<<< JPCERT/CC WEEKLY REPORT 2008-03-19 >>>
■03/09(日)〜03/15(土) のセキュリティ関連情報
目 次
【1】SQL インジェクションによる Web サイト改ざんについて
【2】2008年3月 Microsoft セキュリティ情報 (緊急 4件含) について
【3】Google デスクトップにクロスサイトスクリプティングの脆弱性
【4】RealPlayer の複数の ActiveX コントロールに脆弱性
【5】Namazu にクロスサイトスクリプティングの脆弱性
【6】Adobe Form Designer および Advanced Form Client の複数の ActiveX コントロールにバッファオーバーフローの脆弱性
【今週のひとくちメモ】ユーザアカウントとメールアドレスの整理
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr081101.txt
https://www.jpcert.or.jp/wr/2008/wr081101.xml
【1】SQL インジェクションによる Web サイト改ざんについて
情報源
JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2008/at080005.txt
概要
Web サイトに対する SQL インジェクション攻撃が行われ、国内外の多 くの Web サイトが改ざんされる被害が発生しています。ユーザが改ざ んされた Web サイトを閲覧することで、ユーザのコンピュータ上にマ ルウェアがインストールされる危険性があります。 1) 攻撃者は、Web アプリケーションの脆弱性を使用して、データベー ス上のデータにスクリプトタグを埋め込みます。これによりユーザ が閲覧するコンテンツが改ざんされます。 2) 攻撃を受けたサイトを訪れたユーザのコンピュータ上で不正なスク リプトが実行され、マルウェアがインストールされる可能性があり ます。 この問題の詳細については、情報源を参照してください。
関連文書 (日本語)
注意喚起 【LAC|ラック】
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
関連文書 (英語)
US-CERT Current Activity
Compromised Websites Redirect Users to Malicious Websites
http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of
【2】2008年3月 Microsoft セキュリティ情報 (緊急 4件含) について
情報源
US-CERT Technical Cyber Security Alert TA08-071A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-071A.htmlUS-CERT Cyber Security Alert SA08-071A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-071A.htmlUS-CERT Vulnerability Notes Database
Search Results [ms08-mar] (全2件・2008年3月18日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=ms08-marCIAC Bulletin S-224
Vulnerabilities in Microsoft Office Web Components (MS08-017)
http://www.ciac.org/ciac/bulletins/s-224.shtmlCIAC Bulletin S-225
Vulnerabilities in Microsoft Office (MS08-016)
http://www.ciac.org/ciac/bulletins/s-225.shtmlCIAC Bulletin S-226
Vulnerability in Microsoft Outlook (MS08-015)
http://www.ciac.org/ciac/bulletins/s-226.shtmlCIAC Bulletin S-227
Vulnerabilities in Microsoft Excel (MS08-014)
http://www.ciac.org/ciac/bulletins/s-227.shtml
概要
Microsoft Office、Microsoft Outlook、Microsoft Excel 等各製品に は、複数の脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。なお、Microsoft Office for Mac に も影響があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update、Office Update などを用いて、セキュ リティ更新プログラムを適用することで解決します。
関連文書 (日本語)
2008 年 3 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspxマイクロソフト セキュリティ情報 MS08-014 - 緊急
Microsoft Excel の脆弱性により、リモートでコードが実行される (949029)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-014.mspxマイクロソフト セキュリティ情報 MS08-015 - 緊急
Microsoft Outlook の脆弱性により、リモートでコードが実行される (949031)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-015.mspxマイクロソフト セキュリティ情報 MS08-016 - 緊急
Microsoft Office の脆弱性により、リモートでコードが実行される (949030)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-016.mspxマイクロソフト セキュリティ情報 MS08-017 - 緊急
Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (933103)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-017.mspxJapan Vulnerability Notes JVNTA08-071A
Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-071A/index.htmlJPCERT/CC Alert 2008-03-12
