Windows HotFix Briefings ALERT セキュリティ情報 3．そのほかのセキュリティ、修正プログラム関連情報 DA Lab Windowsセキュリティ 2007/01/16

■MS06-059のExcel 2002向け修正プログラムが再リリース

　2006年10月に公開されたMS06-059のExcel 2002向けの修正プログラムが正しくインストールできない不具合が見つかり、これを解消した更新版（バージョン2）の提供が開始された。不具合はWindows Installer 2.0がインストールされている環境で発生する（Windows Installer 3以降では不具合は発生しない）。Windows Update／Microsoft Update／自動更新／WSUSを利用中であれば、Windows Installer 3.1以降がインストール済みである。

• [MS06-059] Microsoft Excel の脆弱性により、リモートでコードが実行される（サポート技術情報）
• この問題に関するディスカッション・スレッド（HotFix Report BBS）

■複数の脆弱性を解消したFirefox／Thunderbirdの新版

　Mozilla Foundationは、以前のバージョンのFirefox／Thunderbirdで発見された複数のの脆弱性を解消した新版、／Thunderbird 1.5.0.9、Firefox 2.0.0.1の提供を開始した。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）

■Adobe ReaderとAcrobatにクロスサイト・スクリプティングなど複数の脆弱性

　Stefano Di Paola氏などは、Adobe Reader 7.0.8以前とAcrobat 7.0.8以前のプラグインに複数の脆弱性が存在することを報告した。脆弱性が悪用されると、Internet Explorer（IE）などのWebブラウザでPDFファイルへのリンクをクリックするだけで、任意のコードが実行される危険性がある。脆弱性は以下のとおり。

• CVE-2007-0044
  　PDFファイル名の後ろに「#FDF」「#xml」「#xfdf」＋URLが記述されたURLをWebブラウザで開くと、ユーザーの操作なしに「victim.com」へリクエストが送信されてしまうクロスサイト・スクリプティングの脆弱性が存在する。
• CVE-2007-0045
  　PDFファイル名の後ろに「#FDF」「#xml」「#xfdf」＋「javascript:」を記述すると、任意のJavaScriptをFirefox上で実行させることが可能になる。
• CVE-2007-0046
  　Adobe Reader 7.0.8以前とFirefox 1.5.0.7の組み合わせにおいて、以下のようなURLを開くとメモリを2重に解放する脆弱性が発生する。
• CVE-2007-0047
  　IEのMicrosoft.XMLHTTP ActiveXオブジェクトにおいて、JavaScriptを利用してHTTPヘッダなどにコードを挿入できる脆弱性が存在する。
• CVE-2007-0048
  　PDFファイル名の後ろに非常に多くの「#」が付けられたURLを開くと、IEで多くのメモリが消費され、サービス拒否が起きる。

　これらの問題を解消するためには、12月にリリースされた最新版のAcrobat 8に更新する。

• この問題に関するディスカッション・スレッド（HotFix Report BBS）

INDEX
	［Windows HotFix Briefings ALERT］
	1．緊急レベル3件を含む4件のセキュリティ修正が公開（1）
	2．緊急レベル3件を含む4件のセキュリティ修正が公開（2）
	3．そのほかのセキュリティ、修正プログラム関連情報

　

Windows HotFix Briefings

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）