Last modified: Tue Jan 21 15:49:09 2003 +0900 (JST)
数あるセキュリティ脆弱性情報の中でも、龍大でのコンピュータ運用に際して特に重大だと考えられるものについて、ここに記述しています。
2002.12.20 にお伝えした Winamp の問題について、オフィシャル情報が公開されていましたので追記しておきました。
Mac OS X 10.2.3 が登場しています。 Apple Security Updates によると、fetchmail の問題と CUPS の問題が修正されています。機能向上のための修正も多く含まれているようです。Mac OS X 10.2.x 利用者はなるべく早く適用してください。
なお、Mac OS X 10.0.x、10.1.x についてはもはや維持されていませんので、可能な限り早期に OS のアップグレードを行ってください。
Microsoft 関連のセキュリティアップデートが出ています。
Windows Shell の未チェックのバッファによりシステムが侵害される (329390) (MS02-072)
対象: Windows XP
.MP3 および .WMA ファイルの処理に危険性が存在します。 Windows XP を利用している方は、速やかに適用してください。
上記と同様の問題が、Winamp 2.81 と Winamp 3.0 に存在する、と報告されています。
Winamp 3.0 build #488 で修正されていますので、Winamp 利用者は速やかにアップグレードしてください。
オフィシャル情報 Security Fixes For Winamp: Get The Latest And Be Protected (winamp.com) によると、
If you haven't downloaded Winamp since 12-17-2002 then you are vulnerable to the security exploit.
とされています。2002.12.17 (これは米国時間でしょう) 以降の Winamp 2.81 / 3.0 にアップグレードすればよいようです。
先日お伝えした、 Adobe Photoshop Elements 2.0 日本語版に関する重要なお知らせ で示された問題の修正モジュールが登場しています。
Adobe Photoshop Elements 2.0 日本語版 Webフォトギャラリー(WebコンタクトシートII プラグイン)アップデータ
Photoshop Elements 2.0 (Mac) :Webフォトギャラリー(WebコンタクトシートII プラグイン)アップデータ インストール方法
Photoshop Elements 2.0 (Mac) :Web フォトギャラリー(Web コンタクトシートIIプラグイン)での問題に関して
Mac OS 用の Adobe Photoshop Elements 2.0 日本語版を利用されている方は速やかに適用してください。
Red Hat Linux 用の新しい apache http サーバパッケージが登場しています。
Red Hat Linux 上で apache http サーバ (www サーバ) を稼働させている場合は、速やかに上記パッケージに更新してください。
アドビから、Adobe Photoshop Elements 2.0 日本語版に重大な欠陥がある旨発表されています。
Adobe Photoshop Elements 2.0 日本語版を利用されている方はご注意ください。
Microsoft 関連のセキュリティアップデートが 3 つ出ています。
Microsoft VM の問題により、システムが侵害される (810030) (MS02-069)
対象: Microsoft Java VM ビルド 3805 以前
SMB 署名の問題により、グループポリシーが変更される (309376) (MS02-070)
対象: Windows 2000 / XP
Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) (MS02-071)
対象: Windows NT 4.0 / 2000 / XP
このうち MS02-069 と MS02-071 は危険性が高いので、早急に修正プログラムを適用してください。 Windows Update を利用すると、簡単に修正プログラムを適用できます。 Windows Update 利用方法については ウイルス対策の第一歩は Windows Update (Microsoft) を参照してください。
先日お伝えした MS02-068: Internet Explorer 用の累積的な修正プログラム (324929) は、当初発表されたよりも危険なものであることが判明しています。 IE 5.5 / 6 を利用している方は、至急修正プログラムを適用してください。
McAfee VirusScan 4.5.1 にセキュリティ問題が発見されました:
ただし、問題となっている機能 (ダウンロードスキャン、インターネットフィルタ) は、標準では有効になっていません。
瀬田研究推進課 からの貸出パソコンに McAfee VirusScan をインストールしている方で、ダウンロードスキャンやインターネットフィルタを有効にしている方は、これらを無効とするか、あるいは最新の VirusScan HotFix をインストールする必要があります。 HotFix の入手については RA にお問いあわせください。
