2010年12月12日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
QuickTime 7.6.9リリース(2010/12/07)
QuickTime 7.6.9には、静止画系ファイル処理(JP2、FlashPix、PICT、GIF)で任意のコード実行につながるぜい弱性6件、動画系ファイル処理(AVI、QTVRなど)で任意のコード実行につながるぜい弱性8件、情報漏えいにつながるぜい弱性の、計15件への対策が含まれています。この中には、Mac OS X v10.6.x版(2010年11月10日対策版リリース)で報告され、Mac OS X v10.5.x、Windows版QuickTimeでは未対策であったSorensonでエンコードされた動画系ファイル処理のぜい弱性(CVE-2010-3793)があります(図1)。
[参考情報]
Firefox 3.6.13、Firefox 3.5.16リリース(2010/12/10)
Firefox 3.6.13、Firefox 3.5.16では、任意のコード実行、アクセス権限の勝手な昇格、クロスサイトスクリプティング、なりすましにつながるぜい弱性など、計11件を対策しています。なお、サポートが終了しているFirefox 3.0用のセキュリティアップデートの提供はないことがアナウンスされていますので、3.0系を使っている場合には、3.6系へのアップグレードを推奨します。
[参考情報]
Thunderbird 3.1.7、Thunderbird 3.0.11リリース(2010/12/10)
Thunderbird 3.1.7、Thunderbird 3.0.11では、任意のコード実行につながるぜい弱性など、計3件を対策しています。なお、Thunderbird 3.0.11は3.0系の最後のセキュリティアップデートとなること、サポートが終了しているThunderbird 2.0用のセキュリティアップデートの提供はないことがアナウンスされていますので、3.0系ならびに、2.0系を使っている場合には、3.1系へのアップグレードを推奨します。
[参考情報]
OpenSSL FIPS 140-2 module 1.2.2リリース (2010/12/09)
暗号モジュールのセキュリティ要件についての規格である、FIPS 140-2(Federal Information Processing Standard:連邦情報処理規格) に対応したOpenSSL FIPS 140-2 module 1.2.2がリリースされました。FIPS 140-2用に作成された資料OpenSSL FIPS 1402 Security Policy Version 1.2.2によれば、プラットフォームへのMotorola Droid IIの追加、Windows 64ビット版バグ修正の再テスト、uCLinuxパッチの提供が変更点として挙げられています。
[参考情報]
RealPlayerに複数のぜい弱性(2010/12/10)
Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.5、RealPlayer Enterprise 2.1.2~2.1.3、Macintosh版RealPlayer11.0~11.1と12.0.0.1444、Linux版RealPlayer 11.0.2.174に任意のコード実行につながるぜい弱性が存在します。報告されたぜい弱性は、SMIL(Synchronized Multimedia Integration Language)ファイル処理、RTSP(Real Time Streaming Protocol)を利用して送付されたGIFファイルの処理、AAC(Advanced Audio Coding)ファイル処理、IVR(Internet Video Recording)ファイル処理、ActiveXの処理など計27件です。
[参考情報]
VMware ESXサービス・コンソールのセキュリティアップデート:VMSA-2010-0019(2010/12/07)
ESX 3.xのConsole OSのセキュリティアップデート版がリリースされました。このアップデートは、samba、bzip2、opensslに関する更新で、計5件のセキュリティ問題を対策します。sambaに存在するぜい弱性(CVE-2010-3069)は、Windows SID(Security ID)の参照処理に存在し、SIDの長さを適切にチェックしないことに起因してバッファオーバーフローが発生するというものです。bzip2に存在するぜい弱性(CVE-2010-0405)は、解凍処理における整数オーバーフローで異常終了あるいは、任意のコード実行につながるぜい弱性です。opensslに存在するぜい弱性は3件で、この中には、SSLおよびTLSの再ネゴシエーション処理(CVE-2009-3555)が含まれます。
なお、ESX 3.0.3の延長サポートは、2011年12月10日となっていることから、ESX 3.5あるいは、最新版へのアップグレードがアナウンスされています。
[参考情報]
PHP 5.3.4リリース(2010/12/10)
PHP 5.3.4がリリースされました。このバージョンでは、任意のコード実行につながるぜい弱性など8件のセキュリティ問題を含む、100件以上の問題を対策しています。
[参考情報]
Cyber Security Bulletin SB10-340(2010/12/06)
11月29日の週に報告されたぜい弱性の中からWiresharkのぜい弱性を取り上げます(Vulnerability Summary for the Week of November 29, 2010)。
■Wiresharkに複数のぜい弱性(2010/11/26)
Wireshark 1.4.2 がリリースされました。このリリースでは、Wireshark 1.2.0~1.2.12、1.4.0~1.4.1のLDSS(Local Download Sharing Service)パケット処理に存在するバッフォオーバーフローのぜい弱性(CVE-2010-4300)、Wireshark 1.4.0~1.4.1のZigBeeクラスターライブラリー(ZCL)処理に存在する無限ループ問題(CVE-2010-4301)を対策しています。ZigBeeは近距離・低消費電力の無線ネットワークの規格です。
[参考情報]
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)とは』 |
HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
