JPCERT-WR-2007-50012007-12-272007-12-162007-12-22Adobe Flash Player に複数の脆弱性
Adobe Flash Player には複数の脆弱性があります。結果として、遠隔
の第三者が細工した Flash ファイルをユーザに開かせることで、その
ユーザの権限で任意のコマンドを実行したり、サービス運用妨害 (DoS)
攻撃を行ったりするなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Flash Player 7.0.70.0 およびそれ以前
- Flash Player 8.0.35.0 およびそれ以前
- Flash Player 9.0.48.0 およびそれ以前
- Flash CS3 Professional
- Flex 2.0
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。
なお、Flash Player 7 については、今回のバージョンが最後のアップ
デートとなります。Flash Player 7 を使用しているユーザは、最新バー
ジョンへの移行を検討してください。Japan Vulnerability Notes JVNTA07-355AAdobe Flash player における複数の脆弱性に対するアップデートhttp://jvn.jp/cert/JVNTA07-355A/index.htmlJapan Vulnerability Notes JVN#45675516Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性http://jvn.jp/jp/JVN%2345675516/index.htmlJapan Vulnerability Notes JVN#50876069Flash Player において任意の HTTP ヘッダが送信可能な脆弱性http://jvn.jp/jp/JVN%2350876069/index.html@policeFlash Player の脆弱性について(12/19)http://www.cyberpolice.go.jp/important/2007/20071219_160713.htmlAdobe Security bulletin APSB07-20Flash Player update available to address security vulnerabilitieshttp://www.adobe.com/support/security/bulletins/apsb07-20.htmlApple 製品に複数の脆弱性
Mac OS X、Mac OS X Server、Safari には複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったりするなどの可能性があります。
詳細については Apple が提供する情報を参照してください。
この問題は、Apple が提供する以下のセキュリティアップデートを適用
することで解決します。
- Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.1、
Mac OS X Server v10.5.1 では Security Update 2007-009 v1.1
- Windows XP または Vista 向け Safari 3 beta では
Safari 3 Beta 3.0.4 Security Update v1.1
なお、Mac OS X および Mac OS X Server に対する今回のセキュリティ
アップデートでは、Adobe Flash、Adobe Shockwave、GNU Tar 製品に含
まれていた脆弱性への対応も行われています。また、JPCERT/CC REPORT
2007-12-05号【2】で紹介した Apple Mail の脆弱性に対する修正も含
まれています。Apple - サポートセキュリティアップデート 2007-009 についてhttp://docs.info.apple.com/article.html?artnum=307179-jaJapan Vulnerability Notes JVNTA07-352AApple 製品における複数の脆弱性http://jvn.jp/cert/JVNTA07-352A/index.htmlJPCERT/CC REPORT 2007-12-05Apple Mail に脆弱性http://www.jpcert.or.jp/wr/2007/wr074701.html#2Apple - SupportAbout Security Update 2007-009 v1.1http://docs.info.apple.com/article.html?artnum=307224Apple - SupportAbout Safari 3 Beta 3.0.4 Security Update v1.1http://docs.info.apple.com/article.html?artnum=307225ジャストシステムの製品群に脆弱性
ジャストシステムの製品群が共用するライブラリファイルには、脆弱性
があります。結果として、遠隔の第三者が細工したファイルをユーザに
開かせることで、ユーザの権限で任意のコードを実行する可能性があり
ます。なお、この脆弱性を悪用したマルウェアがアンチウィルスベンダ
によって確認されています。
詳細については下記関連文書を参照してください。
この問題は、ジャストシステムが提供するセキュリティ更新モジュール
によって、該当する製品を更新することで解決します。詳細については、
ジャストシステムが提供する情報を参照してください。ジャストシステムジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性についてhttp://www.justsystems.com/jp/info/pd7005.html@policeジャストシステム社製品の脆弱性についてhttp://www.cyberpolice.go.jp/important/2007/20071225_102359.htmlSymantecTrojan.Tarodrop.Fhttp://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2007-121308-3953-99&tabid=2マカフィー株式会社--セキュリティ情報--ウイルス情報 - Exploit-TaroDrop.dhttp://www.mcafee.com/japan/security/virE.asp?v=Exploit-TaroDrop.dトレンドマイクロウイルスデータベース - TROJ_TARODROP.ABhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_TARODROP.AB「Microsft Windows の Web プロキシ自動発見機能に脆弱性」に関する追加情報
JPCERT/CC REPORT 2007-12-12 号【2】で紹介した「Microsft Windows
の Web プロキシ自動発見機能に脆弱性」に関する追加情報です。
日本レジストリサービス (JPRS) は、この問題に対して注意喚起および
対策を発表しました。詳細については、日本レジストリサービスが提供
する情報を参照してください。JPCERT/CC REPORT 2007-12-12Microsoft Windows の Web プロキシ自動発見機能に脆弱性http://www.jpcert.or.jp/wr/2007/wr074801.html#2Mozilla Thunderbird 1.5 系列に脆弱性
自動更新機能を使ってアップデートした Mozilla Thunderbird
1.5.0.13 には、MFSA2007-23 の修正が含まれていない問題があります。
結果として、遠隔の第三者が細工した HTML 文書をユーザに閲覧させる
ことで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
この問題は、Mozilla が提供する修正済みのバージョン Thunderbird
1.5.0.14 に Thunderbird を更新することで解決します。
なお、Thunderbird 1.5.0.14 は Thunderbird 1.5 系列の最後のリリー
スとなります。この機会に Thunderbird 2 系列へバージョンアップす
ることを強く推奨します。Mozilla Foundation セキュリティアドバイザリThunderbird 1.5.0.14 で修正済みhttp://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#thunderbird1.5.0.14HP Quick Launch Button に複数の脆弱性
HP の一部のノート型 PC に搭載されている HP Quick Launch Button
には、脆弱性があります。結果として、遠隔の第三者が権限を昇格した
