Hitach Incident Response Team

 2014年1月1日から、CVE番号の番号体系が変更されることになりそうです。

 2013年1月22日、CVE Editorial Boardは、新規番号体系案に対する意見を募集するとアナウンスしました(CVE ID Syntax Change - Call for Public Feedback)。現状の番号体系CVE-YYYY-NNNN(年+4桁固定)では、年間1万件以上の脆弱性を取り扱うことができません。この問題を解決するため、図1に示す3案がCVEの新規番号体系候補としてが挙がっています。メーリングリストなどを通して意見を募集した後、2013年3月に結論を出し、2014年1月1日からCVEの新規番号体系での運用を開始するとしています。

図1●CVEの新規番号体系候補
図1●CVEの新規番号体系候補

 ここからは、1月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2013年1月の定例外セキュリティアップデート(2013/01/15)

 2012年12月21日、外交問題評議会(Council on Foreign Relations)のサイトが侵害され、任意のコード実行を許してしまうInternet Explorerの脆弱性(CVE-2012-4792)を攻撃するための仕掛けが蔵置されました。攻撃対象組織が閲覧する可能性の高いWebサイト群に仕掛けを蔵置する手法で、2012年当たりから急速に広がっていると言われています。水飲み場で獲物を待ち伏せるライオンのように、攻撃対象組織の利用者が誘導Webサイトを閲覧するのを待ち受けることから、Watering Hole Attack(水飲み場攻撃)と呼ばれています(図2)。誘導Webサイトを閲覧すると、攻撃Webサイトに誘導されるもので、技術的にはGumblarに代表されるWebページ誘導型マルウエアと同様の仕組みを利用しています。

 1月の定例外セキュリティアップデートでは、脆弱性(CVE-2012-4792)を解決しています。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください(図3)。

図2●Watering Hole Attack(水飲み場攻撃)の概要
図2●Watering Hole Attack(水飲み場攻撃)の概要

図3●脆弱性(CVE-2012-4792)の対応経緯
図3●脆弱性(CVE-2012-4792)の対応経緯

オラクル2013年1月の四半期セキュリティアップデート(2013/01/15)

 Critical Patch Update - January 2013には、Oracle Database Server系6件、Oracle Fusion Middleware系7件、Oracle Enterprise Manager Grid Control系13件、Oracle E-Business Suite系9件、Oracle Supply Chain Products Suite系1件、Oracle PeopleSoft系12件、Oracle JD Edwards系1件、Oracle Siebel CRM系10件、Oracle Sun Products Suite系8件、Oracle Visualization系1件、Oracle MySQL系18件、計86件のセキュリティアップデートが含まれています。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計45件となっています。

米アドビ システムズColdFusion:APSB13-03(2013/01/15)

 Windows版、Mac版、UNIX版のColdFusion 10、9.0.2、9.0.1および9.0には、リモートからの侵入を許してしまう脆弱性(CVE-2013-0625)、情報漏洩を許してしまう脆弱性(CVE-2013-0629、CVE-2013-0631)、認証の迂回を許してしまう脆弱性(CVE-2013-0632)が存在します。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください。

Firefox 18.0.1リリース(2013/01/18)

 Firefox 18.0.1は、HTTPプロキシー処理に関する問題、Mac OS X上でUnity Web Playerがクラッシュする問題、外部ディスプレイでの高解像度モードのサポート中止など、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。HTTPプロキシー処理に関する問題4件のうち2件は、プロキシーの自動設定のバグに関するものです。