脆弱性修正のQuickTime 7.4.1公開
米Appleは2月6日、メディア再生ソフトQuickTimeのセキュリティアップデートとなる7.4.1を公開し、任意のコード実行につながる脆弱性に対処した。 Appleによるとこの脆弱性は、QuickTimeでRTSPをトンネリングする際、HTTP応答の処理時に発生するヒープバッファオーバーフローに起因する。悪意のあるWebページをユーザーが訪れると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。 対象となるOSはMac OS X 10.3.9/10.4.9以降、Mac OS X 10.5以降、Windows Vista/XP SP2。 アップデートはMac OS Xシステム環境設定の「ソフトウェア・アップデート」経由、または同社サイトからダウンロードできる。
動画利用の脆弱性、Skypeが修正パッチ公開
インターネット電話ソフトのSkypeは2月5日、動画利用に関して指摘されていた脆弱性の修正パッチを公開した。 この脆弱性は1月に発覚し、Skypeがサイトで情報を公開して注意を呼びかけていたもの。Windows版のSkypeが影響を受ける。 アドバイザリーによると、SkypeではInternet Explorer(IE)WebコントロールをHTMLコンテンツの処理に利用し、ムードやチャットに動画を利用できる機能を提供しているが、今回見つかった脆弱性を悪用すると、ロックされていないローカルゾーンでスクリプトを実行できるようになる。コンセプト実証コードも公開されていた。 攻撃を仕掛けるためには、コンテンツ提供サイトでコード挿入の脆弱性を悪用する必要があるが、動画サイトのDailymotion、Metacafe ProおよびSkypeが運営するSkypeFindでそうした脆弱性が見つかった。各サ
Flash Playerに深刻な脆弱性多数、アップデートを
米Adobe Systemsは12月18日、Flash Playerの深刻な脆弱性に対処するアップデートを公開した。Windows、Mac、Linuxを含む全プラットフォームのユーザーに対し適用を呼びかけている。 脆弱性があるのはAdobe Flash Player 9.0.48.0、8.0.35.0、7.0.70.0とそれ以前のバージョン。攻撃者が問題を悪用すると、悪質なFlashファイル(.swf)をユーザーにFlash Playerでロードさせ、システムを制御することが可能になる。 具体的には、複数の入力認証エラー問題が原因で、ユーザーのWebブラウザ、メールクライアントなどFlash Playerに関連付けたアプリケーション経由で配信されたコンテンツを使い、リモートから脆弱性を悪用することが可能。任意のコードを実行される可能性もある。 また、DNSリバインディング攻撃につながる問題
Thunderbird 1.5、最後のアップデート公開
バージョン1.5.0.13で対処したはずの脆弱性が修正されていないことが分かり、改めてアップデートが公開された。 Mozillaは12月19日、電子メールクライアント「Thunderbird」の脆弱性を修正するアップデートを公開した。 Thunderbird 1.5.0.14では、FirefoxとInternet Explorer(IE)の相互作用で発生する深刻な脆弱性に対処した。この問題は、7月に公開されたバージョン1.5.0.13で対処したはずだったが、ユーザーが自動更新を通じて1.5.0.13にアップデートした場合、問題が修正されないことが判明したため、改めて対処した。 このほか、メモリ破損でクラッシュが起きる問題にも対処した。いずれの脆弱性も、Thunderbird 2とFirefox 2では修正済み。 なお、Thunderbird 1.5.0.xのアップデート公開はこれが最後とな
OpenOffice.org 2.3.1が公開に--データベースエンジンモジュールの脆弱性に対応
「OpenOffice 2.3」またはそれ以前のバージョンを使用しているユーザーは、セキュリティパッチをダウンロードした方がいいだろう。 セキュリティ会社のSecuniaは米国時間12月5日、セキュリティに関する報告の中で、OpenOffice.orgコミュニティーが、OpenOffice 2.3およびそれ以前のバージョンで見つかったセキュリティ上の脆弱性を修正するためのパッチを公開したと発表した。Secuniaでは、その深刻度を(5段階評価の中で2番目に高い)「Highly Critical」と評価している。 今回見つかった脆弱性は、OpenOffice 2.3またはそれ以前のバージョンにデフォルトで搭載されているサードパーティー製のデータベースエンジンモジュールHSQLDBに存在する。これが悪用されると、攻撃者にコードを勝手に実行されるおそれがある。OpenOffice.orgはセキュ