トレンドマイクロ ウイルスバスター 2002 / 2003 にセキュリティ問題が発見されました:
上記リンクにおいて修正モジュールが配布されています。ウイルスバスターを利用している方は、忘れずに適用しておいて下さい。
Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) の対応として MDAC 2.7 を適用する場合、SQL Server 利用者は MS02-030 (SQL Server 2000)、 MS02-040 (SQL Server 7.0, 2000) 修正プログラムを適用しなければならないことがわかりました。
これにあわせて 2002.11.26 の記述を更新しました。
瀬田研究推進課 からの貸出パソコンに McAfee VirusScan をインストールしている方へ: VirusScan のアップデートが必要です。 旧バージョンをアンインストールした上で、VirusScan Ver 4.5.1 インストール手順 に従って version 4.5.1 をインストールしてください。 ダウンロードはこちらから。
Microsoft 関連のセキュリティアップデートが 2 つ出ています。
MS02-067: 電子メール ヘッダー処理の問題により、Outlook 2002 が異常終了する (331866)
対象: Outlook 2002
MS02-068: Internet Explorer 用の累積的な修正プログラム (324929)
対象: Internet Explorer 5.5 SP2, 6.0, 6.0 SP1
先日の Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) ほど緊急度は高くはありませんが、できるだけ早期に適用してください。
MDAC 2.7 をインストールすると msxml3.dll というファイルもインストールされるのですが、これが MS02-008 問題を修正済の版よりも古いことがわかりました。 このため、MDAC 2.7 をインストールした後に MS02-008 修正プログラムを適用する必要があります。
これにあわせて 2002.11.26 の記述を更新しました。
パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) を参考にして、2002.11.26 の記述を更新しました。
先日対応をお願いした Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) 問題ですが、修正プログラムがうまく適用できない事例があるようです。 また、パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) で詳細に解説されているように、修正プログラムを適用するよりも MDAC 2.7 SP1 をインストールした方が、この問題への対応としては適切です。
次のように対応してください。
Windows XP 利用者にはこの問題は関係ありません。何もしなくてよいです。
MDAC 2.7 SP1 のインストールを強く推奨します。 ダウンロードページ から入手しインストールしてください。 Windows NT 4.0 では SP5 以上 + IE 4.01 SP2 以上、 Windows 98 の場合は Year 2000 Update 2 + IE 4.01 SP2 以上、の環境が必要です。 これは Windows 98 SP1 CD-ROM 相当、と考えた方がよいでしょう。 Windows 98 SE、Windows Me、Windows 2000 には無条件でインストールできます。
注意: MDAC 2.7 のインストールには、既知の問題がいくつかあるとされていました。 MDAC 2.7 SP1 にも同様の問題が存在するのか、あるいは修正されているのはよくわかりません。 念のため、MDAC 2.7 ダウンロードページ の記述をよく読み、同様のインストール問題が MDAC 2.7 SP1 にもあるものとしてインストールして下さい。 具体的には、MDAC を利用しているアプリケーションを停止させた上でインストールするようにしてください。
互換性の問題等のために MDAC 2.7 SP1 のインストールを避けざるを得ない場合は、以下を参照してください。 ただし、パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) にあるように、攻撃者は修正プログラムを容易に無効化できます。 この問題が [緊急 - この脆弱性が悪用された場合、Code Red や Nimda のようなインターネット ワームがユーザーの操作なしで蔓延する可能性があります] とランクされていることを考え合わせても、修正プログラムの適用で済ませることは全く推奨できません。
Windows 2000 を利用している場合:
MDAC 2.5 以降がインストールされているはずですので、修正プログラムを適用してください。
Internet Explorer 5.0x, 5.5, 6.0 を利用している場合:
MDAC 2.1 以降がインストールされているはずですので、修正プログラムを適用してください。
Internet Explorer 4.0 以前を利用している場合:
もはや維持されていませんので、IE 5.5 SP2 あるいは IE 6 SP1 をインストールし、 インストールした IE バージョンにあわせた対応を行ってください。
