-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-1101 JPCERT/CC 2006-03-23 <<< JPCERT/CC REPORT 2006-03-23 >>> これは JPCERT/CC が 3/12(日) から 3/18(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Microsoft Office の複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-073A Microsoft Office and Excel Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-073A.html US-CERT Cyber Security Alert SA06-073A Microsoft Office and Excel Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-073A.html US-CERT Vulnerability Note VU#339878 Microsoft Excel malformed parsing format file memory corruption vulnerability http://www.kb.cert.org/vuls/id/339878 US-CERT Vulnerability Note VU#104302 Microsoft Excel malformed record memory corruption vulnerability http://www.kb.cert.org/vuls/id/104302 US-CERT Vulnerability Note VU#123222 Microsoft Excel malformed graphic memory corruption vulnerability http://www.kb.cert.org/vuls/id/123222 US-CERT Vulnerability Note VU#235774 Microsoft Excel malformed description memory corruption vulnerability http://www.kb.cert.org/vuls/id/235774 US-CERT Vulnerability Note VU#642428 Microsoft Excel fails to properly perform range validation when parsing document files http://www.kb.cert.org/vuls/id/642428 US-CERT Vulnerability Note VU#682820 Microsoft Office routing slip buffer overflow http://www.kb.cert.org/vuls/id/682820 CIAC Bulletin Q-145 Vulnerabilities in Microsoft Office http://www.ciac.org/ciac/bulletins/q-145.shtml Microsoft Office (Windows 版および MacOS X 版) には、バッファオーバー フローなどの複数の脆弱性があります。結果として、遠隔から第三者がログオ ンしているユーザの権限を取得するなどの影響を受ける可能性があります。対 象となる製品およびバージョンの詳細については上記文書および下記関連文書 をご参照ください。 この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ とで解決します。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-073A Microsoft Excel を含む Microsoft Office 製品群に複数の脆弱性 http://jvn.jp/cert/JVNTA06-073A/ 2006 年 3 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-mar.mspx マイクロソフト セキュリティ情報 Microsoft Office の脆弱性により、リモートでコードが実行される (905413) (MS06-012) http://www.microsoft.com/japan/technet/security/bulletin/ms06-012.mspx [2] Adobe Macromedia Flash 製品に複数の脆弱性 US-CERT Technical Cyber Security Alert TA06-075A Adobe Macromedia Flash Products Contain Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-075A.html US-CERT Cyber Security Alert SA06-075A Adobe Macromedia Flash Products Contain Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-075A.html US-CERT Vulnerability Note VU#945060 Adobe Flash products contain multiple vulnerabilities http://www.kb.cert.org/vuls/id/945060 CIAC Bulletin Q-147 Macromedia Flash Player Update to Address Security Vulnerabilities http://www.ciac.org/ciac/bulletins/q-147.shtml Adobe Macromedia Flash 製品のいくつかには、Flash (SWF) ファイルの処理 に複数の脆弱性があります。結果として、遠隔から第三者が Flash ファイル を経由して、Flash 製品 (ソフトウェア) を実行しているユーザの権限を取得 する可能性があります。対象となる製品およびバージョンの詳細は上記文書お よび下記関連文書を参照してください。 この問題は、Adobe が提供する修正済みのバージョンに更新することで解決し ます。