はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

Firefoxに危険度の高い脆弱性、修正版となる「Firefox 3.5.11/3.6.7」リリース

Mozilla Projectは7月21日、Webブラウザ「Firefox」に、危険度の高い脆弱性が発見されたと公表、脆弱性を修正した「Firefox 3.5.11」および「Firefox 3.6.7」を公開した。

公表された脆弱性はいくつか存在するが、そのうち4件は危険度が「最高」となっている。不正なPNG画像によってリモートコードが実行されてしまう問題など、危険度が高い脆弱性のため、Firefoxのユーザは早急にアップグレードする必要がある。

なお、Firefox 3.0系列およびそれ以前のバージョンは、既にサポートが終了している。そのため、これらのバージョンのユーザは、最新版である「Firefox 3.6.7」への移行が推奨されている。また、Firefox 3.5系列のサポートも8月中に打ち切られる予定であり、該当するバージョンのユーザに対しても「Firefox 3.6.7」へのアップグレードが推奨されている。

(川原 龍人/びぎねっと)

[関連リンク]
リリースノート(Firefox 3.6.7)
リリースノート(Firefox 3.5.11)

情報処理推進機構、年末年始におけるセキュリティの注意喚起

情報処理推進機構(IPA)は12月21日、年末年始の休暇期間中における情報セキュリティに関する注意喚起を発表した。この注意喚起は、「システム管理者を対象とした長期休暇前の対策」「企業でのPCユーザを対象とした長期休暇明けの対応」「家庭での利用者を対象とした注意事項」で構成されている。

年末年始は、多くの企業が長期休暇に入るため、通常期とは異なるセキュリティリスクが発生する。今回の注意喚起は、このリスクに対応するための注意事項をまとめたもの。注意喚起は、Webサイトで参照できる。

「システム管理者」向けには、管理サーバ・PCのOSに修正プログラムを適用し、最新のバージョンに更新することでセキュリティホールを解消すること、サーバ・PCのアプリケーションソにも修正プログラムを適用すること、ウイルス対策ソフトのパターンファイルを常に最新の状態になるように設定することを挙げている。

「企業でPCを利用しているユーザ」向けには、休暇明けに、OSやアプリケーションソフトの修正プログラムの有無を確認し、必要な修正プログラムを適用すること、休暇中に持ち出したPCは、必要なOSやアプリケーションの修正プログラムを適用し、ウイルス対策ソフトのパターンファイルを最新の状態にしてからウイルスチェックを行うこと、休暇中に持ち出したデータなどを格納しているUSBメモリなどの外部記憶媒体についても、ウイルスチェックを行ってから利用することを挙げている。

「家庭でPCを利用するユーザ」向けには、ウイルス感染やワンクリック請求の被害等に遭わないよう、OSやアプリケーションを最新のバージョンに更新し、「ワンクリック請求」を行うサイトに見られる、年齢確認の同意を求める「はい」「いいえ」のボタンをクリックさせる画面が表示された場合、利用規約をよく読み、サイト利用の判断を徹底すること、所有者不明や自身が管理していないUSBメモリの利用は避ける、自身が管理していないPCに自身の外部記憶媒体を接続しない、といったことを挙げている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
注意喚起本文

JPCERT/CC、冬期長期休暇期間中におけるセキュリティ対策の注意事項を発表

JPCERTコーディネーションセンター(JPCERT/CC)は12月22日、冬期の長期休暇期間中におけるコンピュータセキュリティインシデント発生の予防、および緊急時の対応に関して、セキュリティ対策実施状況、緊急時の連絡体制を事前に再確認するよう促す文書を公表した。

文書の中では、USBメモリやフラッシュメモリカードなど、外部記憶装置を媒介したウイルス感染が増加している点を指摘、休暇中に社外で使用した外部記憶装置を社内の機器に接続する場合は、ウイルスの感染を防ぐために、PCで外部記憶装置の自動再生を無効にすること、内容を確認する前にウイルス対策ソフトでスキャンを行うことなどを推奨している。

