/id/999708

Apple MacOS X の Safari には、ダウンロードしたファイルに含まれているシェ
ルスクリプトを自動的に実行してしまう脆弱性があります。結果として、遠隔
から第三者がファイルを経由をして、Safari を実行しているユーザの権限を
取得する可能性があります。

この問題を解決するための方法が Apple から提供されるまでの一時的な回避
策としては、Safari の「環境設定」の「一般」において、「ダウンロード後、
"安全な"ファイルを開く」のチェックを外すなどの方法があります。

  関連文書 (日本語)
    JP Vendor Status Notes JVNTA06-053A
    Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性
    http://jvn.jp/cert/JVNTA06-053A/



[今週の一口メモ]

* 検疫ネットワーク

ノート PC などの外部から持ち込んだパソコンを社内 LAN に接続する際に、
まずその持ち込んだパソコンがウィルスやワームなどに感染していないか検査
するための隔離された専用ネットワーク、いわゆる「検疫ネットワーク」に強
制的に接続するようにシステムを構築することを強くお勧めします。

一般的に、この「検疫ネットワーク」は、社内 LAN から隔離されたネットワー
クで、ウィルスやワームなどへの感染の有無を確認するだけでなく、OS のパッ
チが適用されているか、ウィルス検知ソフトのパターンファイルが最新の状態
になっているかなどの検査を行ない、検査を全てパスした場合にのみ社内 LAN 
への接続を許可するように設定します。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRAT5Mox1ay4slNTtAQE+XgQAg75ud+iZWD/DOp9vN4JqWygtveppsyMK
sG3g7E+oectVh9uCa7us+MGuXWdHSlyZu5zyUYJnw1fj7tugtEddhXefH2q+dv0p
Ono7zAsb/DGAWjxZfQtD97NbsLYctVITE0xNHDrDz11ZIbTIxXHuclK9JDTKBlO2
XgDVETdt9jQ=
=aEbj
-----END PGP SIGNATURE-----