Hitach Incident Response Team

 2011年7月17日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Firefox 5.0.1、Firefox 3.6.19リリース(2011/07/11)

 7月11日、Mac OS X 10.7でFirefoxをクラッシュさせる原因となっていた問題、Java for Mac OS X 10.6 Update 5によって引き起こされたJavaプラグインが読み込まれなくなる問題を解決するため、Firefox 5.0.1がリリースされました。Mac OS X 10.7が実行されている環境において、ダウンロードフォント対応を無効化したFirefox 3.6.19がリリースされました。いずれも、セキュリティアップデートは含まれていません。

[参考情報]

マイクロソフト2011年7月の月例セキュリティアップデート(2011/07/13)

 7月の月例セキュリティアップデートでは、4件のセキュリティ更新プログラムを公開し、22件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行2件、サービス不能1件、アクセス権限の昇格20件です。このうち、セキュリティ更新プログラム(MS11-055)は、Microsoft VisioがDLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者が細工した外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性に対処しました。

[参考情報]

Unbound 1.4.12リリース(2011/07/14)

 キャッシュDNSサーバーの一つであるUnboundのバージョン1.4.12がリリースされました。このバージョンでは、不正なUDPパケットを送信することで、前に使用されたクエリーIDを知ることができてしまうという問題の対策、ldnsのソースコードが同梱されなくなったことに伴う–with-ldns-builtinオプションを使った場合のビルド方法変更などが行われています。

[参考情報]

Tomcat Connector 1.2.32リリース(2011/07/08)

 ApacheをはじめとしたHTTPサーバーと連携して、アプリケーションサーバーに接続するTomcat Connectors 1.2.32がリリースされました。このバージョンは、バグ対策を目的としたもので、セキュリティアップデートは含まれていません。

[参考情報]

BlackBerry Enterprise Serverに脆弱性(2011/07/12)

 BlackBerry Enterprise Server version 5.0.xのBlackBerry Administration APIコンポーネントには、情報漏洩や部分的なサービス不能攻撃を許してしまう脆弱性が存在します。この問題は、BlackBerry Enterprise Server上に特定フォーマット(printable character、印字可能文字)のファイルが置かれた場合、第三者がAPIを介して、このファイルにアクセスできてしまうという問題です。

[参考情報]

Google Chrome 12.0.742.122リリース(2011/07/12)

 6月28日、Adobe Flash Playerの最新版に対応したGoogle Chrome 12.0.742.112がリリースされました。このリリースでは、メモリーの解放後使用(use-after-free)に関する問題、メモリー破損に関する問題など、計7件のセキュリティ問題を解決しています。

 7月12日、Windows、Mac、Chrome Frame版のGoogle Chrome 12.0.742.122、Linux版のGoogle Chrome 12.0.742.124がリリースされました。

[参考情報]