OpenOffice.orgに脆弱性、修正パッチが公開
脆弱性を悪用すると、細工を施したデータベース文書を使って任意の静的Javaコードを実行することが可能になる。 無料オフィスソフトのOpenOffice.orgに脆弱性が見つかり、問題を修正したバージョン2.3.1(英語版)が公開された。OpenOffice.orgでは全ユーザーにアップデートを呼びかけている。 セキュリティ企業Secuniaなどのアドバイザリーによると、OpenOffice.org 2のデフォルトのデータベースエンジン「HSQLDB」に脆弱性があり、攻撃者が細工を施したデータベース文書をユーザーに開かせることにより、任意の静的Javaコードを実行することが可能になる。 Secuniaの危険度評価は5段階中上から2番目の「Highly critical」となっている。 この脆弱性は、HSQLDB 1.8.0.9/OpenOffice.org 2.3.1で修正された。なおOpe
またもや「RealPlayer」に脆弱性、ファイルを開くだけで被害の恐れ
米リアルネットワークスは2007年10月25日(米国時間)、同社のメディア再生ソフト「RealPlayer」などに新しい脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたMP3ファイル(.mp3)などを読み込むだけで、中に仕込まれた悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、修正済みのバージョンへアップデートすること。 今回見つかった脆弱性は6種類。いずれも「バッファーオーバーフロー」と呼ばれる問題を発生させるもの。10月19日に同社が公表した脆弱性もバッファーオーバーフローを発生させるものだったが、今回の脆弱性とは異なる。 今回の脆弱性を悪用されると、細工が施されたファイル(mp3、rm、SMIL、swf、ram、plsファイル)を読み込むだけでバッファーオーバーフローが発生し、RealPlayerなどが不正終了したり、悪質なプログラムを勝手に実行され
RealPlayerにさらに複数の脆弱性
セキュリティアップデートが公開されたばかりのRealPlayerに新たな脆弱性が発覚し、パッチが公開された。 セキュリティアップデートが公開されたばかりのメディア再生ソフトRealPlayerに新たな脆弱性が発覚し、RealNetworksが10月25日、再度パッチをリリースした。 RealNetworksやセキュリティ企業Secuniaなどのアドバイザリーによると、RealPlayer、RealOne、HelixPlayerに複数の脆弱性が存在する。問題を悪用されて実際の被害が出たという報告は受けていないという。 脆弱性は、各種メディアファイルとプレイリストファイル(mp3、rm、SMIL、swf、ram、plsなど)を処理する際の境界エラーに起因し、細工を施したファイルを使ってバッファオーバーフローを誘発される恐れがある。 Secuniaの深刻度評価は5段階で上から2番目に高い「Hig
アップルが「QuickTime」の新版を公開、7件の脆弱性を修正
米アップルは2007年11月5日(米国時間)、同社の音楽/動画再生ソフト「QuickTime」の新版「QuickTime 7.3」を公開した。新版では7件の脆弱(ぜいじゃく)性を修正。細工が施されたファイルやWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される脆弱性が含まれる。QuickTime 7.3は同社サイトから入手できる。 新版で修正された脆弱性は7件。いずれについても、Windows版とMac版の両方が影響を受ける。7件の内訳は、動画ファイルの処理に関する脆弱性が4件、PICT形式の画像ファイルの処理に関する脆弱性が2件、Javaアプレットの処理に関する脆弱性が1件。 動画/画像ファイルの処理に関する脆弱性については、細工が施されたファイルを開くだけで、QuickTimeが不正終了したり、悪質なプログラムを実行されたりする恐れがある。そういったファイルが置かれた
アップル、「QuickTime 7.3」でセキュリティ脆弱性7件を修正
Appleは米国時間11月5日、QuickTimeのセキュリティアップデート「QuickTime 7.3」をリリースした。同アップデートでは、QuickTime 7.2以前のバージョンに存在したセキュリティ脆弱性7件が修正されている。修正された問題のなかには、悪質な画像ファイルや動画ファイルをもつサイトにユーザーを誘導することにつながる、深刻な脆弱性も含まれる。公開されたセキュリティアップデートはMac OS XとWindowsを対象にしている。Appleは1カ月前に、Windows用QuickTimeに含まれていた別の深刻な脆弱性を修正していた。最新のセキュリティアップデートは、ソフトウェアのアップデート機能またはAppleダウンロードサイトより入手できる。
