-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-0901 JPCERT/CC 2006-03-08 <<< JPCERT/CC REPORT 2006-03-08 >>> これは JPCERT/CC が 2/26(日) から 3/4(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Apple Mac OS X Safari に複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-062A Apple Mac Products are Affected by Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-062A.html US-CERT Cyber Security Alert SA06-062A Apple Mac Products are Affected by Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-062A.html US-CERT Vulnerability Note VU#999708 Apple Safari automatically executes arbitrary shell commands or code http://www.kb.cert.org/vuls/id/999708 US-CERT Vulnerability Note VU#351217 Apple Safari WebKit component vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/351217 US-CERT Vulnerability Note VU#176732 Apple Safari vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/176732 CIAC Bulletin Q-138 Apple Security Update 2006-001 http://www.ciac.org/ciac/bulletins/q-138.shtml Apple Mac OS X の Safari にはバッファオーバーフローなどの複数の脆弱性 があります。結果として、遠隔から第三者が Web ページなどを経由してログ インしているユーザの権限を取得するなどの影響を受ける可能性があります。 この問題は、Apple が提供する修正済みのソフトウェアに更新することで解決 します。 なお、JPCERT/CC REPORT 2006-03-01号の [1] でも紹介した、Apple Mac OS X Safari の脆弱性に対する修正も含まれます。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-062A Apple 社の Mac 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA06-062A/ JPCERT/CC REPORT 2006-03-01号 [1] http://www.jpcert.or.jp/wr/2006/wr060801.txt JP Vendor Status Notes JVNTA06-053A Mac OS X の Web ブラウザ Safari に任意のコード実行の脆弱性 http://jvn.jp/cert/JVNTA06-053A/ Security Update 2006-001 について http://www.info.apple.com/kbnum/n303382-ja 関連文書 (英語) US-CERT Technical Cyber Security Alert TA06-053A Apple Mac OS X Safari Command Execution Vulnerability http://www.us-cert.gov/cas/techalerts/TA06-053A.html [2] Sun Solaris hsfs ファイルシステムの脆弱性 CIAC Bulletin Q-133 Security Vulnerability in the hsfs(7FS) File System http://www.ciac.org/ciac/bulletins/q-133.shtml Sun Solaris 8、9 および 10 の hsfs ファイルシステムには脆弱性があります。 結果として、ローカルユーザが root 権限を取得する可能性があります。この 問題は、Sun が提供するパッチを適用することで解決します。 関連文書 (英語) Sun Alert Notification 102161 Solaris 9 Operating System, Solaris 10 Operating System, Solaris 8 Operating System http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102161-1 [3] Metamail のバッファオーバーフローの脆弱性 CIAC Bulletin Q-134 Metamail Security Update http://www.ciac.org/ciac/bulletins/q-134.shtml Metamail には、メールメッセージの処理にバッファオーバーフローの脆弱性 があります。結果として、遠隔から第三者が Metamail を実行しているユーザ の権限で任意のコードを実行する可能性があります。この問題は、使用してい る OS のベンダや配布元が提供する修正済みのパッケージに Metamail を更新 することで解決します。 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0217-4 Important: metamail security update https://rhn.redhat.com/errata/RHSA-2006-0217.html [今週の一口メモ] * キーロガーによる情報の盗用に注意 ユーザのキーボードやマウスなどの操作全てを記録する、いわゆるキーロガー と呼ばれる技術があり、情報の盗用に使われることがあります。キーロガーに は、ソフトウェアによるものの他にハードウェアによるものも存在します。 キーロガーによって重要な情報を盗用されることを防ぐために、お使いの PC にキーロガーが組み込まれていないかどうかを定期的に確認することをお勧め します。特に、インターネットカフェなど公共の場に置かれている PC を利用 する際は、キーロガーが組み込まれている可能性を考慮するよう強くお勧めし ます。 参考文献 (日本語) JPCERT/CC Alert 2004-06-17 キーボード入力などを記録し外部に送信するプログラムに関する注意喚起 http://www.jpcert.or.jp/at/2004/at040008.txt [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRA4bDox1ay4slNTtAQGj2AQAgU1latY3Q9jCboNjx6UDDl4UJLWVO6tx i2Qs8M8hPcDIxVhVwmEqqVsuiVVvCcyP1aqBpik3KFKf9UFYUP4luSiVVi0qsR1n zeSA2niRAIqmOPn+VNc2Fz4rEoLSkn03tBRQfsbmbj0Pr8qZFFHjJx7xKkbSpAFM a3vFwlhFgpY= =NxQ6 -----END PGP SIGNATURE-----