また、全般的な注意点として、以下のような注意喚起を行っている。

[全般]
○緊急時の連絡網が整備・周知されていることを確認する
○休暇中に使用しない機器の電源を切る

[システム管理者向け]
○最新のセキュリティ更新プログラムが適用されていることを確認する
○不要なサービスを無効にしていることを確認する
○各種サービスへのアクセス権限を必要最低限に設定する
○休暇時の業務遂行のために特別にアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されていることを確認する

[システム利用者向け]
○不要なプログラムがインストールされていないか確認する
○生年月日や電話番号、アカウントと同一のものなど、容易に推測できる脆弱なパスワードが設定されていないか確認する
○データを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払うようにする
(自宅の PC でファイル共有ソフトウェアを利用し、ウイルスに感染したことが契機となって情報漏えいが発生したケースもある)

また、休暇明けに注意すべき点として以下の点を挙げている。

[システム管理者向け]
○導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムが公開されていないかどうか確認する
○休暇中に持ち出していた PC を組織内のネットワークに接続する前に、ウイルスやワームなどに感染していないかどうか確認する (確認用のネットワークを別途用意するなど)

[システム利用者向け]
○ウイルス対策ソフトの定義ファイルを最新の状態にする
○休暇中に持ち出していた外部記憶装置などを組織内の PC に接続する前にウイルスチェックを行う

(川原 龍人/びぎねっと)

[関連リンク]
「冬期長期休暇を控えて」公表された文書

USBメモリを経由したウイルスの被害が急増、情報処理推進機構が注意を呼びかけ

情報処理推進機構(IPA)は12月2日、2008年11月のコンピュータウイルス・不正アクセスの届出状況をまとめ、公表した。その中で、USBメモリを経由して感染を広げるウイルスの検出数が急増していることを挙げ、注意を促した。

IPAに寄せられたウイルス届出のうち、「USB メモリを経由して感染を広げるウイルス」の検出数が、9月に11,722件、10月に62,555件、11月は101,090件と、わずか3ヵ月で10倍近く急増していることを指摘している。

被害が急増した原因として、IPAは既存のウイルスに、USBメモリなど外部記憶メディアへの感染機能が新たに組込まれつつあることを挙げている。また、USBメモリなどの外部記憶メディアは大容量化と低価格化が進み、利用機会が増えているため、外部記憶メディアを経由したウイルス感染などの危険性は増えているが、これに対する意識が行き届いていないことも被害増加の一因としている。

IPAは公表した文書の中で、注意すべき点、対処方法を公開している。

(川原 龍人/びぎねっと)

[関連リンク]
2008年11月のコンピュータウイルス・不正アクセスの届出状況(情報処理推進機構)

NTTデータ・セキュリティ、sudoコマンドの不正権限昇格の脆弱性を報告

NTTデータ・セキュリティは11月18日、sudoコマンドに権限を不正に昇格してしまう脆弱性があるというレポートを発表した。この脆弱性を悪用すると、ローカル環境において、一般ユーザが管理者権限を奪取する恐れがあるという。また、レポートの中では、脆弱性に関する再現性について検証を行ったとしている。

レポートによると、影響を受けるシステムは、sudo 1.6.9p18以前のバージョンだという。11月22日現在、この脆弱性を修正したバージョン・パッチのリリースは行われていない。この脆弱性は、「1.setenvを設定している場合」「2.一般ユーザに、sudoによる管理者権限でのコマンド実行を許可している場合」の両方を満たす場合に、設定されている一般ユーザが権限昇格の脆弱性を悪用することが可能になってしまうため、これを無効にすることが暫定的な対策となる。また、修正版がリリースされた場合には、速やかに最新版へアップデートすることが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
NTTデータ・セキュリティによるレポート(pdf)
sudo公式ページ(英語)

DNSプロトコルに脆弱性、BINDなど複数のDNS実装にアップデートの必要性

DNSプロトコルに潜在する脆弱性が発見された。DNSクエリにエントロピーが十分に存在しない、あるいは偽のDNSレスポンスを受け入れてしまうという脆弱性のために、DNSのキャッシュが汚染されてしまう可能性があるという。この脆弱性が悪用されると、インターネット全体が混乱に陥る危険もあるという。