Internet Explorer 6.0 SP1 を利用している場合:
IE 6.0 SP1 のインストール前に IE 5.0x, 5.5, 6.0 を利用したことがある場合は、 MDAC 2.1 以降がインストールされているはずですので、修正プログラムを適用してください。
よくわからない場合は、 インストールされている MDAC のバージョンを確認する必要があります。スタートメニューから [検索(F)] → [ファイルやフォルダ(F)...] を選択します。
検索ダイアログが表示されますので、 [名前と場所] タブを選択し、[名前(N)] に msdadc.dll と入力します。 [探す場所(L)] には C: を指定します。 [検索開始(I)] をクリックして検索します。
発見された msdadc.dll を右クリックして [プロパティ(R)] を選択し、[バージョン情報] タブをクリックします。 ここで表示された値が
なお、Windows 95、Windows 98、Windows NT 4.0 はすでに「メインストリーム サポートフェーズ」が終了しています (Windows 95 は「延長サポートフェーズ」も終了しています)。 速やかに OS のアップグレードを行ってください。 詳細についてはWindows デスクトップ製品のライフサイクル を参照してください。
Microsoft 関連の重要なセキュリティアップデートが 2 つ出ています。
どちらにも重大な問題の修正が含まれています。 この問題を利用したウィルスが登場する前に、対応をお願いいたします。 特に Microsoft IIS の管理者は、早急なる対応をお願いいたします。
なお、MS02-065 修正プログラムは MDAC 2.1, 2.5, 2.6 に適用可能なものです。MDAC 2.0 以前を利用している場合は、MDAC 2.1/2.5/2.6 へアップグレードした後に MS02-065 修正プログラムを適用するか、あるいは MDAC 2.7 へアップグレードする必要があります。 MDAC のバージョンは、たとえば MDACバージョン確認スクリプト を利用して確認できます。 ただしこのスクリプトは、MDAC 2.0 以前に対してはうまく動かないようです。
参考: JP231943 - [INFO] Microsoft Data Access Components (MDAC) のリリース履歴、 MDAC インストールの Q & A (Microsoft)
Microsoft 関連の重要なセキュリティアップデートがいくつか出ています。
Windows 2000 の既定のアクセス権により、トロイの木馬プログラムが実行される (Q327522) (MS02-064)
Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)
Windows XP 「ヘルプとサポートセンター」の問題によりファイルが削除される (Q328940) (MS02-060)
Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される(Q328676) (MS02-058)
Windows Update を実行して適用してください。
Microsoft からまだ公表されていない、IE 5.5 / 6 にまつわる弱点が 9 つ公開されています。
IE 5.01 SP2 にはこの弱点はありません。 IE 5.5 SP2 と IE 6 には 9 つの弱点全てが存在します。 IE 6 SP1 には 2 つ弱点が存在します。
IE 5.5 利用者は、速やかに IE 6 SP1 に upgrade されることを検討してください。IE 6 利用者は、速やかに IE 6 SP1 に upgrade してください。 その上で、問題を回避するためアクティブスクリプトを無効とするよう設定してください。
Microsoft 関連の重要なセキュリティアップデートがいくつか出ています。
Windows Update を実行して適用してください。
Internet Explorer 6 SP1 が登場しています。多くのセキュリティ問題の修正の他、より安全な利用のためのいくつかの仕様変更・機能拡張も行われています。 IE 6 ユーザは速やかにインストールされることを推奨しますが、インストールの前に IE 6 SP1 README を参照し、変更点を認識しておいて下さい。 特に、Outlook Express の [ツール] - [オプション] の [セキュ リティ] タブにある
□ ウイルスの可能性がある添付ファイルを保存したり開いたりしない
が、SP1 適用後に標準でチェックされるようになる点には注意が必要です。
IE 5.5 以前を利用しているユーザは、IE 6 SP1 にアップグレードされることを推奨します。 Outlook Express を利用している場合は特に。
Windows XP SP1 が出ています。 SP1 では多くのセキュリティ問題が修正されていますので、できるだけ速やかな適用を推奨しますが、 新着サポート技術情報 を見ると、いくつかの問題も発生しているようです。 インストール済のソフトウェアの XP SP1 対応状況などの情報を入手の上、インストールしてください。
なお、Windows XP SP1 には Internet Explorer 6 SP1 が含まれています。
すでに旧聞に属しますが、 Windows 2000 SP3 が登場しています。 Windows 2000 ユーザには、できるだけ速やかな適用を推奨します。
