[HotFix Report 2007/03/07］不具合／追加情報

このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」をご参照ください。

更新日：2007/03/07

不具合ならびに追加情報

情報の種類	セキュリティ番号	タイトル
脆弱性	－／－	Internet Explorer 7などにおけるonunloadイベントの脆弱性により、アドレス・バーが偽装できる危険性
脆弱性解消	－／－	複数の脆弱性を解消したThunderbird 1.5.0.10の提供を開始
不具合	－／－	そのほかの不具合情報

［脆弱性］

HotFix Alert：

－

セキュリティ番号：

－

サポート技術情報：

－

Internet Explorer 7などにおけるonunloadイベントの脆弱性により、アドレス・バーが偽装できる危険性

情報ソース	Secunia、Michal Zalewski氏
情報の内容	Internet Explorer 7などにおけるonunloadイベントの脆弱性
条件	Internet Explorer 7などのブラウザの利用
報告日	2007年2月23日、3月2日

　Secuniaは、Internet Explorer 7などのonunloadイベントのエラー処理に脆弱性が存在し、アドレス・バーが偽装できる危険性があることを報告した。細工したスクリプトにより、onunloadイベントでエラーを発生させ、新しいWebサイトをロードさせることができるという。その際、アドレス・バーが偽装可能になる。フィッシングなどに悪用される危険性のある脆弱性である。

・Secunia（Internet Explorer "onunload" Event Spoofing Vulnerability）：
http://secunia.com/advisories/23014/

　Michal Zalewski氏は、この脆弱性に対する実証コード（Webページ）を公開している。また、Firefoxもこの脆弱性の影響を受ける可能性があることを示唆している。

・Full-disclosure（MSIE7 browser entrapment vulnerability）：
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052630.html

　現在のところ、マイクロソフトからこの脆弱性に対する情報や修正プログラムの提供はない。不審なWebページへのリンクはクリックしないなど、運用で回避する必要がある。

情報の対象：
　Internet Explorer 6
　Internet Explorer 7

［脆弱性解消］

HotFix Alert：

－

セキュリティ番号：

－

サポート技術情報：

－

複数の脆弱性を解消したThunderbird 1.5.0.10の提供を開始

情報ソース	Mozilla Foundation
情報の内容	Thunderbird 1.5.0.10の提供開始
条件	Thunderbird 1.5の利用
報告日	2007年3月5日

　Mozilla Foundationは、かねてより予告していたThunderbird 1.5.0.10の提供を開始した。これにより、重要度が「最高」である2件の脆弱性が解消されるという。互換性や不具合に注意しつつ、なるべく早く更新した方がよいだろう。

・Mozilla Foundation（Mozilla 製品における既知の脆弱性）：
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

MFSA番号	重要度	脆弱性の内容	Thunderbird 1.5.0.10
MFSA 2007-06	最高	Mozilla Network Security Services（NSS） SSLv2のバッファ・オーバーフロー	○
MFSA 2007-01	最高	メモリ破壊の形跡があるクラッシュ（rv:1.8.0.10/1.8.1.2）	○

　Thunderbird 1.5を利用している場合は、Thunderbirdを起動していると自動的に［ソフトウェア更新］ダイアログが表示され、更新が促されるようになっている（デフォルト設定の場合）。指示に従って更新版パッケージをインストールした後、Thunderbirdを再起動することでバージョンアップが行われる。また、Thunderbirdの［ヘルプ］－［ソフトウェアの更新を確認］を選択することでも、最新バージョンの有無のチェックとインストールが実行可能だ。

情報の対象：
　Thunderbird 1.5

脆弱性識別番号：
・CVE-2007-0008
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0008

・CVE-2007-0009
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0009

・CVE-2007-0775
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0775

・CVE-2007-0776
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0776

・CVE-2007-0777
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0777

HotFix Report BBS関連スレッド：
・Thunderbird 1.5.0.10がリリース
http://bbs.hotfix.jp/ShowPost.aspx?PostID=6521#6521

