米Sun Microsystemsが,「libgdk_pixbuf」ライブラリのぜい弱性を修正するためのパッチを米国時間6月23日に公開した。同パッチを適用すると,「Solaris 8」「同9」上の「GNOME 2.0 Desktop」や,Linux対応デスクトップ向けシステム「Sun Java Desktop System(JDS)2003」で任意のコードが実行される問題を解決できる。
libgdk_pixbufは「GIMP Toolkit(GTK+)」内のライブラリで,イメージの読み込みと描画処理に使用する。このライブラリにぜい弱性が複数存在していたため,XPixmap(Xpm)形式データの読み込み時に,任意のコードをローカル・ユーザー権限で遠隔実行できてしまう問題があった。なお「Solaris 10」にこの問題はないという。
米メディアの報道(CNET News.com)によると,このぜい弱性はXpm画像に関するオープンソース・プログラム内にあり,2004年9月に存在が明らかになったものである。サービス拒否(DoS)攻撃などに悪用されるおそれがあり,デンマークのセキュリティ企業Secuniaは深刻度を「highly critical」とした。多くのソフトウエア会社が同じライブラリを使っているが,Red Hat,SUSE LINUX,Gentoo,DebianといったLinuxディストリビューションは既に対応を完了しているという。
◎関連記事
■「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
■「ゾンビPCを最も多くホスティングしているISPは米AOL」,米調査
■「企業が最も懸念するITセキュリティの脅威はウイルスとワーム」,米Gartnerの調査
■ネットを蝕むのはフィッシングだけじゃない、DDoS攻撃も「高度なものだけで1日60件」
■「2004年は『ボット』『ウイルス』『フィッシング』が脅威に」――IPA
■新井悠のネットワーク・セキュリティ論【前編】(1)――予測できたワームの蔓延
■あなたのPCをゾンビにしないために
■1万台を超えるパソコンで構成された“攻撃用ネットワーク”が確認される