QuickTime 5.0.2 for Windows の ActiveX コンポーネントにセキュリティ上の弱点が発見されています。
修正プログラムは公開されていません。 QuickTime 6 for Windows にはこの弱点はありませんので、QuickTime 6 for Windows へのアップグレードを推奨します。
Microsoft からいくつかのセキュリティ警告が公開されています。 特に重大なものとしては、以下が挙げられます。
Certificate Enrollment Control の問題により、デジタル証明書が削除される (Q323172) (MS02-048)
TSAC ActiveX コントロールのバッファオーバーランにより、コードが実行される (Q327521) (MS02-046)
いずれも patch が配布されていますので、速やかに適用してください。 MS02-042, MS02-046, MS02-047 については Windows Update 経由で適用できますが、 MS02-044 と MS02-048 については (まだ) Windows Update 経由では適用できません。 patch ファイルを手動で入手し、適用してください。
CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries が改訂されています。従来 bind 9 を利用した local caching DNS server を経由させることにより回避可能とされていた問題が、実は回避不可能であることが明らかとなりました。理工学部でもこの回避方法を採用していましたが、これはもはや無効です。 稼働している全てのコンピュータ上で、安全な resolver ライブラリを利用できるようにする必要があります。
具体的には、多くの Linux や SGI IRIX、Windows、Mac OS X ではこの問題が存在しないか回避可能ですが、BSD UNIX や Sun Solaris, IBM AIX、HP HP-UX などには問題があります。既に各ベンダーから patch が公開されていますので、速やかに適用してください。詳細については CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries を参照してください。
Apache の弱点ですが、さらにいくつかの fix package が登場しました:
apache (2002-06-21) (Kondara MNU/Linux)
apache: httpdサーバーのサービス停止 (TurboLinux)
DSA-133-1 apache-perl -- remote DoS / exploit (Debian GNU/Linux)
Apache の弱点ですが、さらにいくつかの fix package が登場しました:
●2002,06,21● Apache にセキュリティホール (Vine Linux 2.1.x)
apacheセキュリティ 2002/06/20 (Miracle Linux)
昨日紹介した Apache の弱点ですが、1.2.2〜1.3.24 において、64bit UNIX 版や Windows 版 (win32 版) だけでなく、32bit UNIX 版においても外部から任意のコードが実行可能であることが判明しました。すでに攻撃プログラムが開発され、公開されています。極めて危険な状況です。可及的速やかに対応してください。 CERT Advisory も改訂されています。
いくつかの OS において fix package が登場しています。
●2002,06,19● Apache にセキュリティホール (Vine 2.5)
Vine 2.1.x 用はまだないようです。
[RHSA-2002:103-13] Updated Apache packages fix chunked encoding issue (RedHat)
[SECURITY] [DSA-131-2] Apache chunk handling vulnerability, update (Debian GNU/Linux)
DSA-132-1 apache-ssl -- remote DoS / exploit (Debian GNU/Linux)
OpenBSD 3.1 Security Advisories #005: SECURITY FIX: June 19, 2002
Apache 1.2.2〜1.3.24、2.0.0〜2.0.36 に重大な弱点が発見されました。 外部からの使用不能攻撃の他、64bit UNIX 版や Windows 版 (win32 版) の Apache 1.2.2〜1.3.24 に対しては、外部から任意のコードが実行可能となっており、たいへん危険です。
この問題点が解消された Apache 1.3.26、2.0.39 が登場しています。Apache 管理者は速やかに更新してください。ftp://ftp.st.ryukoku.ac.jp/pub/network/www/apache/dist/httpd/ から入手できます。各 Linux ディストリビュータからもまもなく対応パッケージが登場すると思われます。
2002.05.17 にお伝えした MSN チャットコントロールの問題ですが、Microsoft から配布されている修正プログラムが更新されています。
