セキュリティホール情報<2002/05/14> | ScanNetSecurity
2026.05.03(日)

セキュリティホール情報<2002/05/14>

<Microsoft>
▼ XMLHTTP ActiveX Control
 XMLHTTP にローカルファイル情報が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1045

脆弱性と脅威 セキュリティホール・脆弱性
14 views
facebookLINE
<Microsoft>
▼ XMLHTTP ActiveX Control
 XMLHTTP にローカルファイル情報が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1045

 XMLHTTP ActiveX コントロールは、セキュリティゾーンの設定を適切に反映できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザのローカルシステムの情報を奪取される可能性があります。

□ 関連情報:

 Microsoft Security Bulletin
 MS02-008 XMLHTTP Control Can Allow Access to Local Files
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp

 マイクロソフトセキュリティ情報 (日本語)
 MS02-008 XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS02-008

 よく寄せられる質問
http://www.microsoft.com/japan/technet/security/SecFaq.asp?sec_cd=ms02-008

 Common Vulnerabilities and Exposures (CVE)
 CAN-2002-0057
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0057

 マイクロソフト 日本語版 KB
 JP317244 - [MS02-008] MSXML 4.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
http://www.microsoft.com/JAPAN/support/kb/articles/JP317/2/44.asp

 CIAC (Computer Incident Advisory Capability)
 M-051 : Microsoft XMLHTTP Control Vulnerability
http://www.ciac.org/ciac/bulletins/m-051.shtml

 マイクロソフト 日本語版 KB
 JP318202 - [MS02-008] MSXML 2.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
http://www.microsoft.com/JAPAN/support/kb/articles/JP318/2/02.asp

 マイクロソフト 日本語版 KB
 JP318203 - [MS02-008] MSXML 3.0 のXMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる
http://www.microsoft.com/JAPAN/support/kb/articles/JP318/2/03.asp

 mozilla.org
http://www.mozilla.org/

 Mozilla News
 Mozilla security vulnerability, and reporting Mozilla security bugs
http://groups.google.com/groups?as_umsgid=3CD095D4.9050003%40mozilla.org&hl=en

 GreyMagic Security Advisory
 GM#001-NS Reading local files in Netscape 6 and Mozilla
http://sec.greymagic.com/adv/gm001-ns/

 Neohapsis Archives - Bugtraq
 Reading local files in Netscape 6 and Mozilla (GM#001-NS)
http://archives.neohapsis.com/archives/bugtraq/2002-04/0409.html

 Neohapsis Archives - Bugtraq
 UPDATE (1-May-2002): Reading local files in Netscape 6 and Mozilla (GM#001-NS)
http://archives.neohapsis.com/archives/bugtraq/2002-05/0022.html

▼ MSN Chat Control
 MSN Chat Control に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1182

 MSN チャットコントロールは入力パラメータを処理する機能が原因で、バッファオーバーフローの問題が存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから任意のコードを実行される可能性があります。

□ 関連情報:

 Microsoft Security Bulletin
 MS02-022 Unchecked Buffer in MSN Chat Control Can Lead to Code Execution (Q321661)
http://www.microsoft.com/technet/security/bulletin/ms02-022.asp

 マイクロソフトセキュリティ情報
 MS02-022 MSN チャット コントロールの未チェックのバッファによりコードが実行される (Q321661)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-022.asp?frame=true

 マイクロソフトセキュリティ情報
 MS02-022 よく寄せられる質問
http://www.microsoft.com/japan/technet/security/bulletin/fq02-022.asp

 マイクロソフトセキュリティ情報
 MS02-022 に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-022ov.asp

 CERT Coordination Center (CERT/CC)
 CA-2002-13 Buffer Overflow in Microsoft's MSN Chat ActiveX Control
http://www.cert.org/advisories/CA-2002-13.html

 CERT/CC Vulnerability Note
 VU#713779 Microsoft MSN Messenger Chat Control contains buffer overflow in "ResDLL" parameter
http://www.kb.cert.org/vuls/id/713779

 eEye Digital Security
 MSN Messenger OCX Buffer Overflow
http://www.eeye.com/html/Research/Advisories/AD20020508.html

 Common Vulnerabilities and Exposures (CVE)
 CAN-2002-0155
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0155

 SecuriTeam.com
 MSN Messenger OCX Buffer Overflow
http://www.securiteam.com/windowsntfocus/5YP042K75W.html

 SecuriTeam.com
 Unchecked Buffer in MSN Chat Control Can Lead to Code Execution
http://www.securiteam.com/windowsntfocus/5XP032K75S.html

 SecurityFocus
 ADVISORY: MSN Messenger OCX Buffer Overflow
http://online.securityfocus.com/archive/1/271591/2002-05-06/2002-05-12/0

 IPA
 MSN チャットコントロールの未チェックのバッファによりコードが実行される(MS02-022) 掲載
http://www.ipa.go.jp/security/news/news.html

 LAC 2002/05/14 追加
 CA-2002-13 Buffer Overflow in Microsoft's MSN Chat ActiveX Control日本語訳公開
http://www.lac.co.jp/security/intelligence/CERT/CA-2002_13.html


<UNIX共通>
▼ DocBook
 DocBook に任意のファイルが上書き可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1173

 DocBook はデフォルトスタイルシートオプションが原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、ローカルから任意のファイルが上書きされる可能性があります。

□ 関連情報:

