特に重要なセキュリティ欠陥・ウイルス情報

IIS 5.0 / 5.1 / 6.0 で WebDAV を利用する場合、WebDAV で管理されているファイルにアクセスするには、通常は認証 (ユーザ名、パスワード) が必要です。しかし IIS には欠陥があり、認証画面を回避できてしまうことが明らかとなりました。IIS 5.0 / 5.1 / 6.0 で WebDAV が有効になっている場合、そのサーバ上のファイルは、実際には誰でもダウンロードしたりアップロードしたりできてしまうのです。

• マイクロソフト セキュリティ アドバイザリ (971492) インターネット インフォメーション サービスの脆弱性により、特権が昇格される (Microsoft)

以下の点に注意して下さい。

• IIS 5.0 / 5.1 では標準で WebDAV が動作しており、特に危険です。IIS 6.0 では、標準では WebDAV は動作していません。
• この欠陥は IIS 7.0 (Windows Server 2008) にはありません。
• 認証を回避してアクセスする場合、「匿名ユーザー アカウント」としてアクセスします。したがって、「匿名ユーザー アカウント」によるアクセスを拒否するような設定のなされたファイルやフォルダであれば、この欠陥を利用する者にはアクセスできません。

この欠陥の修正プログラムは現在開発中です。修正されるまでは、IIS 5.0 / 5.1 / 6.0 で WebDAV を利用する場合は、IP アドレスに基づくアクセス制限を施すなどの設定を行う事を強く推奨します。

関連キーワード: IIS, WebDAV

2009.06.10 追記

MS09-020 - 重要: インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483) で修正されました。

Apple から Mac OS X v10.5.7 および Security Update 2009-002 (Mac OS X 10.4.11 用) が公開されています。

• About the security content of Security Update 2009-002 / Mac OS X v10.5.7 (Apple)

大量のセキュリティ欠陥が修正されています。Mac OS X 利用者は Apple Software Update などを利用して適用してください。

関連キーワード: Mac OS X

Safari 3 および Safari 4 Beta の新版が公開されています。

• Safari 3.2.3 のセキュリティコンテンツについて (Apple)
• About the Safari 4 Public Beta Security Update (Apple)

Safari 利用者は、Apple Software Update を利用するなどして更新してください。

関連キーワード: Safari

Microsoft から 2009 年 5 月の月例セキュリティ修正プログラムが公開されました。

• Microsoft 2009 年 5 月のセキュリティ情報 (Microsoft)

新たに公開されたセキュリティ修正は次の 1 種類です。

• MS09-017 - 緊急: Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340) (Microsoft)
  対象: PowerPoint 2000 / 2002 (XP) / 2003 / 2007、Office 2004 / 2008 for Mac、Open XML File Format Converter for Mac、PowerPoint Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Microsoft Works 8.5 / 9.0

Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意して下さい。

• PowerPoint 2000 の修正プログラムは Office Update を利用するか、個別にダウンロードして適用する必要があります。
• PowerPoint 2002 (XP) / 2003 / 2007 の修正プログラムは、Windows Update を実行しても適用されません。Microsoft Update の利用を強く推奨します。Microsoft Update を使えば、Windows と Office の修正プログラムを同時に適用できます。
• 現時点では、PowerPoint 2000 / 2002 (XP) / 2003 / 2007、PowerPoint Viewer 2003 / 2007、Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック用の修正プログラムだけが用意されています。Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac、Microsoft Works 8.5 / 9.0 用の修正プログラムは今だ開発中で、後日公開されます。

RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。

関連キーワード: Windows, PowerPoint, Office for Mac

2009.06.10 追記

上記で「後日公開」としていた、Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac、Microsoft Works 8.5 / 9.0 用の修正プログラムが 2009.06.10 付けで公開されています。MS09-017 - 緊急: Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される (967340) を参照してください。

Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。

• Adobe Reader/Acrobatに新たな脆弱性、回避策はJavaScript無効化 (Internet Watch)

Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順で無効にできます。

1. Adobe Reader を起動します。
2. [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
3. 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
4. [OK] をクリックします。「環境設定」ウインドウが閉じられます。

他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。

修正版は現在開発中です。

関連キーワード: Acrobat, Adobe Reader

2009.05.14 追記

修正版の Acrobat / Adobe Reader が公開されました。次のバージョンで修正されています。

• Acrobat 7.1.2 / 8.1.5 / 9.1.1
• Adobe Reader 7.1.2 / 8.1.5 / 9.1.1

Acrobat / Adobe Reader 7.x / 8.x / 9.x については、内蔵のアップデート機能を使うか、あるいは個別に更新プログラムをダウンロードして適用するかしてください。ダウンロード先については以下を参照してください。

• APSB09-06 - Security Updates available for Adobe Reader and Acrobat (Adobe)

上記よりも古いバージョン（6.x 以前）を使用している場合は、一旦それを削除し、最新版の Acrobat / Adobe Reader をインストールしてください。古いバージョンの、あるいは未修正の Acrobat / Adobe Reader をインストールしたままにしておくと、コンピューターウイルスに感染する可能性がとても高くなります。