■そのほかの不具合／追加情報

・サポート技術情報 928540（さらに、修正プログラム 896017 を適用した後に、 Internet Explorer 6 のダイアログボックス「ファイルのダウンロード」が突然閉じます）：［Windows XP SP2＋IE 6］
http://support.microsoft.com/default.aspx?scid=kb;ja;928540（機械翻訳）

・サポート技術情報 933528（Windows Vista で Microsoft Update をインストールすると "Microsoft Update をコンピュータにインストールできませんでした" というエラーが表示される）：［Windows Vista］
http://support.microsoft.com/default.aspx?scid=kb;ja;933528

・サポート技術情報 933486（Windows XP Service Pack 1a で書き込みを行った CD-R のファイルが Windows Vista では読めないことがある）：［Windows Vista］
http://support.microsoft.com/default.aspx?scid=kb;ja;933486

・サポート技術情報 930495（スリープからの Windows Vista-based コンピュータが起きる、またはデバイスに再接続した、 IEEE 1394 デバイスはもう利用できません）：［Windows Vista］
http://support.microsoft.com/default.aspx?scid=kb;ja;930495（機械翻訳）

・サポート技術情報 932406（長時間、 Windows Vista-based コンピュータが実行されていた後に、 Windows デスクトップは、正しく更新するのを停止します）：［Windows Vista］
http://support.microsoft.com/default.aspx?scid=kb;ja;932406（機械翻訳）

・サポート技術情報 925922（突然 Windows XP でエラーメッセージを表示する:"停止する: 0x000000D1 "コンピュータが再起動します）：［Windows XP］
http://support.microsoft.com/default.aspx?scid=kb;ja;925922（機械翻訳）

・サポート技術情報 933450（Outlook を変更する Office のインストールまたは Office アップデートを実行するために、毎回 Outlook 2003 が既定のメールクライアントとして間違って構成されます）：［Outlook 2003］
http://support.microsoft.com/default.aspx?scid=kb;ja;933450（機械翻訳）

・サポート技術情報 929338（Windows XP での Service Pack 2 での停止エラーメッセージ:「STOP 0x0000001a :MEMORY_MANAGEMENT」または「STOP 0x0000000a :IRQL_NOT_LESS_OR_EQUAL」）：［Windows XP SP2］
http://support.microsoft.com/default.aspx?scid=kb;ja;929338（機械翻訳）
http://www.microsoft.com/downloads/details.aspx?
displaylang=ja&FamilyID=3AF7DCC4-E3A1-411A-9C9B-DC23923D09E7
＃「stop 0x1a」「stop 0x0a」のエラーが表示される不具合を解消する修正プログラムの提供

・サポート技術情報 929451（ネットワークアダプタの GUID が変更されたら、古い IP アドレスを Windows Vista を実行しているクライアントコンピュータが登録します）：［Windows Vista］
http://support.microsoft.com/default.aspx?scid=kb;ja;929451（機械翻訳）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=c585e831-41fd-40bd-8923-e542eb7a1b8a&DisplayLang=ja
＃ネットワーク・アダプタのGUIDが変更されたときに、DNSサーバに無効なIPアドレスが登録される不具合を解消する修正プログラムの提供

・サポート技術情報 915786（Windows Server 2003 Service Pack 1 をインストールした後に、 Authorization Manager-enabled アプリケーションが動作しない可能性があります）：［Windows Sever 2003 SP1］
http://support.microsoft.com/default.aspx?scid=kb;ja;915786（機械翻訳）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=7bd2e725-4559-47c2-ab24-6d9724361f0c&DisplayLang=ja
＃SP1をインストールすると承認マネージャに対応するアプリケーションが動作しなくなる場合がある不具合を解消する修正プログラムの提供

・サポート技術情報 930241（Exchange 2003 データベースがマウントされず、 ID 9518 イベントと 9519 がアプリケーションログに記録されます）：［Exchange Server 2003］
http://support.microsoft.com/default.aspx?scid=kb;ja;930241（機械翻訳）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=2a835a09-8e57-4027-a488-1e61c4b43a10&DisplayLang=ja
＃Exchange Server 2003でデータベースがマウントできなくなる不具合を解消する修正プログラムの提供

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。

Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先：info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。