詳細については下記関連文書を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2006-03-17 Adobe Flash Player の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060002.txt JP Vendor Status Notes JVNTA06-075A Adobe Macromedia Flash を含む製品に任意のコードを実行される脆弱性 http://jvn.jp/cert/JVNTA06-075A/ Macromedia セキュリティ速報 APSB06-03 Flash Player 脆弱性を解決するアップデート http://www.macromedia.com/jp/devnet/security/security_zone/apsb06-03.html Macromedia Shockwave と Flash Playerのテスト http://www.macromedia.com/jp/shockwave/welcome/ マイクロソフト セキュリティ アドバイザリ (916208) Adobe Security Bulletin: APSB06-03 セキュリティの脆弱性を解決するための Flash Player の更新 http://www.microsoft.com/japan/technet/security/advisory/916208.mspx Mozilla Japan ナレッジベース Flash Player の更新に関する注意喚起 http://www.mozilla-japan.org/kb/solution/2092 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0268-5 Critical: flash-plugin security update https://rhn.redhat.com/errata/RHSA-2006-0268.html [3] Microsoft Windows に権限昇格の脆弱性 CIAC Bulletin Q-146 Permissive Windows Services DACLs http://www.ciac.org/ciac/bulletins/q-146.shtml Microsoft Windows には脆弱性があります。結果として、ローカルユーザが管 理者権限を取得する可能性があります。対象となるのは以下の製品 (バージョン) です。 - Microsoft Windows XP Service Pack 1 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 for Itanium-based この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ とで解決します。 関連文書 (日本語) 2006 年 3 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-mar.mspx マイクロソフト セキュリティ情報 制限の少ない Windows サービスの DACL により、特権が昇格される (914798) (MS06-011) http://www.microsoft.com/japan/technet/security/bulletin/ms06-011.mspx [4] JVN (JP Vendor Status Notes) アンケート再開のお知らせ http://jvn.jp/nav/enq.html JVN (JP Vendor Status Notes) は JPCERT/CC と IPA (独立行政法人情報処理 推進機構) が共同運営する、日本国内の製品開発者の脆弱性対応状況を公開す るサイトです。 3月23日(木) より JVN の利用状況や内容についてのアンケートを再開いたし ます。 より分かり易く充実した情報提供のため、JVN をご利用される皆様のご意見・ ご要望を伺い、皆様のお役に立つものとなるようコンテンツの改善に努めて参 りたいと存じます。是非ともご協力のほどお願いいたします。 本アンケートは、当初 2月 8日〜 2月 20日まで実施し、さらに期間を延長し て引き続き実施させていただく予定でおりました。しかしながら、アンケート システムの脆弱性への対応、およびアンケートシステム全体に関する安全確認 作業を行うため、2月 20日よりアンケートを中断させていただいておりました。 このたびアンケートシステム全体の安全が確認されましたので、改めましてア ンケートを再開いたします。 ※ アンケートの受付および集計等は株式会社イプシ・マーケティング研究所 (http://www.ipse-m.com/) に作業を委託し、同社の Webアンケートシステ ムを用いて実施いたします。 - アンケート URL : http://jvn.jp/nav/enq.html - アンケート期間 : 2006年3月23日(木) 〜2006年3月27日(月) 15:00 まで - ご回答者の中から抽選で 30名様に「JPCERT/CC ロゴ入り スキミング防止 カード」をお送りします。 [今週の一口メモ] * インターネット上で公開されているソフトウェアに注意 多くの有用な有償/無償のソフトウェアがインターネット上で公開されていま す。パッケージ販売されている商用ソフトウェアだけでは要求を満たせない場 合、必要に応じてこのようなソフトウェアを探してインストールすることで、 コンピュータ上での作業効率を高めることができます。 しかしながら、インターネット上で公開されているソフトウェアの一部には、 ユーザには分からないような形で不審な動作をするようプログラムされている ものがあり、そのようなソフトウェアをインストールすることで、予期せぬイ ンシデント (情報漏えいなど) が発生する場合があります。 インターネット上で公開されているソフトウェアをインストールする際には、 そのソフトウェアが自分にとって本当に必要なものかどうかを慎重に検討し、 そのソフトウェア自体の信頼性や配布元の信頼性についても充分に調査・確認 することをお勧めします。 また、業務で使用する PC にインストールする場合には、PC の管理者などに 必ず相談することを強くお勧めします。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRCIFFIx1ay4slNTtAQEHUwQAhRSgD/g2/u0AurNvDa0+xK6cwO+R1IiP cm+smlKGwFrSUiON7nY8d7qGfU1tYmE9BjvlCUmp+ny1BAx/b9DedNCeNgrP+SX6 B8T2ivBI+esu3yJBuwCfF5vPO6nCfYiXl5ObyIFk8sK1TeBbChFh0Q86npgGI7xM jwUk4sjHYws= =B3zH -----END PGP SIGNATURE-----