-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-1501 JPCERT/CC 2006-04-19 <<< JPCERT/CC REPORT 2006-04-19 >>> ―――――――――――――――――――――――――――――――――――――― ■04/09(日)〜04/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】アプリケーションへのパッチの適用について 【2】Microsoft 製品の脆弱性 【3】Mozilla 製品に複数の脆弱性 【4】QUICK CART の脆弱性 【5】第3回迷惑メール対策カンファレンスのお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ============================================================================= 【1】アプリケーションへのパッチの適用について 情報源 CIAC Bulletin Q-169 Application Patches http://www.ciac.org/ciac/bulletins/q-169.shtml 概要 アプリケーションの脆弱性に対処するパッチは、適用が後回しにされた り無視されたりすることが多いために、第三者が、そのようなアプリケー ションをターゲットに、添付ファイル付きメールなどの手段で信用でき るファイルを装い、コンピュータに悪影響を及ぼす可能性のあるファイ ルを配布する例が多くなっています。結果として、遠隔から第三者が一 般ユーザまたは管理者の権限を取得する可能性があります。 これらの被害を防ぐためには、ターゲットになりうるアプリケーション をリストアップして定期的に更新し、必要なパッチを適用します。また、 知らない人からのメールに添付されたファイルや、メールを受け取る予 定のない相手から送られたメールの添付ファイル、受け取る予定のない 添付ファイルを不用意に開かないよう、ユーザに啓発してください。 【2】Microsoft 製品の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA06-101A Microsoft Windows and Internet Explorer Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-101A.html US-CERT Cyber Security Alert SA06-101A Microsoft Windows and Internet Explorer Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-101A.html US-CERT Vulnerability Note VU#876678 Microsoft Internet Explorer createTextRange() vulnerability http://www.kb.cert.org/vuls/id/876678 US-CERT Vulnerability Note VU#984473 Microsoft Internet Explorer contains overflow in processing script action handlers http://www.kb.cert.org/vuls/id/984473 US-CERT Vulnerability Note VU#434641 Microsoft Internet Explorer may automatically execute HTA files http://www.kb.cert.org/vuls/id/434641 US-CERT Vulnerability Note VU#503124 Microsoft Internet Explorer fails to handle specially crafted, invalid HTML http://www.kb.cert.org/vuls/id/503124 US-CERT Vulnerability Note VU#959049 Multiple COM objects cause memory corruption in Microsoft Internet Explorer http://www.kb.cert.org/vuls/id/959049 US-CERT Vulnerability Note VU#824324 Microsoft Internet Explorer fails to properly handle HTML elements with a specially crafted tag http://www.kb.cert.org/vuls/id/824324 US-CERT Vulnerability Note VU#341028 Microsoft Internet Explorer fails to properly handle double-byte characters in specially crafted URLs http://www.kb.cert.org/vuls/id/341028 US-CERT Vulnerability Note VU#234812 Microsoft Windows fails to properly handle RDS.Dataspace ActiveX control in MDAC http://www.kb.cert.org/vuls/id/234812 US-CERT Vulnerability Note VU#641460 Microsoft Windows fails to properly handle COM objects http://www.kb.cert.org/vuls/id/641460 CIAC Bulletin Q-170 Cumulative Security Update for Internet Explorer http://www.ciac.org/ciac/bulletins/q-170.shtml CIAC Bulletin Q-171 Vulnerability in the Microsoft Data Access Components (MDAC) Function http://www.ciac.org/ciac/bulletins/q-171.shtml CIAC Bulletin Q-172 Vulnerability in Windows Explorer http://www.ciac.org/ciac/bulletins/q-172.shtml CIAC Bulletin Q-173 Security Update for Outlook Express (911567) http://www.ciac.org/ciac/bulletins/q-173.shtml CIAC Bulletin Q-174 Vulnerability in Microsoft FrontPage Server Extensions http://www.ciac.org/ciac/bulletins/q-174.shtml 概要 Microsoft 製品のいくつかには、バッファオーバーフローをはじめとし た複数の脆弱性があります。