この脆弱性はDNSプロトコルに潜在的に存在するもの。そのため、BINDだけでなく、Microsoft DNS Serverなど他のDNS実装でも対処が必要になるという。BINDの開発元であるISCは、BIND 9.5.0-P1、9.4.2-P1、9.3.5-P1をリリースしてこの脆弱性に対応した。Microsoftも修正パッチをリリースしている。他のDNS実装を利用しているユーザーも、ベンダーからセキュリティパッチが提供され次第、アップグレードを行う必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
US-CERTによる警告
CVE-2008-1447
CVE-2008-1454
DebianによるErrata

VMware WorkstationなどのVMware製品に脆弱性、修正した最新版リリース

VMwareは5月30日、VMware Workstation、VMware Player、VMware ACE、VMware Fusionの各製品の最新版をリリースした。このリリースには、重大な脆弱性に関するセキュリティアップデートが含まれている。また、セキュリティパッチも公開されるという。

脆弱性が発見されたのはVMware Workstation、VMware Player、VMware ACE、VMware Fusionの各製品。今回脆弱性が修正された最新版は、「VMware Workstation 6.0.4」、「VMware Player 2.0.4」、「VMware ACE 2.0.4」、「VMware Fusion 1.1.3」。これ以前のバージョンを利用しているユーザは対応が必要。

今回修正されたのは、サービス拒否攻撃およびバッファオーバーフローを引き起こす可能性のある脆弱性、およびWindowsホストで共有フォルダを構成して有効にした場合、攻撃者がゲストシステムから悪意のあるコンテンツをホストシステムの任意の場所に書き込む可能性がある脆弱性など。

(川原 龍人/びぎねっと)

[関連リンク]
VMware Workstation 6.0.4リリースノート
VMware Player 2.0.4リリースノート
VMware ACE 2.0.4
VMware Fusion 1.1.3

Sambaに重大な脆弱性、悪意のあるコードを実行される恐れ

Windowsのファイルサーバやプリントサービスなどを提供するサーバソフトウェア「Samba」に、重要なセキュリティ上の問題が発見された。この問題は、Sambaがヒープオーバーフローを引き起こしてしまうという脆弱性で、この脆弱性を突かれると、攻撃者が悪質なサーバに接続させ、悪意のあるコードを実行されてしまう恐れがあるという。

この問題は、Samba 3.0.0から3.0.29に存在する。The Samba Teamは、この脆弱性を修正するSamba 3.0.29向けのパッチ、および脆弱性を修正した新バージョン「Samba 3.0.30」をリリースした。Sambaのユーザは、早急にアップグレードするなどの対処が必要となる。

(川原 龍人/びぎねっと)

[関連リンク]
Security Announcement Archiveによる記事
Samba 3.0.30リリースノート(英語)

Linux kernelにroot権限を奪取される脆弱性見つかる、脆弱性を修正した2.6.24.2もリリース

Linux kernel 2.6.17から2.6.24.1に、root権限が取得できてしまう脆弱性が発見された。ただし、この脆弱性を悪用するにはローカルから攻撃するしかなく、リモートからは攻撃を受けない。

kernel 2.6.17から2.6.24.1には、いくつかの関数に不備があり、この不備のためにvmsplice()システムコールに脆弱性が生じた。この脆弱性が悪用されると、root権限が奪取されてしまう。

この脆弱性を修正したkernel 2.6.26.2が、2月10日(現地時間)にリリースされた。特に複数のユーザが利用するシステムでは対処が必要となる。

(川原 龍人/びぎねっと)

[関連リンク]
kernel.org
kernel 2.6.24.2 Change Log

gzipに脆弱性、バッファオーバフローの危険性など

ファイル圧縮プログラムgzipに、数点の脆弱性が発見された。発見された脆弱性は、バッファオーバーフローを引き起こす危険性のあるもの、NULLポインタ参照の危険性のあるものなど。想定される危険として、任意のコードを実行されてしまう、DoS攻撃を受ける、などがある。

現在、Debian Projectやレッドハットなど、いくつかのベンダーからアップデートパッケージが提供されている。gzipは極めて広範囲で使われているプログラムであるだけに、他のシステムにも今後影響を与えると思われる。

(川原 龍人/びぎねっと)

[関連リンク]
Debian ProjectのErrata
RedHatのErrata

 

このページのTOPへ

Powered by Wordpress