Software Labo.
Copyright © 2002 Yasuhiro ARAKAWA

コンピュータ・ネットワークのセキュリティに関する覚え書
2002年版

セキュリティ関連ニュース | ウイルス対策 | [特集] 無線LAN | 技術ドキュメント リンク集 | セキュリティ関連ツール

セキュリティ関連ニュース

マイクロソフト関連の情報については別章を参照してください。

2003/01/10 : ウイルス・不正アクセス届出状況(12月分及び2002年分) (IPA/ISEC)
2002/12/16 : Multiple Vulnerabilities in SSH Implementations (CERT/CC: Advisory CA-2002-36), 複数ベンダーのSSH製品にセキュリティ・ホール,管理者は要確認 (IT Pro) → SSH 各製品の状況については CERT/CC の 「Vulnerability Note VU#389665」 の最新情報をチェックする事
2002/12/15 : Macromedia Flash Malformed Header Vulnerability Issue (Macromedia) → 最新版でFIX
2002/12/04 : Windows XP Disclosure of Registered AP Information (SNS Advisory No.60) → Windows XP の無線 LAN 機能を無効にする
2002/11/22 : Mulitple Buffer Overflow conditions in RealPlayer/RealOne (BUGTRAQ)
2002/11/19 : Double Free bug in zlib compression library (Sun Security Bulletin #00220): Sun Java JDK/SDK/JRE 1.1.8, 1.2.2, 1.3.0, 1.3.1, 1.4.0 が対象 → 各バージョンの最新版にアップグレードするか 1.4.1 に移行する
2002/11/11 : Multiple vulnerabilities in Tiny HTTPd (BUGTRAQ) → パッチあり
2002/10/30 : Buffer Overflow in iSQL*Plus (Oracle9i Database Server): PDF
2002/10/24 : Microsoft Windows 2000 SNMP service leaks memory when querying printer objects if spooler service is stopped (CERT/CC: Vulnerability Note VU#887393) → SP3 でFIX。
2002/10/24 : 2002年第3四半期[7月-9月]不正アクセス届出状況 (IPA/ISEC)
2002/10/22 : Vulnerable cached objects in IE (9 advisories in 1) (BUGTRAQ) → IE6SP1 へのアップグレードを強く推奨 (ただし,それでも2つの脆弱性が残るらしい)。 完全に防ぐにはアクティブスクリプトをオフにする。
2002/10/11 : TSAC Web package/IIS 5.1 connect.asp Cross-site Scripting Vulnerability (SNS Advisory No.56)MS02-046 でFIX。
2002/10/03 : Multiple Vendor Long ZIP Entry Filename Processing Issues (VulnWatch)MS02-054 など
2002/09/15 : AES News (Crypt-Gram Newsletter)AES暗号に理論的攻撃法が発見か? ~ 依然として利用には支障なし (INTERNET Watch)
2002/09/14 :
(2000/08/26)  		 MS Wordに文書のハイジャックを許す問題点 (ZDNN)Security side-effects of Word fields (BUGTRAQ) → 報告された Microsoft Word フィールドの脆弱性に関する情報 (Microsoft)MS02-059 でFIX。
2002/09/12 : Bypassing SMTP Content Protection with a Flick of a Button (SecuriTeam.com): RFC2046 で定義されている Fragmentation and Reassembly 機構を利用するとアンチウィルスゲートウェイを回避してウィルスを送り込むことが可能になる,という話。
2002/09/10 : Apple QuickTime ActiveX v5.0.2 Buffer Overrun (BUGTRAQ) → QuickTime 6 for Windows でFIX。
2002/09/10 : Internet ExplorerのJava環境にセキュリティーホール (INTERNET Watch) → パッチは準備中。 現時点では MS JavaVM を無効にして Sun の Java Plug-in を使うのが吉。
2002/09/06 : Remotely Exploitable Buffer Overflow in PGP (BUGTRAQ) → 修正パッチあり
2002/09/05 : Shuriken Pro2などに任意コマンド実行、添付ファイル強制起動のセキュリティホール (セキュリティホールmemo), → 修正パッチあり
2002/08/19 : Internet Explorer Can Read Local Files (XML Datasource) (SecuriTeam.com)
2002/08/17 : Multiple security vulnerabilities inside Microsoft File Transfer Manager ActiveX control (<4.0) [buffer overflow, arbitrary file upload/download] (BUGTRAQ) → File Transfer Manager 4.0 で FIX (「Important Security Information: Upgrade to File Transfer Manager 4.0 Today」 メール日本語訳も参照)
2002/08/16 : Repost: Buffer overflow in Microsoft DirectX Files Viewer xweb.ocx (<2,0,16,15) ActiveX sample (BUGTRAQ) → Windows 2000 SP3, Windows XP SP1 で FIX
2002/08/14 : Multiple vendors' Internet Key Exchange (IKE) implementations do not properly handle IKE response packets (CERT/CC: Vulnerability Note VU#287771) → 修正パッチあり
2002/08/09 : Apache 2.0 vulnerability affects non-Unix platforms (非 Unix プラットフォーム上の Apache 2.0 に脆弱性) (Apache) → Apache 2.0.40 で FIX
2002/08/08 : Exploiting the Google toolbar (GM#001-MC) (BUGTRAQ) → google ツールバー 1.1.59/1.1.60 で FIX
2002/08/07 : Macromedia Flash plugin can read local files (BUGTRAQ) → Macromedia Flash 6,0,47,0 で FIX
2002/08/05 : IE SSL Vulnerability (BUGTRAQ) 米Microsoft、IEのSSL実装に「なりすまし」可能な脆弱性 (INTERNET Watch)
2002/08/05 : Eudora 5.x for Windows Buffer Overflow Vulnerability rev.2 (SNS Advisory No.55) → 次期バージョンで FIX 予定
2002/08/04 : Opera FTP View Cross-Site Scripting Vulnerability (PTRS) → Opera 6.05 で FIX
2002/08/04 : Mozilla FTP View Cross-Site Scripting Vulnerability (PTRS) → Mozilla 1.0.1 または 1.1 Beta で FIX
2002/07/30 : OpenSSL 0.9.6d / 0.9.7 beta2 以前に複数の弱点 (セキュリティホールmemo), OpenSSL Security Advisory [30 July 2002] (OpenSSL.org) → OpenSSL 0.9.6e および 0.9.7-beta3 で FIX (Opera 6.04 なども影響を受けるので注意)
2002/07/30 : Winhelp32 Remote Buffer Overrun (BUGTRAQ)
2002/07/30 : Windows mplay32 buffer overflow (BUGTRAQ)
2002/07/30 : Multiple Vulnerabilities In OpenSSL (CERT/CC: CA-2002-23), OpenSSL Security Advisory [30 July 2002] (OpenSSL.org), OpenSSL に複数の脆弱性 (IPA/ISEC) → OpenSSL 0.9.6e および 0.9.7-beta3 でFIX
2002/07/24 : Mozilla cookie stealing (BUGTRAQ): Mozilla 0.9.2 - 1.1Alpha および Netscape 6.0 - 6.2.2 が対象 → 「cookieを読む」をOFFにすることで回避可能。 またMozilla 1.1Beta ではFIXされている。
2002/07/23 : Pressing CTRL in IE is dangerous (BUGTRAQ)
2002/07/23 :
(2000/04/14)  		 Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default (CERT/CC: Vulnerability Note VU#458659) → 回避方法についてはセキュリティホールmemoの記事が参考になります
2002/07/23 : Vulnerability in PHP (CERT/CC: CA-2002-21) → PHP 4.2.2 でFIX
2002/07/16 : ICQ and MSIE allow execution of arbitrary code (BUGTRAQ)
2002/07/12 : Portcullis Security Advisory - IIS Microsoft SMTP Service Encapsu lated SMTP Address Vulnerability (BUGTRAQ) →MS02-037でFIX,かな
2002/07/11 : MFC ISAPI Framework Buffer Overflow (BUGTRAQ) → これを回避するためには Visual Studio 6.0 SP4 で再コンパイルする必要がある。
2002/07/10 : Remote PGP Outlook Encryption Plug-in Vulnerability (BUGTRAQ) (ZDNetの記事) (CNETの記事) → パッチを適用すること
2002/07/10 : IE allows universal Cross Domain Scripting (BUGTRAQ) (CNETの記事)
2002/07/09 : Sun iPlanet Web Server Buffer Overflow (BUGTRAQ) → iPlanet Web Server 6.0 Service Pack 3 / 4.1 Service Pack 10 でFIX
2002/07/09 : iPlanet Remote File Viewing (BUGTRAQ) → iPlanet Web Server 6.0 Service Pack 3 / 4.1 Service Pack 10 でFIX。 検索機能を無効にすることでも回避できる。
2002/06/25 : Winbiffユーザーの皆様へ重要なお知らせ (ActiveX コントロール EditX にセキュリティ上の脆弱性あり) → EditX 1.23 以降でFIX。 Winbiff の最新版には EditX 1.23 が同梱されている