結果として、遠隔から第三者が、ログオン しているユーザの権限を取得するなどの様々な影響を受ける可能性があ ります。 この問題は、Microsoft が提供するセキュリティ更新プログラムを適用 することで解決します。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-101A Microsoft Windows と Internet Explorer に関する脆弱性 http://jvn.jp/cert/JVNTA06-101A/ 2006 年 4 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-apr.mspx マイクロソフト セキュリティ情報 Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-013.mspx マイクロソフト セキュリティ情報 Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx マイクロソフト セキュリティ情報 Windows エクスプローラの脆弱性により、リモートでコードが実行される (908531) (MS06-015) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-015.mspx マイクロソフト セキュリティ情報 Outlook Express 用の累積的なセキュリティ更新プログラム (911567) (MS06-016) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-016.mspx マイクロソフト セキュリティ情報 Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる (917627) (MS06-017) http://www.microsoft.com/japan/technet/security/Bulletin/MS06-017.mspx 【3】Mozilla 製品に複数の脆弱性 情報源 CIAC Bulletin Q-176 Firefox Security Update http://www.ciac.org/ciac/bulletins/q-176.shtml 概要 Mozilla 製品のいくつかには、JavaScript の処理の不具合に起因する 脆弱性、およびセキュリティサイトの表示方法にかかわる脆弱性など複 数の脆弱性があります。結果として、遠隔から第三者が該当するアプリ ケーションを実行しているユーザの権限を取得したり、機密情報が第三 者に漏洩したりする可能性があります。対象となるのは以下のバージョ ンです。 - Firefox 1.5 シリーズのバージョン 1.5.0.1 およびそれ以前 - Firefox 1.0 シリーズのバージョン 1.0.7 およびそれ以前 - Thunderbird 1.5 シリーズのバージョン 1.5.0.1 およびそれ以前 - Thunderbird 1.0 シリーズのバージョン 1.0.7 およびそれ以前 - Mozilla Suite バージョン 1.7.12 およびそれ以前 - SeaMonkey 1.0 この問題は、以下のバージョンに更新することで解決します。 - Firefox 1.5 シリーズのバージョン 1.5.0.2 (またはそれ以降) - Firefox 1.0 シリーズのバージョン 1.0.8 (またはそれ以降) - Thunderbird 1.5 シリーズのバージョン 1.5.0.2 (またはそれ以降) - Thunderbird 1.0 シリーズのバージョン 1.0.8 (またはそれ以降) - Mozilla Suite バージョン 1.7.13 (またはそれ以降) - SeaMonkey バージョン 1.0.1 (またはそれ以降) または使用している OS のベンダや配布元が提供している修正済みの パッケージに更新することで解決します。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-107A Mozilla 製品群に複数の脆弱性 http://jvn.jp/cert/JVNTA06-107A/ Mozilla Foundation セキュリティアドバイザリ 2006-09 イベントハンドラを使ったクロスサイト JavaScript インジェクション http://www.mozilla-japan.org/security/announce/2006/mfsa2006-09.html Mozilla Foundation セキュリティアドバイザリ 2006-10 JavaScript ガーベジコレクションの危険性監査 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-10.html Mozilla Foundation セキュリティアドバイザリ 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-11.html Mozilla Foundation セキュリティアドバイザリ 2006-12 安全なサイトの偽装 (セキュリティ警告ダイアログの表示あり) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-12.html Mozilla Foundation セキュリティアドバイザリ 2006-14 XBL.method.eval を通じた特権の拡大 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-14.html Mozilla Foundation セキュリティアドバイザリ 2006-15 JavaScript 関数のクローン親を使った特権の拡大 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-15.html Mozilla Foundation セキュリティアドバイザリ 2006-16 valueOf.call() を通じた XBL コンパイル範囲へのアクセス http://www.mozilla-japan.org/security/announce/2006/mfsa2006-16.html Mozilla Foundation セキュリティアドバイザリ 2006-17 window.controllers を通じたクロスサイトスクリプティング http://www.mozilla-japan.org/security/announce/2006/mfsa2006-17.html Mozilla Foundation セキュリティアドバイザリ 2006-18 Mozilla Firefox のタグの順序に関する脆弱性 