り、任意のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Microsoft Windows が動作する HP Compaq ビジネス向けノート型 PC
では HP Quick Launch Button v6.3 またはそれ以前
- Microsoft Windows が動作する HP Pavilion および Compaq
Presario コンシューマ向けノート型 PC では HP Quick Launch
Button v6.0 から v6.3
この問題は、HP が提供する修正済みのバージョンに HP Quick Launch
Button を更新することで解決します。HP Support document c01300486HPSBGN02298 SSRT071502 rev.1 - HP Quick Launch Button (QLB) Running on Windows, Remote Execution of Arbitrary Code, Gain Privileged Accesshttp://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01300486Clam AntiVirus に複数の脆弱性
Clam AntiVirus (ClamAV) には、複数の脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。
詳細については下記関連文書を参照してください。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Clam AntiVirus を更新することで解決します。Debian セキュリティ勧告 DSA-1435-1clamav -- 複数の脆弱性http://www.debian.org/security/2007/dsa-1435.ja.htmlClamAVhttp://www.clamav.net/Lotus Domino の Web Access ActiveX コントロールに複数のスタックバッファオーバーフローの脆弱性
Lotus Domino の Web Access ActiveX コントロールには、複数のスタッ
クバッファオーバーフローの脆弱性があります。結果として、遠隔の第
三者が細工した HTML 文書をユーザに閲覧させることで、任意のコード
を実行する可能性があります。
2007年12月26日現在、この問題に対する修正プログラムは確認されてお
りません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま
す。詳細については、下記関連文書を参照してください。マイクロソフト サポートオンラインInternet Explorer で ActiveX コントロールの動作を停止する方法http://support.microsoft.com/kb/240797/jaGoogle Web Toolkit にクロスサイトスクリプティングの脆弱性
Google が提供する Google Web Toolkit(GWT)には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Google Web Toolkit 1.4.60 およびそれ以前
この問題は、Google が提供する修正済みのバージョンに Google Web
Toolkit を更新することで解決します。Google Web Toolkit Release NotesRelease Notes for 1.4.61http://code.google.com/webtoolkit/releases/release-notes-1.4.61.html#Release_Notes_CurrentSun Java System Web Server および Sun Java System Web Proxy Server にクロスサイトスクリプティングの脆弱性
Sun Java System Web Server および Sun Java System Web Proxy
Server には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Sun Java System Web Server 6.1 SP7 およびそれ以前
- Sun Java System Web Server 7.0
- Sun Java System Web Proxy Server 3.6 SP 10 およびそれ以前
この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。詳細については、Sun が提供する情報を参
照してください。Sun Microsystems DocumentationSun Java System Web Server 6.1 SP8 リリースノートhttp://docs.sun.com/app/docs/doc/820-2751/6neb5fve2?l=ja&a=viewSun Microsystems DocumentationSun Java System Web Server 7.0 Update 2 Release Noteshttp://docs.sun.com/app/docs/doc/820-2210/gdutz?a=viewSun Microsystems DocumentationSun Java System Web Proxy Server 3.6 SP 11 Release Notes for UNIXhttp://docs.sun.com/source/820-3637-10/relnotes36sp11_unix.htmlSun Microsystems DocumentationSun Java System Web Proxy Server 3.6 SP 11 Release Notes for Windowshttp://docs.sun.com/source/820-3638-10/relnotes36sp11_win.htmlMeridian Prolog Manager に脆弱性
Meridian Systems が提供するプロジェクト管理ツールの Meridian
Prolog Manager には、暗号化にかかわる脆弱性があります。結果とし
て、遠隔の第三者が認証情報を取得したり、パスワードを解読したりす
る可能性があります。
対象となるバージョンは以下の通りです。
- Meridian Software Prolog Manager 7.5
- Meridian Software Prolog Manager 7.0
- Meridian Software Prolog Manager 2007
2007年12月26日現在、この問題に対する修正プログラムは確認されてお
りません。
回避策としては、Enhanced Encryption を使用して暗号を強化したり、
VPN などのセキュリティが確保される回線を使用して通信したりするな
どの方法があります。Meridian SystemsProduct Tip of the Month - Prolog - Enhanced Encryptionhttp://www.meridiansystems.com/newsevents/newsletter/Newsletter_November_04_tip.htmCentericq に複数のバッファオーバーフローの脆弱性
インスタントメッセージクライアントの Centericq には、複数のバッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Centericq 4.9.11 から 4.21
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Centericq を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。Debian セキュリティ勧告 DSA-1433-1centericq -- バッファオーバフローhttp://www.debian.org/security/2007/dsa-1433konst.org.uathekonst.net :: program information :: centericqhttp://konst.org.ua/centericq/長期休暇明けの注意
年末年始休暇の後には、セキュリティ対策に関して一層の注意が必要で
す。長期休暇中に使用していなかった PC については、早急に下記のよ
うなセキュリティ対策を行うことをおすすめします。また、休暇中外部
に持ち出した PC については、内部ネットワークに接続する前に同様の
対策を行うことをおすすめします。
- OS などのソフトウェアのセキュリティアップデートを適用する
- ウィルス対策ソフトなどの定義ファイルを更新する
- ハードディスクのウィルスチェックを行う
- 使用している機器やソフトウェアのセキュリティ関連情報を確認する
JPCERT/CC冬期の長期休暇を控えてhttp://www.jpcert.or.jp/pr/2007/pr070009.txt