2014年1月1日から、CVE番号の番号体系が変更されることになりそうです。
2013年1月22日、CVE Editorial Boardは、新規番号体系案に対する意見を募集するとアナウンスしました(CVE ID Syntax Change - Call for Public Feedback)。現状の番号体系CVE-YYYY-NNNN(年+4桁固定)では、年間1万件以上の脆弱性を取り扱うことができません。この問題を解決するため、図1に示す3案がCVEの新規番号体系候補としてが挙がっています。メーリングリストなどを通して意見を募集した後、2013年3月に結論を出し、2014年1月1日からCVEの新規番号体系での運用を開始するとしています。
ここからは、1月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
マイクロソフト2013年1月の定例外セキュリティアップデート(2013/01/15)
2012年12月21日、外交問題評議会(Council on Foreign Relations)のサイトが侵害され、任意のコード実行を許してしまうInternet Explorerの脆弱性(CVE-2012-4792)を攻撃するための仕掛けが蔵置されました。攻撃対象組織が閲覧する可能性の高いWebサイト群に仕掛けを蔵置する手法で、2012年当たりから急速に広がっていると言われています。水飲み場で獲物を待ち伏せるライオンのように、攻撃対象組織の利用者が誘導Webサイトを閲覧するのを待ち受けることから、Watering Hole Attack(水飲み場攻撃)と呼ばれています(図2)。誘導Webサイトを閲覧すると、攻撃Webサイトに誘導されるもので、技術的にはGumblarに代表されるWebページ誘導型マルウエアと同様の仕組みを利用しています。
1月の定例外セキュリティアップデートでは、脆弱性(CVE-2012-4792)を解決しています。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください(図3)。
オラクル2013年1月の四半期セキュリティアップデート(2013/01/15)
Critical Patch Update - January 2013には、Oracle Database Server系6件、Oracle Fusion Middleware系7件、Oracle Enterprise Manager Grid Control系13件、Oracle E-Business Suite系9件、Oracle Supply Chain Products Suite系1件、Oracle PeopleSoft系12件、Oracle JD Edwards系1件、Oracle Siebel CRM系10件、Oracle Sun Products Suite系8件、Oracle Visualization系1件、Oracle MySQL系18件、計86件のセキュリティアップデートが含まれています。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計45件となっています。
米アドビ システムズColdFusion:APSB13-03(2013/01/15)
Windows版、Mac版、UNIX版のColdFusion 10、9.0.2、9.0.1および9.0には、リモートからの侵入を許してしまう脆弱性(CVE-2013-0625)、情報漏洩を許してしまう脆弱性(CVE-2013-0629、CVE-2013-0631)、認証の迂回を許してしまう脆弱性(CVE-2013-0632)が存在します。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください。
Firefox 18.0.1リリース(2013/01/18)
Firefox 18.0.1は、HTTPプロキシー処理に関する問題、Mac OS X上でUnity Web Playerがクラッシュする問題、外部ディスプレイでの高解像度モードのサポート中止など、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。HTTPプロキシー処理に関する問題4件のうち2件は、プロキシーの自動設定のバグに関するものです。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
