Hitach Incident Response Team

 11月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル製品に複数の脆弱性

■Java for Mac OS X(2011/11/08)

 Java for Mac OS X 10.7、Java for Mac OS X 10.6のセキュリティアップデートがリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_29に更新し、計17件の脆弱性を解決しています。

■iOS 5.0.1リリース(2011/11/10)

 iPhone 3GS、iPhone 4とiPhone 4S版iOS 3.0~5.0、iPod touch版iOS 3.1~5.0、iPad版iOS 3.2~5.0、iPad2版iOS 4.3~5.0のソフトウエアアップデートとして、iPhone、iPad、iPod touch版iOS 5.0.1がリリースされました。このアップデートでは、CFNetwork、CoreGraphics、Data Security、Kernel、libinfo、Passcode Lockに存在する脆弱性6件を解決しています。

[参考情報]

米アドビ システムズ製品に複数の脆弱性

■Flash Player 11.1.102.55リリース:APSB11-28(2011/11/10)

 バッファオーバーフロー、メモリー破損に起因する任意のコード実行を許してしまう脆弱性など、計12件を解決したAdobe Flash Player 11.1.102.55、Android版Adobe Flash Player 11.1.102.59、Adobe AIR 3.1.0.4880がリリースされました。前回のアップデートは2011年10月中旬で、2011年のアップデート回数は14回(機能エンハンス、バグ対策のみのアップデートを含む)です(図1)。

図1●Adobe Flash Playerのリリース回数
図1●Adobe Flash Playerのリリース回数

■Shockwave Player 11.6.3.633リリース:APSB11-27(2011/11/08)

 Shockwave Player 11.6.3.633では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性4件を解決しています。前回のアップデートは2011年8月中旬で、2011年のアップデート回数は4回です(図2)。

図2●Adobe Shockwave Playerのリリース回数
図2●Adobe Shockwave Playerのリリース回数

[参考情報]

認証局DigiCert Sdn. Bhdから発行された512ビットキーによる証明書問題(2011/11/11)

 認証局EntrustおよびGTE CyberTrustに信頼された、マレーシアの認証局DigiCert Sdn. Bhd.のDigisign Server ID(Enrich)を用いて低強度の512ビットキーによる22個の証明書を発行された問題です(図3)。この認証局から発行された証明書には、証明書の拡張キー使用法を記載するEKU(Extended Key Usage)拡張と失効情報が欠落しているという技術的な問題も報告されています。

図3●認証局DigiCert Sdn. Bhdから発行された証明書問題の対応経緯
図3●認証局DigiCert Sdn. Bhdから発行された証明書問題の対応経緯

 11月9日、Mozilla Firefox、Mozilla Thunderbirdでは、Entrust.net Certification Authority(2048)とGTE CyberTrust Global Rootによって発行された二つのDigisign Server ID(Enrich)を信頼できない証明書として明示的にリストアップし、Knockout certificateとして登録しました。Knockout certificateとは、(1)証明書オリジナルのシリアル番号を0x*FFFFFFF・・・に書き換え、(2)証明書オリジナルの有効期間(発行日、有効期限)を未来に書き換えたものです。

 11月11日、マイクロソフトInternet Explorerで、二つのDigisign Server ID(Enrich)を信頼できない証明書として登録しました(写真1)。

写真1●Internet Explorerでの対策(信頼されない発行元に登録)
写真1●Internet Explorerでの対策(信頼されない発行元に登録)

[参考情報]