Hitach Incident Response Team

 9月13日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

Firefox 3.5.3ならびに3.0.14リリース(2009/09/10)

 Firefox 3.5.3では4件,Firefox 3.0.14では5件のセキュリティ問題を解決しています。また,Firefox 3.5.3ならびにFirefox 3.0.14のアップデート時に,プラグインのAdobe Flash Playerが最新バージョンかどうかをチェックできるようになりました(写真1)。

 Adobe Flash Playerが最新バージョンかどうかは,Firefoxの更新ページ(Firefox 3.5)で用意したJavascript(detect-flash.js)でチェックしています。この更新ページでは,Flash Playerだけではなく,ブラウザがWebサイトにアクセスする際に送信するHTTPのUser-Agentヘッダー(例:User-Agent: Mozilla/5.0(Windows; U; Windows NT 6.0; ja; rv:1.9.1.3)Gecko/20090824 Firefox/3.5.3(.NET CLR 3.5.30729))を利用して,ブラウザ自身が最新バージョンかどうかもチェックします(写真2)。

影響アドバイザリ
攻撃者の用意した任意のコードを実行されてしまうMFSA 2009-47:メモリー破壊の形跡があるクラッシュ(rv:1.9.1.3/1.9.0.14)
MFSA 2009-49:ツリー列のダングリングポインタぜい弱性
MFSA 2009-51:FeedWriterによるクローム特権昇格
情報漏えいMFSA 2009-48:PKCS11モジュールのインストールと削除に関する不十分な警告
なりすましMFSA 2009-50:過大な行高のUnicode文字を通じたロケーションバーの偽装

写真1●プラグインAdobe Flash Playerのバージョン・チェック
[画像のクリックで拡大表示]
写真2●ブラウザFirefoxのバージョン・チェック
[画像のクリックで拡大表示]

[参考情報]

Mac OS Xのセキュリティ・アップデート2009-005(2009/09/09)

 Mac OS X v10.4.11/v10.5.8,Mac OS X Server v10.4.11/v10.5.8のセキュリティ・アップデート版がリリースされました。影響を受けるパーツはAlias Manager,CarbonCore,ClamAV,ColorSync,CoreGraphics,CUPS,Flash Playerプラグイン,ImageIO,Launch Services,MySQL,PHP,SMB,Wikiサーバーです。

 Flash Playerプラグインでは,最新バージョン(Mac OS v10.5.8の場合10.0.32.18)に更新します。またセキュリティ・アップデート2009-005と併せて,Mac OS X v10.6.1のFlash Playerプラグインの更新版,任意のコード実行につながるぜい弱性を除去したQuickTime 7.6.4がリリースされました。QuickTime 7.6.4では,H.264ムービー処理(メモリー破損,ならびにバッファ・オーバーフロー),MPEG-4ビデオ・ファイル処理(バッファ・オーバーフロー),FlashPixファイル処理(バッファ・オーバーフロー)の4件のセキュリティ問題を解決しています。

[参考情報]

VMwareにセキュリティ・アップデート2009-005(2009/09/04)

 VMware Workstation Movie Decoder,WMware Workstation,VMware Player,VMware ACEに同梱されているVMwareムービー・デコーダのVMncメディア・コーデック処理には,バッファ・オーバーフローのぜい弱性が存在します。フレーム・バッファのパラメータをぜい弱性を攻撃するように細工したビデオ・ファイルを読み込んでしまった場合に,影響を受ける可能性があります。

[参考情報]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら