ぜい弱性を公開するタイミングについて
数年前,筆者は米サンのOS「Solaris」のIPスタック――具体的にはIPデータグラム――の処理で二つのぜい弱性(バグ)を発見した。IP処理コードは信頼できないマシンに公開せざるを得ないため,この種のバグは極めて深刻な存在だ。さらに,IPデータグラム処理のバグは,ファイアウォールの侵害やカーネル・パニック,あるいはさらに深刻なケースにつながる。筆者が発見したこれらのバグも例外ではない。以下に概要を示す。 バグ1:フラグメンテーション攻撃 このぜい弱性は,SolarisのIPフラグメントの再構成処理に関係する非常に興味深い問題だ。一般的にカーネルは,到着するフラグメントごとにフラグメントのデータ部(IPヘッダーではなくデータ)をこのデータグラムと関連付けたリストに格納する。このキューにつなぐ最初のフラグメントを受け取ったとき,IPヘッダーは外さない。したがって,フラグメントの再構成が完了す
グーグルのAndroid SDKに脆弱性--セキュリティ研究者らが指摘
研究者らがGoogleのAndroid SDKに、外部からの攻撃を誘発する脆弱性を発見した。Androidデバイスが小売店に出回るのは数カ月先の話であるため、脆弱性の影響はさほど大きくはない。 Core Securityは米国時間3月4日、サイトにアラートを公開し、GoogleのAndroid SDKに含まれるオープンソースの画像プロセッシングライブラリにおいて、8つの脆弱性を発見したことを明らかにした。またCore Securityはこれらのライブラリが時代遅れであると指摘している。脆弱性は悪用されると、攻撃者にAndroid端末を完全に制御されてしまう恐れがあるという。 ソフトウェアに脆弱性は付き物なので、今回の発見も驚くには値しない。Googleが2007年11月に公開したAndroidはまだベータの段階にあり、Core Securityなどが今のうちに問題を見つけるのはむしろ望まし
Adobe Reader、QuickTime、Firefox――人気ソフトに脆弱性が相次ぐ
セキュリティ組織の米SANS Instituteなどは2008年2月8日、広く利用されているPDF閲覧ソフト「Adobe Reader」や音楽/動画再生ソフト「QuickTime」、Webブラウザー「Firefox」には危険な脆弱(ぜいじゃく)性が見つかっているとして注意を呼びかけた。いずれも、脆弱性を修正した最新版が公開されている。 Adobe Readerについては、2月5日に最新版「Adobe Reader 8.1.2」が公開された。同バージョンでは、安定性などを向上したことに加えて、セキュリティの脆弱性が1件修正された。しかしながら、脆弱性の詳細については未公表。セキュリティベンダーなどの情報によれば、悪質なプログラム(ウイルスなど)を勝手に実行されるような危険な脆弱性である可能性があるという。 QuickTimeの新版「QuickTime 7.4.1」は2月6日に公開。同バージョ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
