Hitach Incident Response Team

 2011年7月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

2011 CWE/SANS Top 25 Most Dangerous Software Errors(2011/06/29)

 米情報セキュリティ研究機関MITREとSANSが、毎年実施している脆弱性トップ25の2011年版が公開されました。脆弱性トップ25は、800件を越えるCWE(Common Weakness Enumeration、共通脆弱性タイプ一覧)の中から、41件の脆弱性の種別をノミネートし、この中から、影響が大きく、発生頻度が高く、攻撃し易い脆弱性の種別を、最も危険なソフトウエア上のエラーとして絞り込んだリストです。2011年、新たにトップ25に入った脆弱性は、CWE-250(不必要な権限での実行)、CWE-676(潜在的に危険な関数の使用)、CWE-307(認証処理に対する回数制限や時間制限の未設定)、CWE-134(書式文字列の問題)、CWE-759(ソルトなしの一方向性関数の使用)の5項目です。

順位 CWE ID 内容
[1] CWE-89 SQLインジェクション
[2] CWE-78 OSコマンドインジェクション
[3] CWE-120 バッファオーバーフロー
[4] CWE-79 クロスサイトスクリプティング(XSS)
[5] CWE-306 重要な機能に対する認証の欠如
[6] CWE-862 権限チェックの欠如
[7] CWE-798 ハードコードされたパスワード
[8] CWE-311 暗号化されていない機密情報
[9] CWE-434 アップロートファイル制限の不備
[10] CWE-807 入力値を想定した検証
[11] CWE-250 不必要な権限での実行
[12] CWE-352 クロスサイトリクエストフォージェリー(CSRF)
[13] CWE-22 パストラバーサル
[14] CWE-494 ダウンロードファイルの完全性未検証
[15] CWE-863 権限チェックの不備
[16] CWE-829 信用されないソースからのインクルード処理
[17] CWE-732 重要なリソースに対する権限付与の不備
[18] CWE-676 潜在的に危険な関数の使用
[19] CWE-327 脆弱な暗号アルゴリズムの使用
[20] CWE-131 バッファサイズの誤計算
[21] CWE-307 認証処理に対する回数制限や時間制限の未設定
[22] CWE-601 信用されないサイトへのURLリダイレクト
[23] CWE-134 書式文字列の問題
[24] CWE-190 整数オーバーフロー
[25] CWE-759 ソルトなしの一方向性関数の使用

[参考情報]

米アップルJava for Macのセキュリティアップデート(2011/06/28)

 Java for Mac OS X 10.6、Java for Mac OS X 10.5のセキュリティアップデートがリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_26に、Java 1.5をバージョン1.5.0_30に更新します。バージョン1.6.0_26では、ユーザー/パスワードのような認証操作が不要で、かつリモートからの攻撃が可能な計17件の脆弱性を解決しています。

[参考情報]

Thunderbird 5.0リリース(2011/06/28)

 6月28日、性能、安定性、セキュリティを改善する修正を施したThunderbird 5.0がリリースされました。このリリースに関連して、脆弱性に関する新しい報告はありません。

 また、Mozillaでは、Firefox同様、Thunderbird 5.0以降のリリース方式の変更をアナウンスしています。これまでは、セキュリティアップデートとメジャーアップデートとを区別してリリースしてきましたが、Thunderbird 5.0以降は、迅速かつ定期的(6週間ごと)に新バージョンをリリースする方式を採用するとしています。

[参考情報]

Flash Player 10.3.181.34リリース(2011/06/28)

 Flash Player 10.3.181.34がリリースされました。このリリースに関連して、脆弱性に関する新しい報告はありません。

[参考情報]