古い修正プログラムでは全ての問題が解決されないことが明らかになっています。MSN チャットを利用したことのある方、あるいは MSN Messenger / Exchange Instant Messenger 利用者は、速やかに新しい修正プログラムを適用してください。
Internet Explorer 5.01 / 5.5 / 6、Proxy Server 2.0、ISA Server 2000 における gopher:// プロトコルの扱いに問題のあり、悪意のある web サイトや HTML メール送信者により任意のコードが実行可能であることが明らかになりました。
まだ修正プログラムが作成されていませんので、回避方法を取る必要があります。理工学部では、proxy/cache サーバ において gopher:// プロトコルを無効化することによってこの問題を一時的に回避しています。 修正プログラムが作成された時点で gopher:// 無効化を取り消しますので、その際には修正プログラムの適用をお願いいたします。
ソニー、東芝、NEC、日立製の特定の PC にプリインストールされている、ジャストシステム製ソフトウェア「CyberSupport for XX」(XX にはパソコン製品名やメーカ名が入る) にセキュリティ問題があり、悪意ある web ページや HTML 形式電子メールを介した攻撃が可能で、ローカルファイルを変更・破壊される恐れがあります。
上記リンクに記載されている「対象機種一覧」を参照し、該当する場合は修正プログラムを適用してください。
Windows 版 PostPet 2.05 以前、 PostPet kids 1.01 以前, PostPet ViaVoice 対応版 2.05 以前に問題があり、Internet Explorer と組みあわせて利用した場合に、悪意ある web サイトが任意のコマンドを実行できる可能性があります。
PostPet 2.06、PostPet kids 1.02、PostPet ViaVoice 対応版 2.06 で修正されていますので、アップデートした上で、添付書類フォルダに保存されている過去の添付ファイルは削除してください。
問題の詳細: [memo:3953] Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール、 [memo:3956] Re: Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール
Windows NT 4.0 / 2000 に問題があり、任意のローカルユーザが管理者権限を取得できることが明らかになっています。
マイクロソフトから修正プログラムが配布されていますので、適用してください。
Exchange 2000 に問題があり、「ある状態」(詳細不明) のメールを受信すると、その処理中に CPU 利用率が 100% になってしまい、その間他の機能が妨害されてしまうことが明らかになっています。
マイクロソフトから修正プログラムが配布されていますので、適用してください。なおこの問題は Exchange 5.5 には存在しません。
Macromedia のアプリケーションサーバ JRun 3.0、3.1 の Windows 版に問題があり、外部からの攻撃により任意のコードを SYSTEM 権限で動作させることができてしまいます。
最新の JRun 3.0/3.1 用累積 patch を適用すれば、この問題は解決されます。 また JRun 4.0 にはこの問題はないので、JRun 4.0 に upgrade してもよいです。
関連: NGSSoftware Insight Security Research Advisory: JRun 3.1 Remote System Buffer Overrun
「jdbgmgr.exe ファイルはウィルスなので、検索し削除してください」 という内容のデマメールが流行しているようですので、ご注意ください。本学でも、これにひっかかった人が出ているようです。 詳細、および誤って削除してしまった場合の復元方法については、 jdbgmgr.exe に関する情報 (Microsoft)、 「jdbgmgr.exe」に関するデマメール情報 (IPA) を参照してくだだい。
なお、デマメールにつけこんだ、本当のウィルスが発生する可能性もあります。 メール情報を過信するのはやめて、アンチウィルスベンダーの 1 次情報を参照したり、アンチウィルスソフトを最新のウィルスデータに基づいて利用したりして確認してください。 手元のコンピュータ/アンチウィルスソフトの状態が信頼できない場合は、 ウイルスバスター On-Line Scan などを利用するのも 1 つの方法です。
Opera 6.01 以前に、悪意ある web サイトにより任意のローカルファイルや cookie、cache 情報を盗まれてしまう弱点があると指摘されています。
Opera 6.02 において修正されているようですが、Opera 自身が何のアナウンスも出しておらず、セキュリティ情報の公開という観点では極めてお粗末な組織であることが明らかになっています。Opera を利用する際は、そのような組織が作成している事も認識しておくべきだと考えます。
なお、Opera 6.02 日本語版はまだ登場していないようです。 6.02 が登場するまでは、Opera においても JavaScript を無効にしておきましょう。
Microsoft Internet Exploer (IE) 5.01 SP2 / 5.5 SP1 / 5.5 SP2 / 6.0 において、新たに 5 種類の問題が発見され、修正されています。 IE 利用者は修正プログラムを直ちに適用してください。