 DocBook.org
http://www.docbook.org/

 Organization for the Advancement of Structured Information Standards (OASIS)
 DocBook Technical Committee
http://www.oasis-open.org/docbook/

 Red Hat Linux Errata Advisory
 RHSA-2002:062-08 Insecure DocBook stylesheet option
http://rhn.redhat.com/errata/RHSA-2002-062.html

 Common Vulnerabilities and Exposures (CVE)
 CAN-2002-0169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0169

 Hewlett-Packard IT リソース・センタ 2002/05/14 追加
http://itrc.hp.com/


<HP-UX>
▼ HP Virtualvault
 HP Virtualvault に不正アクセスが可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1187

 HP Virtualvault はセキュリティ強化バージョンとして構築されています。 この HP Virtualvault は実装上の原因により、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから不正アクセスされる可能性があります。

□ 関連情報:

 Hewlett-Packard IT リソース・センタ
http://itrc.hp.com

 hp virtualvault
http://www.jpn.hp.com/security/products/virtualvault/


<OpenBSD>
▼ kernel
 ファイルディスクリプタに root 権限が奪取可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1186

 ファイルディスクリプタは実装上の原因により、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、ローカルから DoS 攻撃を受けたり root 権限を奪取される可能性があります。

□ 関連情報:

 OpenBSD 3.1 errata
 003: セキュリティのための修正: 2002 年 5 月 8 日
http://www.openbsd.org/ja/errata.html#fdalloc2


<Linux共通>
▼ perl-Digest-MD5
 perl-Digest-MD5 に互換性が保たれていない問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1185

 perl-Digest-MD5 は実装されている utf8 が原因で、セキュリティホールになりうる問題が存在します。この問題により MD5 アルゴリズムを使用して変換しても、互換性が保たれない可能性があります。

□ 関連情報:

 Red Hat Linux Security Advisory
 RHSA-2002:081-06 perl-Digest-MD5 UTF8 bug results in incorrect MD5 sums
http://rhn.redhat.com/errata/RHSA-2002-081.html


<Conectiva Linux>
▽ Gnome
 Gnomeに含まれているメールクライアントで、奇形のメッセージを送信することでクラッシュさせることの出来る問題が発見された。現在、この問題を修正したFixパッケージが配布されている。

 SecurityFocus
 Conectiva Linux : evolution Crash fix
http://online.securityfocus.com/advisories/4117


<その他の製品>
▽ MSCAPI CSP
 MSCAPI CSPのインストールウィザードで、nCipher CSPキー生成が不正確に行われる問題が発見された。この問題によりスマートカードの認可が要求されないため、無許可のアクセスを獲得することができる。

 SecurityFocus
 nCipher Security Advisory #3: MSCAPI CSP Install Wizard
http://online.securityfocus.com/archive/1/272190/2002-05-10/2002-05-16/0

 SecuriTeam.com
 MSCAPI CSP Install Wizard Incorrect Behavior Pose a Security Threat
http://www.securiteam.com/securitynews/5VP0C0U75U.html

▼ RealSecure
 RealSecure に DoS 攻撃を受ける問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1159

 RealSecure Network Sensor は細工された DHCP パケットを適切に処理できないことが原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから DoS 攻撃を受ける可能性があります。

□ 関連情報:

 Internet Security Systems Security Advisory
 Remote Denial of Service Vulnerability in RealSecure Network Sensor
http://www.iss.net/security_center/alerts/advise116.php

 SecurityFocus
 ISS Advisory: Remote Denial of Service Vulnerability in RealSecure Network Sensor
http://online.securityfocus.com/archive/1/270289/2002-04-27/2002-05-03/0

 InternetSecuritySystems
 RealSecure 6.5 Network Sensor 4.2日本語版, 4.1日本語版
 RealSecure 6.0 Network Sensor 4.2日本語版, 4.1日本語版
http://www.isskk.co.jp/support/XPressUpdates/RealSecure.html

 NEOHAPSIS
 Remote Denial of Service Vulnerability in RealSecure Network Sensor
http://archives.neohapsis.com/archives/bugtraq/2002-04/0420.html

 SecuriTeam.com 2002/05/02 追加
 Remote Denial of Service Vulnerability in RealSecure Network Sensor
http://www.securiteam.com/windowsntfocus/5JP010A75U.html

 Internet Security Systems Security Advisory 2002/05/14 追加
 RealSecure Network Sensor におけるリモートからのサービス不能 (DoS)の脆弱性
http://www.isskk.co.jp/support/techinfo/general/advise116j_xforce.html


<リリース情報>
▽ セキュリティ設計評価支援ツール
 IPAよりセキュリティ設計評価支援ツール V03がリリースされた。
http://www.ipa.go.jp/security/ccj/CCtool_V03/secevtoolv03.htm

▽ PGP
 PGP 6.5.8ckt 日本語版 r1がリリースされた。
http://www.hizlab.net/pgp/658ij.html

▽ Astaro Security Linux
 Astaro Security Linux (Sun Cobalt) v2.024がリリースされた。
http://www.astaro.com/products/index.html


<セキュリティトピックス>
▽ サポート情報
 トレンドマイクロ、Windows XP の「_restore」フォルダからウイルス発見した場合
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4006

▽ トピックス
 FreeBSDのポート情報を公開
http://online.securityfocus.com/advisories/4118


【更に詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

    保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  4. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

  5. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP