このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2005/06/29


不具合ならびに追加情報

情報の種類 セキュリティ番号 タイトル
脆弱性 −/902333 複数のブラウザにダイアログ偽装を可能にする脆弱性
脆弱性 −/− RealPlayerに任意のコードが実行可能となる4種類の脆弱性
サポート −/− 6月末でWindows 2000のサポートのメインストリーム・フェーズが終了
脆弱性 −/− セキュリティ・アドバイザリ
不具合 −/− そのほかの不具合情報
 
[脆弱性]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
902333
複数のブラウザにダイアログ偽装を可能にする脆弱性
情報ソース Jakob Balle氏、Secunia、マイクロソフト
情報の内容 ブラウザの脆弱性
条件 ブラウザの利用
報告日 2005年6月21日

 Secunia ResearchのJakob Balle氏は、複数のブラウザにダイアログの偽装を可能にする脆弱性があることを報告した。この脆弱性は、JavaScriptによるダイアログの表示に際して、元となるウィンドウの情報を含まないために起きる。例えば、銀行などの信頼できるWebページを表示させ、続けて不正なWebページを巧妙に配置した上で、JavaScriptを用いてパスワード入力を促すようなダイアログを表示させることで、不正なダイアログであるにもかかわらず、信頼できるサイトが表示したものとユーザーを勘違いさせることが可能になる。フィッシングに悪用される可能性が高い脆弱性である。

・Secunia(Microsoft Internet Explorer Dialog Origin Spoofing Vulnerability):
http://secunia.com/advisories/15491/

 Secuniaでは、この脆弱性を検証するためのWebページを公開している。Internet Explorerの各バージョンのほか、Firefoxでも脆弱性が確認できた。なお、マイクロソフトはこの脆弱性に対するセキュリティ・アドバイザリを公開しており、その中でこの脆弱性に対する修正プログラムの提供はないとしている。脆弱性を回避するには、JavaScriptを無効にすればよい。

・Secunia(Multiple Browsers Dialog Origin Vulnerability Test):
http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/

・セキュリティ・アドバイザリ 902333(元の場所が表示されないブラウザ ウィンドウがフィッシング詐欺に利用される可能性について):
http://www.microsoft.com/japan/technet/security/advisory/902333.mspx

情報の対象:
 Internet Explorer
 Firefox など

関連HotFix Report BBS関連スレッド:
・IE、Mozilla、FireFox、Opera、Apple Safariのブラウザでダイアログ偽装を可能にする脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3296

   
[脆弱性]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
RealPlayerに任意のコードが実行可能となる4種類の脆弱性
情報ソース RealNetworks、Secunia
情報の内容 RealPlayerの脆弱性
条件 RealPlayer/RealOne Playerの利用
報告日 2005年6月23日

 RealNetworksは、RealPlayer、RealOne Player(以下、RealPlayer)に任意のコードが実行可能となる4種類の脆弱性があることを報告し、修正プログラムの提供を開始した。脆弱性の対象となる製品は以下のとおり。ほとんどの製品において最新版へのアップグレードが必要になる。

・リアルネットワークス(RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース):
http://service.real.com/help/faq/security/050623_player/JA/

・Secunia(RealOne / RealPlayer / Helix Player / Rhapsody Multiple Vulnerabilities):
http://secunia.com/advisories/15806/

ソフトウェア 脆弱性の有無 修正プログラムの有無
RealPlayer 10.5(6.0.12.1212) なし
不要
RealPlayer 10.5(6.0.12.1040〜1069) あり
要アップグレード
RealPlayer 10 あり
要アップグレード
RealPlayer 8 あり
要アップグレード
RealPlayer Enterprise あり
RealOne Player v2 あり
要アップグレード
RealOne Player v1 あり
要アップグレード

 今回明らかになった脆弱性は、以下の4種類。

  • 細工したMP3ファイルによってローカル・ファイルが上書きされたり、ローカル・マシン上でActiveXコントロールが実行されたりする危険性
  • RealTextを使用する細工されたRealMediaファイルよりヒープ・オーバーフローが発生し、任意のコードがリモードで実行できる危険性
  • 細工されたAVIファイルによりバッファ・オーバーフローが発生し、任意のコードがリモート実行される危険性
  • 細工されたWebサイトにより、ローカルHTMLファイルが作成され、このローカルHTMLファイルを参照するRMファイルが再生される危険性