MS02-023 で「修正された」とされているものの 1 つ、「ローカル HTML リソースに存在するクロスサイトスクリプティングの脆弱性」 は 2002.04.19 に紹介した IE allows universal Cross Site Scripting のことです。IE 6 では修正されています。
ところがその後 GreyMagic Security Advisory Appendix GM #001-AX: Appendix to "IE allows universal Cross Site Scripting" という指摘があり、IE 6 だけでなく IE 5.0x / 5.5 でも同様の問題があることが明らかとなっているのですが、MS02-023 にはこの部分への修正が含まれていません。IE 6 にしか修正が行われていないのです。つまり、IE 5.01 SP2 / 5.5 SP1 / 5.5 SP2 の利用者には依然として universal Cross Site Scripting 問題が影響しているのです。
また、Using the backbutton in IE is dangerous の問題については MS02-023 では修正されていません。MS02-023 修正プログラムを適用しても存在しつづけています。
以上により、MS02-023 修正プログラムを適用した後においても、インターネットゾーンのアクティブスクリプトは停止した方がよいでしょう。
Microsoft から、MSN チャットで用いる MSN Chat Control (ActiveX コントロール) にバッファオーバーフローする問題があり、悪意ある web ページや HTML メールにより、攻撃者がユーザコンピュータ上で任意のコマンドを実行できてしまう問題があると報告されています。
MSN チャットを利用したことのある方は修正プログラムを適用してください。 また、MSN Chat Control は MSN Messenger 4.5 / 4.6、Microsoft Exchange Instant Messenger 4.5 / 4.6 にも含まれていますので、これらを利用されている方も修正プログラムを適用してください。
MSN チャットを利用したことがあるかどうかよくわからない場合も、修正プログラムを適用してください。修正プログラムは MSN Chat Control の存在を検査し、 MSN Chat Control がなければ何もせずに終了します。
2002.05.01 にお伝えした、Mac 版 Internet Explorer (IE) や Microsoft Office に大きな弱点があると告知されていた問題の、PowerPoint 98 for Mac 用の修正プログラムが登場しました。PowerPoint 98 for Mac 利用者は適用してください。
2002.05.01 の Mozilla / Netscape 6 の問題ですが、 Mozilla 1.0 RC2、 Netscape 6.2.3 で修正されました。Netscape 日本語ページの記述はなんだかおかしいのですが、 ftp://ftp.netscape.com/pub/netscape6/japanese/6.2.3/ から入手できます。 Mozilla 1.0 RC1 以前、Netscape 6.2.2 以前をお使いの方は最新版に更新してください。
Linux を利用している場合は、各ディストリビュータから配布されているパッケージをインストールした方がよいでしょう。
hotmail
の「[サインアウト] をクリックするまで、すべての .NET Passport 対応サイトにサインインしたままにする
」オプションを使う場合、
cookie の有効期間がとても長くなるために、cookie を盗まれた場合に極めて危険であると指摘されています:
『ホットメール』にクッキー盗難セキュリティーホール
(WIRED NEWS)。
「[サインアウト] をクリックするまで、すべての .NET Passport 対応サイトにサインインしたままにする
」オプションは使わないようにしてください。
Macromedia Flash ActiveX OCX の Version 6, revision 23 (6.0.23.0) 以前に buffer overflow する弱点が発見されました。これを悪用されると、悪意ある web ページや HTML メールにより、ユーザコンピュータ上で攻撃コードを実行され、 ウィルスの実行やファイルの破壊などが行われる可能性があります。 詳細: Macromedia Flash Activex Buffer overflow 。
最新の Flash で修正されていますので、Internet Explorer 利用者は入れかえて下さい。
2002.05.01 の mozilla / netscape 6 の問題ですが、mozilla については 最新の開発版 では修正されています。まもなく登場すると考えられる mozilla 1.0 RC2 以降ではこの問題は修正されているはずです。
mozilla 0.9.7 以降、Netscape 6.1 以降において、XMLHTTP 実装に問題があり、悪意ある web サイトが local file を取得できる弱点があると指摘されています。
この問題に関する修正プログラムはまだ存在しません。 登場次第、このページで告知します。
Microsoft から、Mac 版 Internet Explorer (IE) や Microsoft Office に大きな弱点があると告知されていた問題の、Outlook Express や Microsoft Office for Mac 用の修正プログラムが公開されています。
ただし、PowerPoint 98 for Mac 用の修正プログラムだけは、まだありません。 登場次第、このページで告知します。
FreeBSD 4.5-RELEASE において、外部から使用不能攻撃が可能となる弱点が 2 点 (正確には 3 点) 公開されています。
FreeBSD 4.5-RELEASE を利用している方は、示されている patch を適用した後に kernel を再作成し、インストールしたうえで再起動してください。 なお、FreeBSD 4.4-RELEASE 以前にはこの問題はありません。
Microsoft から、Mac 版 Internet Explorer (IE) や Microsoft Office に大きな弱点があると告知されています。 この弱点を利用すると、例えば、悪意ある web page 作成者がユーザの Mac 上でウィルスを実行させたりすることが可能になります。
更新版の IE 5.1.4 for Mac OS X についてはソフトウェアアップデート経由で、 IE 5.1.4 for Mac OS 8 & 9 については上記 web page で配布されています。Mac 版 IE 利用者は、速やかに更新してください。
Office についてはまだ修正プログラムがありません。 登場次第、このページで告知します。
まだ Microsoft から修正プログラムが公開されていない、 Windows 版 Internet Explorer (IE) の弱点が 2 点報告されています。
いずれにおいても、ローカルコンピュータゾーンでの任意のコマンドの実行が可能となりますので危険性は大きいです。アクティブスクリプトを停止することで回避できます。 少なくとも、インターネットゾーンのアクティブスクリプトは停止した方がよいでしょう。
Microsoft から、 Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018) が公開されています。IIS 4.0/5.0/5.1 に新たな 10 個の弱点が発見され、修正されたそうです。 これらの中には外部から任意のコマンドを実行できるものも含まれており、放置しておくと CodeRed / Nimda 級の被害が発生する可能性が非常に高いです。
早急に修正プログラムを適用してください。
Microsoft から、XMLHTTP コントロールにより、ローカルファイルにアクセスすることができる (MS02-008) 問題の MSXML 2.6/3.0 用修正プログラムが新たに登場しています。 Internet Explorer (IE) 6 には MSXML 3.0 が含まれていますので、IE 6 利用者は忘れずに適用してください。
問題があるのは MSXML 2.6/3.0/4.0 です。 アプリケーションによっては MSXML 2.6/3.0/4.0 を含んでいますので、 各自で MS02-008 に記述された方法によって存在・非存在を確認の上、必要であれば修正プログラムを適用してください。
Microsoft Internet Explorer 5.01 SP2, 5.5 SP1/2, 6 用の最新の修正プログラムが登場しています: 「MS02-015 : 2002年3月28日 Internet Explorer 用の累積的な修正プログラム」に関する要約情報。 これまで修正された全ての問題の他に、以下の 2 点の問題が修正されています。
Local Executable Invocation via Object tag
Cookie-based Script Execution
詳細は不明ですが、cookie に組み込んだ script を Local Computer Zone で実行させられるようです。
また、一旦サポートが停止されていた Windows NT 4.0 SP6a 上での IE 5.01 SP2 の動作が再サポートされています。しかし Windows 9x/Me ではあいかわらず IE 5.5 SP1 以上しかサポートされていません。
win32 版の apache 1.3.23 以前、2.0.33-BETA 以前に重大な問題が発見されました。.bat, .cmd な CGI プログラムが存在すると、これを通して外部からシェルコマンドを実行できてしまいます。この問題は UNIX 版 apache には存在しません。
詳細情報: Vulnerability in Apache for Win32 batch file processing - Remote command execution
回避方法: .bat, .cmd な CGI を削除します。特に、2.0.33-BETA 以前の 2.0.x には /cgi-bin/test-cgi.bat がデフォルトでインストールされているため注意が必要です。
対応方法: 1.3.24, 2.0.34-beta 以降に upgrade します。ただし、 まだリリースされていません。来週早々にも登場する模様です。
2002.03.29 追記
apache 1.3.24 がリリースされています。 ftp://ftp.st.ryukoku.ac.jp/pub/network/www/apache/dist/httpd/ から入手してください。