<Microsoft> ▼ Excel & PowerPoint マクロ検知機能が不正なマクロを検知できない問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=811 Excel 及び PowerPoint にはマクロ セキュリティ フレームワークがあります。それは、マクロの実行をコントロールし、マクロが自動的に実行することを防ぐことができます。しかし、攻撃者はマクロ セキュリティ フレーム ワークに検知されないマクロを作成する事が可能です。 □ 関連情報: Microsoft Security Bulletin MS01-050 http://www.microsoft.com/technet/security/bulletin/MS01-050.asp よく寄せられる質問 http://www.microsoft.com/technet/security/bulletin/MS01-050.asp マイクロソフトセキュリティ情報 (日本語) MS01-050 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-050 <UNIX共通> ▽ squid Squid に DoS (サービス妨害) 攻撃を受ける問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=822 Put リクエストにサービスを提供する処理にセキュリティホールが発見されました。攻撃者に細工された FTP ディレクトリを作成する不正な Put リクエストによって Squid 代理キャッシュサーバがクラッシュを起こし DoS (サービス妨害) 攻撃を受けてしまいます。 □ 関連情報: http://www.squid-cache.org/bugs/show_bug.cgi?id=233 http://www.turbolinux.co.jp/security/squid-2.4.STABLE2-2.html <SunOS/Solaris> ▼ rpc.yppasswdd rpc.yppasswdd にバッファーオーバーフロー http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=823 NIS master server の rpc.yppasswdd プロセスにバッファオーバーフローの問題が存在します。攻撃者はこの弱点を利用して rpc.yppasswdd を落としたり、管理者権限を奪取して、任意のコードを実行することができます。 □ 関連情報: Sun(sm) Alert Notification 27486 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=salert%2F27486&zone_32=yppasswd%2A%20%202748%2A%20 <Linux共通> ▽ Kernel Linux のカーネル 2.2.x には、2つのバグがあり、DOS攻撃とルート権限の奪取が可能になる脆弱性があります。 Flaws in recent Linux kernels http://msgs.SecurePoint.com/cgi-bin/get/bugtraq0110/99.html <Macintosh> ▽ MacOS X Macintosh OS X のアプリケーションマネージャに、利用者が、ルート権限でアプリケーションを起動できる脆弱性。 CIAC M-007: Macintosh OS-X Application Manager Vulnerability http://www.ciac.org/ciac/bulletins/m-007.shtml ▽ MacOS X Macintosh OS X にルート権限を奪取できる脆弱性。 BUGTRAQ OSX remote root http://msgs.securepoint.com/cgi-bin/get/bugtraq0110/109.html OSX remote root *more info* http://msgs.securepoint.com/cgi-bin/get/bugtraq0110/113.html <その他の製品> ▽ PHP web アプリケーション開発によく使用される PHP は、デフォルトの状態でURL から与えられる変数をグローバル変数として扱う。このデフォルトの設定に対して適切な対処をほどこしていない PHP アプリケーションでは、設定を利用して、外部からドミニストレータ権限でアプリケーションを起動したり、データを操作したり、任意のコードを実行させることが可能になる。 Vulnerability Note VU#847803 Php variables passed from the browser are stored in global context http://www.kb.cert.org/vuls/id/847803 ▽ ACE/Agent RSA Security ACE/Agent に、URL に含まれる unicode characters を適正に処理できず認証をすりぬけてファイルなどにアクセスできる脆弱性。 RSA Security ACE/Agent for Windows and RSA Security ACE/Agent for Windows 2000 do not properly handle null characters in URL http://www.kb.cert.org/vuls/id/609840 <セキュリティトピックス> ▽ 情報 CERTがDOS攻撃に関する最近の動向と技術を解説する文書を公開した。 Trends in Denial of Service Attack Technology http://www.cert.org/archive/pdf/DoS_trends.pdf ▽ 情報 独立行政法人 産業技術総合研究所情報処理研究部門ハイエンド情報技術グループ が、EC サイト におけるクロスサイトスクリプティング攻撃のもろさについてのレポートを公開した。 クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策 (SecurIT, 2001年10月18日) http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf【詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx 】