-----BEGIN PGP SIGNED MESSAGE-----

                                                         JPCERT-WR-2006-2101
                                                                   JPCERT/CC
                                                                  2006-06-07

                 <<< JPCERT/CC REPORT 2006-06-07 >>>

――――――――――――――――――――――――――――――――――――――
■05/28(日)〜06/03(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ===================================================================

【1】Microsoft HTML Help の危険性
【2】Mozilla 製品群に複数の脆弱性
【3】Mozilla Suite に複数の脆弱性
【4】AIX lsmcode に権限昇格の脆弱性

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/
=============================================================================


【1】Microsoft HTML Help の危険性

    情報源
      CIAC Bulletin Q-213
      The Hidden Dangers of Windows HTML Help (.chm) Files
      http://www.ciac.org/ciac/bulletins/q-213.shtml

    概要
      Microsoft HTML Help には、ユーザが意図しない実行ファイルを自動的
      に実行してしまう危険性があります。結果として、遠隔から第三者が 
      Microsoft HTML Help (.chm) ファイルを経由して、その .chm ファイ
      ルを開いたユーザの権限を取得する可能性があります。

      この問題を回避するには、メールに添付された、または外部サイトから
      ダウンロードした、信頼できない .chm ファイルを不用意に開かないよ
      うにするなどの方法があります。

    関連文書 (英語)
      Microsoft HTML Help 1.4 SDK
      http://msdn.microsoft.com/library/default.asp?url=/library/en-us/htmlhelp/html/vsconHH1Start.asp

【2】Mozilla 製品群に複数の脆弱性

    情報源
      US-CERT Technical Cyber Security Alert TA06-153A
      Mozilla Products Contain Multiple Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA06-153A.html

      US-CERT Cyber Security Alert SA06-153A
      Mozilla Products Contain Multiple Vulnerabilities
      http://www.us-cert.gov/cas/alerts/SA06-153A.html

      US-CERT Vulnerability Note VU#237257
      Mozilla privilege escalation using addSelectionListener
      http://www.kb.cert.org/vuls/id/237257

      US-CERT Vulnerability Note VU#421529
      Mozilla contains a buffer overflow vulnerability in crypto.signText()
      http://www.kb.cert.org/vuls/id/421529

      US-CERT Vulnerability Note VU#575969
      Mozilla may process content-defined setters on object prototypes with elevated privileges
      http://www.kb.cert.org/vuls/id/575969

      US-CERT Vulnerability Note VU#466673
      Mozilla contains multiple memory corruption vulnerabilities
      http://www.kb.cert.org/vuls/id/466673

      CIAC Bulletin Q-214
      Mozilla Vulnerabilities
      http://www.ciac.org/ciac/bulletins/q-214.shtml

    概要
      Mozilla 製品にはバッファオーバーフローなどの複数の脆弱性がありま
      す。結果として、遠隔から第三者が、該当する製品を実行しているユー
      ザの権限を取得する可能性があります。対象となるのは以下のバージョ
      ンです。

      - Mozilla Suite バージョン 1.7.13 およびそれ以前
      - Firefox バージョン 1.5.0.4 より前
      - Thunderbird 1.5.0.4 より前
      - SeaMonkey バージョン 1.0.2 より前

      この問題は、以下のバージョンに更新することで解決します。

      - Firefox バージョン 1.5.0.4 (またはそれ以降)
      - Thunderbird 1.5.0.4 (またはそれ以降)
      - SeaMonkey バージョン 1.0.2 (またはそれ以降)

      または使用している OS のベンダや配布元が提供している修正済みの
      パッケージに更新することで解決します。

      なお、Mozilla Suite についてはバージョン 1.7.13 が最終版であり、
      Mozilla Foundation から本脆弱性を修正したバージョンが公開される
      予定はありません。詳細については以下の文書をご参照ください。

      Mozilla Suite ユーザの皆様へ重要なお知らせ
      http://www.mozilla-japan.org/products/mozilla1.x/

    関連文書 (日本語)
      JP Vendor Status Notes JVNTA06-153A
      Mozilla 製品群に複数の脆弱性
      http://jvn.jp/cert/JVNTA06-153A/

      Mozilla Foundation セキュリティアドバイザリ 2006-43
      addSelectionListener を使った特権の昇格
      http://www.mozilla-japan.org/security/announce/2006/mfsa2006-43.html

      Mozilla Foundation セキュリティアドバイザリ 2006-38
      crypto.signText() 内でのバッファオーバーフロー
      http://www.mozilla-japan.org/security/announce/2006/mfsa2006-38.html

      Mozilla Foundation セキュリティアドバイザリ 2006-37
      オブジェクトのプロトタイプ上でのコンテンツ定義セッターを通じた情報漏えい
      http://www.mozilla-japan.org/security/announce/2006/mfsa2006-37.html

      Mozilla Foundation セキュリティアドバイザリ 2006-35
      XUL の persist 属性を利用した特権の昇格
      http://www.mozilla-japan.org/security/announce/2006/mfsa2006-35.html

      Mozilla Foundation セキュリティアドバイザリ 2006-32
      潜在的なメモリ破壊を伴うクラッシュの修正
      http://www.mozilla-japan.org/security/announce/2006/mfsa2006-32.html

【3】Mozilla Suite に複数の脆弱性

    情報源
      CIAC Bulletin Q-212
      HP-UX Mozilla Vulnerability
      http://www.ciac.org/ciac/bulletins/q-212.shtml

    概要
      Mozilla Suite には複数の脆弱性があります。結果として、遠隔から第
      三者が Mozilla Suite を実行しているユーザの権限を取得する可能性
      があります。対象となるバージョンの詳細については下記関連文書を参
      照してください。

      この問題は、使用している OS のベンダや配布元が提供している修正済
      みのパッケージに更新することで解決します。

      なお、本脆弱性を修正した Mozilla Suite バージョン 1.7.13 には
      「【2】Mozilla 製品群に複数の脆弱性」で紹介した脆弱性が含まれて
      います。詳細については以下の文書をご参照ください。

      Mozilla Suite ユーザの皆様へ重要なお知らせ
      http://www.mozilla-japan.org/products/mozilla1.x/

    関連文書 (日本語)
      Mozilla Foundation セキュリティアドバイザリ
      Mozilla 製品における既知の脆弱性
      http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

      HP-UX セキュリティ報告
      HP-UX Mozilla リモート任意コードの実行、サービス拒否(DoS)
      http://h50221.www5.hp.com/upassist/itrc_japan/assist2/secbltn/HP-UX/HPSBUX02122.html

【4】AIX lsmcode に権限昇格の脆弱性

    情報源
      CIAC Bulletin Q-215
      Vulnerability Found In "lsmcode" Command
      http://www.ciac.org/ciac/bulletins/q-215.shtml

    概要
      AIX 5.1、5.2 および 5.3 の lsmcode コマンドには、権限昇格の脆弱
      性があります。結果として、ローカルユーザが root 権限を取得する可
      能性があります。

      この問題は、IBM が提供する修正パッチを適用することで解決します。

    関連文書 (日本語)
      IBM 重要セキュリティ情報 AIX
      http://www-06.ibm.com/jp/services/security/aix.html

    関連文書 (英語)
      Quick links for AIX fixes
      http://www.ibm.com/servers/eserver/support/unixservers/aixfixes.html

      暫定フィックスの入手先
      ftp://aix.software.ibm.com/aix/efixes/security


――――――――――――――――――――――――――――――――――――――
■今週の一口メモ
――――――――――――――――――――――――――――――――――――――

○拡張子の偽装に注意

      PC 上でデータファイルを取り扱う際、ファイルの拡張子には注意が必
      要です。ファイルの拡張子は簡単に編集できるため、第三者が拡張子を
      偽装することで、ユーザが意図しないフォーマットのファイルを実行し
      てしまう可能性があります。

      ネットワーク上には、ユーザが実行することでウイルスやワームに感染
      させるファイルや、特定の脆弱性を使って、PC を乗っ取るファイルが
      散在しています。誤ってこれらのファイルを実行してしまわないために
      も、OS の設定で拡張子を表示するようにしたり、親しい人から入手し
      たファイルであっても実行する前にはウイルス検知ソフトでファイルを
      検証したりするといった習慣を身につけることが望まれます。

    参考文献 (日本語)
      JPCERT/CC Alert 2006-05-20
      Microsoft Word の脆弱性に関する注意喚起
      http://www.jpcert.or.jp/at/2006/at060006.txt

      Microsoft TechNet セキュリティ ニュースレター
      ファイル名拡張子に関する懸念と対策について (前編)
      http://www.microsoft.com/japan/technet/security/secnews/columns/column060125.mspx

      独立行政法人 情報処理推進機構 セキュリティセンター
      コンピュータウイルス・不正アクセスの届出状況[11月分]について
      http://www.ipa.go.jp/security/txt/2005/12outline.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRIYtEYx1ay4slNTtAQHviQP/XEVt4bruIYHkyxS95ecD3akQ6PVowLX7
i9PPDh/3g+gQnvBTu0b01ZBfNLZUWgtNA/+S7h7gXUiPkaSkhOLWuuhK6TqZKRsz
E1xtu1SsXPw2yzxTJZqB4Pr0ZYQtrZhMWJ34wDI0fjWSdi9e2D9xlt9A+ma7LzR0
MVHBqrGQ0mA=
=mu8z
-----END PGP SIGNATURE-----