4月25日、内閣官房情報セキュリティセンター(NISC)が発行するPDF資料の一部に、政府認証基盤(GPKI)の証明書による電子署名が付与されることになりました。電子署名を検証するためには、Adobe Readerの「信頼済み証明書の管理」(図1)に、「c=JP、o=日本国政府、ou=官職認証局」の証明書が登録されている必要があります。登録されていない場合には、[環境設定|信頼性管理マネジャー|自動更新]に移動した後、「Adobeのサーバーから信頼済みのルート証明書を読み込む」のチェックボックスをオンにして、「今すぐ更新」を実行してください(図2)。
さて、4月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
OpenSSL 0.9.8wリリース(2012/04/24)
OpenSSL 0.9.8vでの脆弱性(CVE-2012-2110)の修正が十分でなかったことから、OpenSSL 0.9.8wがリリースされました。脆弱性(CVE-2012-2110)は、ASN.1データを処理する際にメモリー破損が発生し、サービス拒否攻撃などを許してしまう問題です。
OpenSSL 1.0.1bリリース(2012/04/25)
OpenSSL 1.0.1aには、x86あるいはx86_64以外のプラットフォームでコンパイルするとe_rc4_hmac_md5.cでエラーが発生する問題、FIPS関連の暗号処理に失敗する問題が存在します。OpenSSL 1.0.1bでは、OpenSSL 1.0.1aに存在する、これらのバグを修正しています。
Java SE 7 Update 4、Java SE 6 Update 32リリース(2012/04/26)
Java SE 7 Update 4、Java SE 6 Update 32は、機能拡張とバグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。Java SE 7 Update 4での機能拡張は、Mac OS X用のJDKサポート、Java HotSpot Virtual Machineバージョン23の採用、JAXP(Java Api for Xml Processing)1.4.6へのアップデート、Java DB 10.8.2.2へのアップデートなどです。バグ修正はそれぞれ約470件、44件です。
Firefox 12、Firefox ESR 10.0.4リリース(2012/04/25)
Firefox 12、Firefox ESR 10.0.4では、メモリー破損、メモリーの解放後使用(use-after-free)、領域外のメモリー参照(out-of-bounds read)、クロスサイトスクリプティング(XSS)に起因し、サービス拒否攻撃や任意のコード実行を許してしまう脆弱性など、計33件を解決しています。
