JPCERT-WR-2007-13012007-04-042007-03-252007-03-31Microsoft Windows のアニメーションカーソルの処理にスタックバッファオーバーフローの脆弱性
Windows のアニメーションカーソルの処理にスタックバッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。
対象となる製品は以下の通りです。
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows XP Professional x64 Edition Service Pack 2
- Microsoft Windows Server 2003
- Itanium プラットフォーム向けの Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Service Pack 2
- Itanium プラットフォーム向けの Microsoft Windows Server 2003 with SP1
- Itanium プラットフォーム向けの Microsoft Windows Server 2003 with SP2
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Server 2003 x64 Edition Service Pack 2
- Microsoft Windows Vista
2007年4月4日、Microsoft より本脆弱性を修正するセキュリティ更新プ
ログラムが公開されました。詳細については、ベンダが提供する情報を
参照してください。マイクロソフト セキュリティ アドバイザリ (935423)Windows アニメーション カーソル処理の脆弱性http://www.microsoft.com/japan/technet/security/advisory/935423.mspxJP Vendor Status Notes JVNTA07-093AMicrosoft Windows アニメーションカーソルの脆弱性http://jvn.jp/cert/JVNTA07-093A/index.htmlJP Vendor Status Notes JVNTA07-089AMicrosoft Windows の ANI ヘッダ処理にスタックバッファオーバフローの脆弱性http://jvn.jp/cert/JVNTA07-089A/index.htmlJP Vendor Status Notes JVNVU#191609Microsoft Windows アニメーションカーソル ANI ヘッダにおけるスタックバッファオーバーフローの脆弱性http://jvn.jp/cert/JVNVU%23191609/index.htmlJPCERT/CC Alert 2007-03-30Windows アニメーション カーソル処理の未修正の脆弱性に関する注意喚起 (2007-04-04 更新)http://www.jpcert.or.jp/at/2007/at070008.txt@policeマイクロソフト社の Microsoft Windows アニメーション カーソル処理の脆弱性について(3/30)http://www.cyberpolice.go.jp/important/2007/20070330_092644.htmlBASP21 に脆弱性
Windows 上で電子メール送信機能等を提供する汎用コンポーネントの
BASP21 には脆弱性があります。結果として、遠隔の第三者が、BASP21
を利用する Web アプリケーションを使用して任意の宛先へ不正にメー
ルを送信する可能性があります。
対象となるバージョンは以下の通りです。
- BASP21 2003.0211 版に含まれている bsmtp.dll
- BASP21 Pro バージョン 1,0,702,27 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに BASP21 を更新
することで解決します。BASP21 DLLhttp://www.hi-ho.ne.jp/babaq/basp21.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#86092776「BASP21」においてメールの不正送信が可能な脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_86092776.html「CruiseWorks」および「みんなでオフィス」にアクセス制限回避の脆弱性
グループウェアの「CruiseWorks」および「みんなでオフィス」には、
ユーザのアクセス制限が適切に設定されていない脆弱性があります。結
果として、「CruiseWorks」または「みんなでオフィス」にログインし
ている一般ユーザがシステム設定や登録情報を変更する可能性がありま
す。
対象となる製品及びバージョンは以下の通りです。
- CruiseWorks 1.09e およびそれ以前
- みんなでオフィス バージョン 1.xx および 2.xx
この問題は、各配布元が提供する修正済みのバージョンに各製品を更新
することで解決します。クルーズワークスの脆弱性についてhttp://www.kynos.co.jp/cws-support/cws/cwsdownload_upinfo1_09f.htmlみんなでオフィスの脆弱性に関するお知らせhttp://www.aisantec.com/mof/whats_new/070320.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#73258608「CruiseWorks」および「みんなでオフィス」におけるアクセス制限回避の脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_73258608.htmlOverlay Weaver にクロスサイトスクリプティングの脆弱性
オーバレイネットワークの構築およびエミュレーションのためのソフト
ウェアである Overlay Weaver には、クロスサイトスクリプティングの
脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で
任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Overlay Weaver 0.5.9 から 0.5.11
この問題は、配布元が提供する修正済みのバージョンに Overlay
Weaver を更新することで解決します。Overlay Weaver: News: XSS vulnerability in DHT shellOverlay Weaver の DHT shell におけるクロスサイトスクリプティング脆弱性http://overlayweaver.sourceforge.net/news/20070329/index-j.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#62399483「Overlay Weaver」におけるクロスサイト・スクリプティングの脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_62399483.htmlMailDwarf に複数の脆弱性
メールフォーム CGI の MailDwarf には、複数の脆弱性があります。結
果として、遠隔の第三者が任意の宛先へ不正にメールを送信したり、ユ
ーザのブラウザ上で任意のスクリプトを実行したりする可能性がありま
す。
対象となるバージョンは以下の通りです。
- MailDwarf ver3.01 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに MailDwarf を
更新することで解決します。小説HTMLの小人さん 更新報告&サポートBBSMailDwarf ver3.10(脆弱性対応版)リリースhttp://htmldwarf.hanameiro.net/bbs/support.cgi?mode=al2&namber=1238&rev=&no=0メールフォームCGI MailDwarf ver3.10http://htmldwarf.hanameiro.net/mail/index.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#08951968「MailDwarf」においてメールの不正送信が可能な脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_08951968.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#40511721「MailDwarf」におけるクロスサイト・スクリプティングの脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_40511721.htmlインターネットセキュリティの歴史 第2回 「CERT/CC 発足」
1988年11月に発生した「Morris ワーム事件」をきっかけに、米国防総
省国防高等研究事業局 (DARPA: Defense Advanced Research Projects
Agency) の要請を受け、カーネギーメロン大学のソフトウェアエンジニ
アリング研究所 (SEI: Software Engineering Institute) に、インター
ネットセキュリティを専門に扱う組織 CERT Coordination Center
(CERT/CC) が設立されました。
これが後に CSIRT (Computer Security Incident Response Team) と呼
ばれる組織の第一号となりました。
CERT/CC は、インターネットセキュリティにかかわる緊急事態に際して、
関係者間のコミュニケーションを迅速且つ効果的に調整し、更にインター
ネットコミュニティに対してセキュリティ問題について啓発することを
目的としています。
CERT/CC の「CERT」は CERT/CC の登録商標であり、「Computer
Emergency Response Team」などの頭文字を取った単語ではありません。
JPCERT Coordination Center - ひとくちメモ米国 CERT Coordination Center (CERT/CC) と「CERT」についてhttp://www.jpcert.or.jp/wr/keyword_c.html#116CERT Coordination Centerhttp://www.cert.org/cert/CERT Coordination CenterThe CERT® FAQhttp://www.cert.org/faq/cert_faq.html