9月13日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。
Firefox 3.5.3ならびに3.0.14リリース(2009/09/10)
Firefox 3.5.3では4件,Firefox 3.0.14では5件のセキュリティ問題を解決しています。また,Firefox 3.5.3ならびにFirefox 3.0.14のアップデート時に,プラグインのAdobe Flash Playerが最新バージョンかどうかをチェックできるようになりました(写真1)。
Adobe Flash Playerが最新バージョンかどうかは,Firefoxの更新ページ(Firefox 3.5)で用意したJavascript(detect-flash.js)でチェックしています。この更新ページでは,Flash Playerだけではなく,ブラウザがWebサイトにアクセスする際に送信するHTTPのUser-Agentヘッダー(例:User-Agent: Mozilla/5.0(Windows; U; Windows NT 6.0; ja; rv:1.9.1.3)Gecko/20090824 Firefox/3.5.3(.NET CLR 3.5.30729))を利用して,ブラウザ自身が最新バージョンかどうかもチェックします(写真2)。
| 影響 | アドバイザリ |
|---|---|
| 攻撃者の用意した任意のコードを実行されてしまう | MFSA 2009-47:メモリー破壊の形跡があるクラッシュ(rv:1.9.1.3/1.9.0.14) MFSA 2009-49:ツリー列のダングリングポインタぜい弱性 MFSA 2009-51:FeedWriterによるクローム特権昇格 |
| 情報漏えい | MFSA 2009-48:PKCS11モジュールのインストールと削除に関する不十分な警告 |
| なりすまし | MFSA 2009-50:過大な行高のUnicode文字を通じたロケーションバーの偽装 |
[参考情報]
Mac OS Xのセキュリティ・アップデート2009-005(2009/09/09)
Mac OS X v10.4.11/v10.5.8,Mac OS X Server v10.4.11/v10.5.8のセキュリティ・アップデート版がリリースされました。影響を受けるパーツはAlias Manager,CarbonCore,ClamAV,ColorSync,CoreGraphics,CUPS,Flash Playerプラグイン,ImageIO,Launch Services,MySQL,PHP,SMB,Wikiサーバーです。
Flash Playerプラグインでは,最新バージョン(Mac OS v10.5.8の場合10.0.32.18)に更新します。またセキュリティ・アップデート2009-005と併せて,Mac OS X v10.6.1のFlash Playerプラグインの更新版,任意のコード実行につながるぜい弱性を除去したQuickTime 7.6.4がリリースされました。QuickTime 7.6.4では,H.264ムービー処理(メモリー破損,ならびにバッファ・オーバーフロー),MPEG-4ビデオ・ファイル処理(バッファ・オーバーフロー),FlashPixファイル処理(バッファ・オーバーフロー)の4件のセキュリティ問題を解決しています。
[参考情報]
- 米アップル:セキュリティ・アップデート2009-005について
- 米アップル:Mac OS X v10.6.1 Updateのセキュリティコンテンツについて
- 米アップル:QuickTime 7.6.4のセキュリティコンテンツについて
VMwareにセキュリティ・アップデート2009-005(2009/09/04)
VMware Workstation Movie Decoder,WMware Workstation,VMware Player,VMware ACEに同梱されているVMwareムービー・デコーダのVMncメディア・コーデック処理には,バッファ・オーバーフローのぜい弱性が存在します。フレーム・バッファのパラメータをぜい弱性を攻撃するように細工したビデオ・ファイルを読み込んでしまった場合に,影響を受ける可能性があります。
[参考情報]
