Hitach Incident Response Team

 11月15日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

マイクロソフト2009年11月の月例セキュリティ・アップデート(2009/11/09)

 11月の月例セキュリティ・アップデートでは,6件のセキュリティ更新プログラムを公開し,15件のセキュリティ問題を解決します。最も深刻な影響は,攻撃者の用意した任意のコード実行につながるぜい弱性です。

【任意のコード実行】
MS09-063:Web Services on Devices APIのぜい弱性
MS09-064:ライセンス・ログ・サーバーのぜい弱性
MS09-065:Windows カーネル・モード・ドライバーのぜい弱性
MS09-067:Microsoft Office Excelのぜい弱性
MS09-068:Microsoft Office Wordのぜい弱性

【サービス不能】
MS09-066:Active Directoryのぜい弱性

【アクセス権限の昇格】
MS09-065:Windowsカーネル・モード・ドライバーのぜい弱性

[参考情報]

Firefox 3.5.5リリース(2009/11/06)

 安定性に関する問題を修正したFirefox 3.5.5がリリースされました。なお,Firefox 3.0.xのセキュリティ更新の提供は2010年1月に終了しますので,Firefox 3.0.x利用者は,Firefox 3.5への移行を検討してください。

[参考情報]

Mac OS Xのセキュリティ・アップデート2009-006(2009/11/02)

 Mac OS X v10.5.8,Mac OS X v10.6,およびv10.6.1のセキュリティ・アップデート版がリリースされました。影響を受ける部品は,AFPクライアント,Adaptive Firewall,Apache,Apache Portable Runtime,ATS,証明書アシスタント,CoreGraphics,CoreMedia,CUPS,辞書,DirectoryService,ディスク・イメージ,Dovecot,Event Monitor,fetchmail,file,FTPサーバー,ヘルプ・ビューア,ImageIO,International Components for Unicode(ICU),IOKit,IPSec,カーネル,Launch Services,libsecurity,libxml,ログイン・ウインドウ,OpenLDAP,OpenSSH,PHP,QuickDraw Manager,クイック・ルック,QuickTime,FreeRADIUS,画面共有,Spotlight,Subversionです。

 証明書アシスタント(CVE-2009-2825),OpenLDAP(CVE-2009-2408)のぜい弱性は,ドメイン名にNULL文字(”\x00”と表記)を含むX.509証明書の取り扱いに関するぜい弱性です。この問題は,SSLクライアントとSSLサーバー証明書を発行する認証局で,証明書に記載されたドメイン名の取り扱い方が異なることに起因しています。

[参考情報]

Cyber Security Bulletin SB09-313(2009/11/09)

 11月2日の週に報告されたぜい弱性の中からVMwareとPHPで開発されたWebサイト用プログラムに関するぜい弱性を取り上げます(Vulnerability Summary for the Week of November 2, 2009)。

■VMwareに複数のぜい弱性(2009/10/27)

 VMware Workstation,VMware Player,VMware ACE,VMware Server,VMware Fusion,VMware ESXi,VMware ESXのページフォールトの例外処理に,ゲストOS上でアクセス権限の昇格につながるぜい弱性(CVE-2009-2267)が報告されています。また,VMware Server 2.x(Linux版)/1.x(Linux版),VMware ESXi 3.5,VMware ESX 3.5/3.0.3には,ホストOSから任意のファイルにアクセス可能なディレクトリ・トラバーサルのぜい弱性(CVE-2009-3733)が報告されています。

[参考情報]

■PHPで開発された複数のWebサイト用プログラムにぜい弱性

 10月に登録されたPHPで開発されたWebサイト用プログラムのぜい弱性は計42件,11月2日の週に登録されたPHPで開発されたWebサイト用プログラムのぜい弱性はありません。10月の登録状況は,SQLインジェクション(CWE-89),クロスサイト・スクリプティング(CWE-79),パス・トラバーサル(CWE-22)のぜい弱性が上位を占めています(図1)。7~10月の4カ月間について見ると登録件数は計1575件で,このうちPHPで開発されたWebサイト用プログラムのぜい弱性は28%(458件)を占めています(図2)。

図1●PHPで開発されたWebサイト用プログラムのぜい弱性種別(7~10月)
図2●PHPで開発されたWebサイト用プログラムののぜい弱性登録件数推移(7~10月)

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。