nop氏は、daxctle.ocxに含まれるDirectAnimationパスのActiveXコントロールにヒープ・オーバーフローの脆弱性が存在し、任意のコードが実行できる危険性のあることを報告した。細工したWebページをInternet Explorer（IE）で開くだけで、コードが実行されてしまう。

・Bugtraq（[0day] daxctle2.c - Internet Explorer COM Object Heap Overflow Download Exec Exploit）：
http://www.securityfocus.com/archive/1/445898/30/30/threaded

　実行ファイルをダウンロード（実行）するように細工されたWebページを作成するための実証コードが公開されており、悪用される危険性が高まっている。この脆弱性は、スパイウェアやアドウェアのインストールに悪用されることが懸念されるものである。

　なおDA Labで、公開されている実証コードを試したところ、Windows 2000＋IE 6 SP1、Windows XP SP1a＋IE 6 SP1、Windows XP SP2においてIEが異常終了することを確認した。ただし仕込まれた実行ファイルの実行やダウンロードは行われなかった。

　この脆弱性について、すでにマイクロソフトは、セキュリティ・アドバイザリを公開し、警告を発している。ただし現在のところ、マイクロソフトからこの脆弱性に対する修正プログラムは提供されていない。

・セキュリティ・アドバイザリ 925444（Microsoft DirectAnimation パスの ActiveX コントロールの脆弱性により、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/advisory/925444.mspx

　脆弱性を回避するには、以下のCLSIDにkillbitを個別に設定すればよい。killbitを設定する方法は、「セキュリティTIPS：Internet ExplorerでActiveXコントロールの実行を個別に禁止する方法」を参照してほしい。ただし、daxctle.ocxに対してkillbitを設定すると、DirectAnimation パスなどdaxctle.ocxの機能を利用しているWebサイトではページが表示されなくなるので注意が必要だ。

・セキュリティTIPS（Internet ExplorerでActiveXコントロールの実行を個別に禁止する方法）：
http://www.hotfix.jp/archives/tips/2005/tips05-04.html

脆弱性識別番号：
・CVE-2006-4777
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4777

HotFix Report BBS関連スレッド：
・Internet Explorerにコード実行の脆弱性、パッチ未提供
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5859

　アドビ システムズは、Flash Player 8.0.24.0とそれ以前のバージョンに複数の脆弱性が存在することを明らかにし、Flash Player 9.0.16.0へのバージョンアップを推奨するアドバイザリを公開した。またWindows XPにFlash Playerを同梱する形で再配布していることから、マイクロソフトもセキュリティ・アドバイザリを公開し、Flash Playerのバージョンアップを推奨している。

・Adobe Systems（Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions）：
http://www.adobe.com/support/security/bulletins/apsb06-11.html

・セキュリティ・アドバイザリ 925143（Adobe セキュリティ速報: APSB06-11: Flash Player の脆弱性を解決するアップデート）：
http://www.microsoft.com/japan/technet/security/advisory/925143.mspx

　Flash Player 8.0.24.0とそれ以前のバージョンには、2006/07/12日付け配信のHotFix Weeklyで報告済みの2種類（CVE-2006-3587とCVE-2006-3588）の脆弱性のほか、合計5種類の脆弱性が存在する。細工されたSWFファイル（Flashのデータ・ファイル）を再生すると、任意のコードが実行される危険性のある脆弱性が含まれているため、非常に危険な状態にある。

・HotFix Weekly 2006/07/12日付け配信（Flash Playerに2種類の脆弱性）：
http://www.hotfix.jp/archives/alert/2006/news06-0712.html#04

　Flash Playerは、Windows XPにデフォルトでインストールされているほか、多くのWebサイトがFlashのコンテンツを採用していることから、ほとんどのコンピュータでインストールされているものと思われる。脆弱性が公開されてから2カ月以上が経過していることから、悪用される危険性は高まっている。

　アドビ システムズのアドバイザリによれば、脆弱性を解消するには、最新のFlash Player 9.0.16.0へのバージョンアップが必要であるということだ。Flash Playerの最新版は、以下のアドビシステムズのページからインストールできる。至急、バージョンアップした方がよい。

・アドビ システムズ（Adobe Flash Player）：
http://www.adobe.com/jp/products/flashplayer/

脆弱性識別番号：
・CVE-2006-3014
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3014

・CVE-2006-3311
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3311

・CVE-2006-3587
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3587

・CVE-2006-3588
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3588

・CVE-2006-4640
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4640

HotFix Report BBS関連スレッド：
・Flash Playerに複数の脆弱性、9.0.16.0で解消
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5850

　マイクロソフトは、Windows Server 2003 SP1において、MS06-040の修正プログラムを適用すると、大量の連続メモリを要求するプログラムでエラーが発生する不具合が発生することを明らかにした。プログラムが1Gbytes以上のメモリを要求すると予期しないエラーが発生し、コンピュータが異常終了することがあるという。

・サポート技術情報 924054（Windows Server 2003 Service Pack 1 または Windows XP Professional x64 Edition ベースのコンピュータにセキュリティ更新プログラム 921883 (MS06-040) をインストールすると、大量の連続メモリを要求するプログラムでエラーが発生することがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;924054

　すでにこの不具合を解消した更新版（バージョン2）の修正プログラムが提供されている。すでにMS06-040の旧版の修正プログラムが適用済みの場合でも、アンインストールせずに更新版の修正プログラムが適用可能である。また更新版には、Windows Server 2003 SP未適用向けも含まれているが、今回の不具合が発生するのはSP1／R2のみで、SP未適用向けの修正は旧版と同じものである。

■適用されるファイル情報
　以下のファイルが置き換わる。背景がサクラ色のファイルが、旧版から更新版で変更となったものである。

　Mozilla Foundationは、従来のFirefox／Thunderbirdで発見された合計8件の脆弱性を解消したFirefox／Thunderbird 1.5.0.7の提供を開始した。脆弱性の内容は下表のとおり（○が脆弱性の対象となっているもの）。

・Mozilla Foundation（Mozilla 製品における既知の脆弱性）：
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

　Firefox／Thunderbird 1.5.0.7では4件の緊急性の高い（重要度が「最高」）の脆弱性の解消がそれぞれ含まれている。任意のコードが実行される脆弱性が含まれているので、危険性が高い。至急、バージョンアップした方がよい。

　Firefox／Thunderbird 1.5を利用している場合は、Firefox／Thunderbirdを起動していると自動的に［ソフトウェア更新］ダイアログが表示され、更新が促されるようになっている（デフォルト設定の場合）。指示に従ってFirefox／Thunderbird 1.5.0.7をインストール後、Firefox／Thunderbirdを再起動することでバージョンアップが行われる。また Firefox／Thunderbirdの［ヘルプ］−［ソフトウェアの更新を確認］を選択することでも、最新バージョンの有無のチェックとインストールが実行可能だ。

・CVE-2006-4339
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4339

・CVE-2006-4340
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340

・CVE-2006-4565
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565

・CVE-2006-4566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566

・CVE-2006-4567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4567

・CVE-2006-4568
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4568

・CVE-2006-4569
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4569

・CVE-2006-4570
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4570

・CVE-2006-4571
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571

HotFix Report BBS関連スレッド：
・Firefox／Thunderbirdに複数の脆弱性。1.5.0.7で解消
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5860