2002/06/24 : Becky! 1.26.08以前および2.00.08以前に、添付ファイルが強制起動されるセキュリティホール ([memo:4294]) → Becky! 2.00.09 または 1.26.09 以降でFIX
2002/06/20 : Insecure temporary files in Acrobat Reader 4.05 (BUGTRAQ)
2002/06/20 : Apache Tomcat Denial of Service (BUGTRAQ) → Apache Tomcat (on Windows 2000 server) 4.1.3 beta でFIX
2002/06/19 : Apache Tomcat Path Disclosure (BUGTRAQ) → Apache Tomcat (on Windows 2000 server) 4.1.3 beta でFIX
2002/06/19 : OpenDataSource Buffer Overflow (NGSSoftware.com) → MDAC 2.6 SP2 でFIX ([pml-security,00434])
2002/06/17 : SECURITY ADVISORY: June 17, 2002 (Apache): Apache Web サーバにおける chunk データ処理の脆弱性 (IPA/ISEC) (CERT/CC: CA-2002-17) → Apache 1.3.26、2.0.39 で FIX (1.2.x 用の FIX はなし), セキュリティホール memo の囲み記事も参照のこと
2002/06/13 : Oracle Reports Server の潜在的なセキュリティの脆弱性R6i Patch10 適用方法
2002/06/13 : Active! mail Executing the Script upon the Opening of a Mail Message Vulnerability (SNS Advisory No.54)Active! mail ver.2.0.1.1 でFIX
2002/06/12 : Oracle9i TNS Listener の潜在的なDoS脆弱性について9.0.1.3.1 Patch3 適用方法
2002/06/06 : SQL Server 2000/MSDE 2000 Buffer Overflow Vulnerability (incidents.org) → MS02-039 でFIX
2002/06/06 : Microsoft Internet Explorer 'Folder View for FTP sites' Script Execution vulnerability (BUGTRAQ), インターネット エクスプローラの「FTPサイト用フォルダ ビュー」がスクリプトを実行する脆弱性 (PTRS) → Windows 2000 SP3 でFIX
2002/06/05 : Bypassing JavaScript Filters - the Flash! Attack (BUGTRAQ) (EyeonSecurity Inc. による解説)
2002/06/04 : Buffer overflow in MSIE gopher code (BUGTRAQ) ([memo:4101]) → MS02-027 でFIXしました。
2002/06/01 :
(2002/02/12)  		 Web browsers ignore the Content-Type header, thus allowing cross-site scripting (BUGTRAQ): Content-Type: text/plain なページでIEに生ずるクロスサイトスクリプティングの問題 ([memo:4015]) ([memo:4017]: Opera については 「MIMEタイプで処理を判断する」 にすれば防止できます)
2002/05/27 : Reading ANY local file in Opera (BUGTRAQ) → Opera 6.03 以降でFIXしています。
2002/05/27 : Yahoo! Instant Messenger (YIM) Hi-Jack 101-- Multiple Vulnerabilities (BUGTRAQ) → build 1065 でFIXしています。 また最新の日本語版では影響がないそうです。
2002/05/24 : Windows XP で、Windows Update を実行した後、フリーズが多発するようになった場合の対処方法
2002/05/24 : Windows 版 PostPet に添付ファイルが強制起動されるセキュリティホール ([memo:3953])
2002/05/21 : CyberSupport のセキュリティに関する重要なお知らせ: SONY製品固有の問題ではないので注意 ([memo:3945])
2002/05/16 : Microsoft Windows XP で「ルート証明書」を Microsoft により動的に管理・インストールしてしまう問題 ([memo:3827], [memo:3835]) → Microsoft ルート証明書プログラム ([memo:3950])
2002/05/15 : Opera javascript protocoll vulnerability (BUGTRAQ) → Opera 6.02 以降でFIXしています。
2002/05/08 : IIS 5.0 .ASP バッファオーバーフロー脆弱性の攻略 (IPA/ISEC)
2002/05/03 : Macromedia Flash Activex Buffer overflow (BUGTRAQ): Flash の ActiveX プラグインに脆弱性 → Macromediaの最新版ダウンロードページ
2002/04/30 : Reading local files in Netscape 6 and Mozilla (BUGTRAQ): Mozilla / Netscape 6.x に MS02-008 と同様の脆弱性 → Mozilla 1.0RC2, Netscape 6.2.3 以降でFIXしています。
2002/03/21 : CD-R/RW ディスクにコピーしたファイルまたはフォルダが消失する修正プログラム

ウイルス対策

[特集] 無線LAN

技術ドキュメント リンク集

Microsoft TechNet Security より

リリース情報

セキュリティ情報

Microsoft 製品の技術情報 (上記以外)

セキュリティ一般

暗号関連

書籍

その他補助情報

セキュリティ関連ツール