バッファローの無線LAN製品にCSRFの脆弱性、ファームウェア更新で対処
情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は10月12日、バッファロー製の無線LANルータ「AirStation WZR-RS-G54」および「同G54HP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。 2製品では、Webブラウザからログインして機器の設定を行える。この際、ユーザーが悪意のある別のサイトにもアクセスしていると、管理用パスワードの変更や、インターネット側から機器の設定画面へのアクセスを許可してしまうなどのユーザーが意図しない設定変更を第三者によって行われる可能性がある。 対象となるのは、ファームウェアのバージョンがWZR-RS-G54ではVer.2.46およびそれ以前、G54HPがVer.2.43お
OpenOffice.orgに深刻な脆弱性、修正バージョン2.3がリリース
オープンソースの統合オフィスソフト「OpenOffice.org」に深刻な脆弱性が見つかり、この問題に対処したアップデート版の2.3がリリースされた。 仏FrSIRTなどのアドバイザリーによると、脆弱性は、TIFFファイルの処理に関する整数オーバーフロー問題に起因する。悪用されると、細工を施した文書をユーザーが開くことにより、攻撃者が任意のコマンドを実行することが可能になる。 この問題は、OpenOffice.org 2.3よりも前のバージョンが影響を受ける。FrSIRTの深刻度評価は4段階で最も高い「Critical」。なお、日本語版は今のところ、まだバージョン2.2.1の提供となっている。
複数のVMware製品に脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 9月20日(デンマーク時間)、Secuniaは複数のVMware製品に脆弱性が発見されたと公表した。 特権昇格、サービス拒否(DoS)、システムアクセスと、複数の脆弱性が報告されている。影響度は5段階中上から3番目の「Moderately critical」。 影響を受けるバージョン: VMware ESX Server 2.x VMware ESX Server 3.x VMware ACE 1.x VMWare ACE 2.x VMware Player 1.x VMWare Player 2.x VMware Server 1.x VMware Workstation 5.x VMware Workstation 6.x 解決策は
VMware Workstationの脆弱性修正、日本語にも対応
VMwareは9月18日、仮想化ソフトのアップデート版となる「VMware Workstation 6.0.1」をリリースし、複数の脆弱性に対処した。 脆弱性は、VMware DHCPサーバやライブラリファイルなどに関連して複数存在し、悪用されると攻撃者が任意のファイルを上書きしたり、権限昇格、DoS(サービス妨害)攻撃の誘発、任意のコード実行などが可能になる。 バージョン6.0.1では、これらの脆弱性修正やOSサポート強化などの新機能に加え、日本語版への対応も盛り込まれた。ただ、現時点でテクニカルサポートは英語での提供となる。 US-CERTはセキュリティ上のリスクを回避するため、6.0.1にアップデートするよう促している。
Oracle、アップデートで45件のセキュリティ問題を修正
米Oracleは、四半期に1度の定例セキュリティアップデートを公開し、データベースなど全製品で計45件のセキュリティ問題に対処した。 対象となるのは、Oracle Database、Application Server、Enterprise Manager Grid Control、E-Business Suite Applications、JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、PeopleSoft Enterprise PeopleToolsの各製品。 仏FrSIRTが7月18日に公開したアドバイザリーによると、今回のアップデートで対処された問題は、リモートやローカルで悪用され、任意のコード実行やDoS(サービス妨害)誘発、情報流出、SQLイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ジャストシステムの多数製品にまた新たな脆弱性、修正モジュールが公開
「QuickTime 7.3.1」リリース、危険度の高い脆弱性を修正
「OpenOffice.org 2.3.1」公開、危険度の高い脆弱性を修正
RealPlayerに複数の脆弱性、アップデートを提供
7件の脆弱性を修正した「QuickTime 7.3」公開、LeopardやVistaも対象