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-18.html Mozilla Foundation セキュリティアドバイザリ 2006-19 valueOf.call() を使ったクロスサイトスクリプティング http://www.mozilla-japan.org/security/announce/2006/mfsa2006-19.html Mozilla Foundation セキュリティアドバイザリ 2006-20 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.2) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-20.html Mozilla Foundation セキュリティアドバイザリ 2006-22 CSS の letter-spacing に関するヒープオーバーフロー http://www.mozilla-japan.org/security/announce/2006/mfsa2006-22.html Mozilla Foundation セキュリティアドバイザリ 2006-23 input type の変更によるファイルの読み取り http://www.mozilla-japan.org/security/announce/2006/mfsa2006-23.html Mozilla Foundation セキュリティアドバイザリ 2006-24 crypto.generateCRMFRequest を使った特権の拡大 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-24.html Mozilla Foundation セキュリティアドバイザリ 2006-25 印刷プレビューを通じた特権の拡大 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-25.html Mozilla Foundation セキュリティアドバイザリ 2006-28 js_ValueToFunctionObject() のセキュリティチェックが回避可能 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-28.html 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0328-11 Critical: Firefox security update https://rhn.redhat.com/errata/RHSA-2006-0328.html 【4】QUICK CART の脆弱性 情報源 JP Vendor Status Notes JVN#10222000 QUICK CART における OS コマンドインジェクションの脆弱性 http://jvn.jp/jp/JVN%2310222000/ JP Vendor Status Notes JVN#68630618 QUICK CART におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2368630618/ 概要 ネットショップに必要な機能を含んだショッピングカートシステムであ る QUICK CART に、OS コマンドインジェクションおよびクロスサイト スクリプティングの脆弱性があります。結果として、QUICK CART を設 置したサーバ上で、遠隔から第三者が任意の OS コマンドを実行する可 能性があります。また、QUICK CART が使用されている Web ページにア クセスしたユーザのブラウザ上で、遠隔から第三者が任意のスクリプト を実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに QUICK CART を更新することで解決します。 関連文書 (日本語) クイック・ソリューション ニュースリリース QUICK CART におけるクロスサイトスクリプティングの脆弱性 http://www.quick-solution.com/news/000220.html 【5】第3回迷惑メール対策カンファレンスのお知らせ 情報源 IAjapan 第3回 迷惑メール対策カンファレンス http://www.iajapan.org/anti_spam/event/2006/conf0516/ 概要 5月16日 (火) コクヨホールにて、財団法人インターネット協会 (IAjapan) 主催で第3回迷惑メール対策カンファレンスが開催されます。 JPCERT/CC は本カンファレンスを後援しています。カンファレンスの詳 細については、上記 Web ページをご参照ください。 なお、今回は、参加にあたり事前にチケット (有料) の申し込みが必要 となります。参加申込の詳細は下記ページをご参照ください。 [申込サイト] http://www.iajapan.org/anti_spam/event/2006/conf0516/application.html 参加申込についてのお問い合わせは、財団法人インターネット協会 (IAjapan) 事務局までお願いします。 [電子メール] sec@iajapan.org ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○ユーザアカウントとメールアドレスの整理 年度が改まって 3週間が経とうとしています。不要になったユーザアカ ウントやメールアドレスが残っていないか、改めて確認することを強く お勧めします。また、不要になったメールアドレスが whois データベー スや自組織のウェブサイトを通して外部に公開されていないかどうか併 せて確認し、必要に応じてそれらの情報を更新しましょう。 さらに、この機会に各ユーザおよび管理者のパスワードの一斉変更、ア カウント管理ポリシーの見直しなども検討することをお勧めします。 参考文献 (日本語) JPCERT/CC REPORT 2004-04-21号 [今週の一口メモ] http://www.jpcert.or.jp/wr/2004/wr041601.txt JPCERT/CC REPORT 2006-03-29号 [今週の一口メモ] http://www.jpcert.or.jp/wr/2006/wr061201.txt JPCERT/CC REPORT 2006-04-05号 [今週の一口メモ] http://www.jpcert.or.jp/wr/2006/wr061301.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBREV3cIx1ay4slNTtAQFaawQAv9GZUbNCiTcj3pB7NaUTB0Bc3X3VAED1 20cvC8qC2EVt3TXIIiYDV7jc9Z29wzRZJlmZ+9Za3e5LVKdB9LjACOhI317ncwvu mfdyfxrn9MDU/WZNMP8TER6p2fNyOkuMtiKvYqj/+lLCde+o/sBB16bcvCg6ZhJE IqblT0n8O+o= =fv45 -----END PGP SIGNATURE-----