 RealPlayerは、Windows Media Playerとともにストリーミング再生ソフトウェアとして広く利用されている。RealPlayerについては、過去にも任意のコードが実行可能な脆弱性が何度も報告されている。古いRealPlayerは攻撃対象となりやすい状態となっているので、RealPlayerをインストールしている場合は、対策済みの最新版に更新するべきだ。

情報の対象:
 RealPlayer 8/10
 RealOne Player v1/v2
 RealPlayer Enterprise
   
[サポート]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
6月末でWindows 2000のサポートのメインストリーム・フェーズが終了
情報ソース マイクロソフト
情報の内容 Windows 2000のサポートのメインストリーム・フェーズ終了
条件 Windows 2000の利用
報告日 2005年6月28日

 マイクロソフトは、同社のライフサイクル・ガイドラインに従ってWindows 2000のサポート期間のメインストリーム・フェーズが2005年6月30日で終了することを明らかにしている。また6月30日をもってWindows 2000 SP3に対するサポートが終了する。

・マイクロソフト(Windows デスクトップ製品のライフサイクル):
http://www.microsoft.com/japan/windows/lifecycle/default.asp

 メインストリーム・フェーズ終了後は、5年間の延長フェーズに移行することになる。延長フェーズでも、引き続きセキュリティ修正プログラムは無償で提供されるが、そのほかの不具合修正プログラムなどは有償による提供に変わる。また有償による製品サポートが必要な場合は、メインストリーム・フェーズが終了してから90日以内にマイクロソフトとのサポート契約が別途必要になるので注意が必要だ。

 また前述のようにWindows 2000 SP3に対するサポートは終了するため、SP3に対するセキュリティ修正プログラムの提供も行われなくなる。まだSP4への移行を行っていない場合には、早期にWindows 2000 SP4のインストールを行った方がよい。

情報の対象:
 Windows 2000

関連HotFix Report BBS関連スレッド:
・Windows 2000のメインストリーム・サポートが6月30日にて終了
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2920

   

■セキュリティ・アドバイザリ

・セキュリティ・アドバイザリ 902333(元の場所が表示されないブラウザ ウィンドウがフィッシング詐欺に利用される可能性について):[IE 5.01][IE 5.5][IE 6]
http://www.microsoft.com/japan/technet/security/advisory/902333.mspx
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3296(HFR BBS)
#IEでダイアログ偽装を可能にする脆弱性があるという警告

・マイクロソフト(マイクロソフト セキュリティ アドバイザリ):
http://www.microsoft.com/japan/technet/security/advisory/default.mspx

 

■そのほかの不具合/追加情報

・サポート技術情報 902997(「コピー」、「切り取り」、「貼り付け」 後、 IME かな入力モードが解除されてしまう):[Windows 2000][Windows XP SP1/SP1a/SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;902997

・サポート技術情報 903063(印刷プレビューを終了すると window.close が動作しない):[IE 6 SP1/SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;903063

・サポート技術情報 315349(Windows XP をフラットからインストールするとエラー メッセージ "指定したインストール元のパスが無効です" が表示される):[Windows XP]
http://support.microsoft.com/default.aspx?scid=kb;ja;315349

・サポート技術情報 810402(Norton Internet Security 2002 がインストールされているとクライアントがドメインに参加できない):[Windows XP]
http://support.microsoft.com/default.aspx?scid=kb;ja;810402

・サポート技術情報 897177(ISA Server 2000 で特定の外部の IP アドレスの "NetBIOS (すべて)" のトラフィックを許可するようにパケット フィルタを構成すると外部のすべての IP アドレスの NetBIOS トラフィックが予期せず許可される):[ISA Server 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;897177

・サポート技術情報 896905(セキュリティ更新プログラム 896358 のインストール後、別のフレームに表示される必要があるコンテンツが HTML ヘルプ ActiveX コントロールを含むフレームに表示される):[Windows 98/98SE][Windows Me][Windows 2000][Windows XP][Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;896905

・サポート技術情報 902297(Microsoft Update の利用を中止するには
):[Windows XP][Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;902297

 

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先
info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。