2008年3月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080004.txt@police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-014,015,016,017)
http://www.cyberpolice.go.jp/important/2008/20080312_113237.html
【3】Google デスクトップにクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#79114735
Google デスクトップにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2379114735/index.html
概要
Google デスクトップには、クロスサイトスクリプティングの脆弱性が あります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Google デスクトップ 5.1.706.29690 (2007年7月4日リリース) より 前のバージョン この問題は、Google が提供する修正済みのバージョンに Google デスク トップを更新することで解決します。
関連文書 (日本語)
Google ヘルプ
Google デスクトップの最新の更新情報
http://desktop.google.com/support/bin/answer.py?answer=58591&ctx=sibling
【4】RealPlayer の複数の ActiveX コントロールに脆弱性
情報源
US-CERT Vulnerability Note VU#831457
RealNetworks RealPlayer ActiveX controls property heap memory corruption
http://www.kb.cert.org/vuls/id/831457
概要
RealNetworks のマルチメディアプレーヤー RealPlayer の複数の ActiveX コントロールには、プロパティの処理に起因する脆弱性があり ます。結果として、遠隔の第三者が細工した HTML 文書をユーザに開か せることで、ユーザの権限で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Windows 版の RealPlayer version 11.0.1 2008年3月18日現在、この問題に対する修正プログラムは確認されてお りません。 回避策としては、kill bit を設定する、インターネットゾーンにおけ るActive X コントロールの実行を無効にするなどの方法があります。
関連文書 (日本語)
RealNetworks カスタマー サポート
RealNetworks のセキュリティ アップデートのページにようこそ
http://service.real.com/realplayer/security/ja/マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
【5】Namazu にクロスサイトスクリプティングの脆弱性
情報源
Namazu
日本語全文検索システム Namazu 2.0.18 リリース
http://www.namazu.org/pipermail/namazu-users-ja/2008-March/001051.html
概要
全文検索システム Namazu には、クロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Namazu 2.0.17 以前のバージョン この問題は、Namazu Project が提供する修正済みのバージョン 2.0.18 に Namazu を更新することで解決します。
関連文書 (日本語)
全文検索システム Namazu
http://www.namazu.org/
【6】Adobe Form Designer および Advanced Form Client の複数の ActiveX コントロールにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#362849
Adobe Form Designer and Advanced Form Client ActiveX controls contain multiple buffer overflows
http://www.kb.cert.org/vuls/id/362849
概要
Adobe Form Designer および Advanced Form Client の複数の ActiveX コントロールには、バッファオーバーフローの脆弱性があります。結果 として、遠隔の第三者が細工した HTML 文書をユーザに開かせることで、 ユーザの権限で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Form Client 5.0 - Adobe Form Designer 5.0 この問題は、Adobe が提供する修正済みのバージョンに該当する製品を 更新することで解決します。詳細については Adobe が提供する情報を 参照してください。
関連文書 (英語)
Adobe Security bulletin
Update available to resolve critical vulnerabilities in Adobe Form Designer 5.0 and Adobe Form Client 5.0 Components
http://www.adobe.com/support/security/bulletins/apsb08-09.html
■今週のひとくちメモ
○ユーザアカウントとメールアドレスの整理
年度がまもなく終わろうとしています。システム管理者の方は、新年度 の人事異動などに備えて、アカウントやメールアドレスをリスト化する などの準備を行っておくことをおすすめします。同時にアカウントの権 限についても、この機会に棚卸しを行い、不要な権限が付与されていな いか確認しましょう。 また、無効なメールアドレスが whois データベースや自組織のウェブ サイトで外部に公開されていないか確認し、必要に応じてそれらの情報 を更新することをおすすめします。
参考文献 (日本語)
JPCERT/CC REPORT 2007-03-22号 [今週の一口メモ]
ユーザアカウントとパスワードの整理
http://www.jpcert.or.jp/wr/2007/wr071101.html#MemoJPCERT/CC REPORT 2006-03-29号 [今週の一口メモ]
whois データベースの更新
http://www.jpcert.or.jp/wr/2006/wr061201.txt
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/