セキュリティ関係(9/10)

セキュリティ

2008 年 9 月のセキュリティ情報 (Microsoft, 9/10)

でました。予定通り、緊急4件。

関連:

追記9/11

MS08-052 の修正については、 GDI+ はサードパーティ製の製品でも再配布されているので、要注意。

アップル、「QuickTime 7.5.5」をリリース--9件の問題に対応 (CNET Japan, 9/10)

9つのセキュリティパッチが含まれているそうです。

■ About the security content of iTunes 8.0 (Apple, 2008.09.10) (セキュリティホールmemo, 9/10)

iTunes に複数の欠陥があり、修正版の iTunes 8.0 が公開されたのですか。

アップル、「Bonjour for Windows 1.0.5」をリリース--DNS脆弱性を修正 (CNET Japan, 9/10)

例のDNS脆弱性に対応したそうです。

【注意喚起】ワンクリック不正請求に関する相談急増! パソコン利用者にとっての対策は、まずは手口を知ることから! (IPA, 9/9)

また被害が増えているようです。注意しましょう。

JVN#18616622 複数の Tor World 製 CGI スクリプトにおいて任意のスクリプトが実行される脆弱性

影響を受けるのは、

  • Simple BBS Ver1.86 およびそれ以前
  • Interactive BBS Ver1.57 およびそれ以前
  • Topics BBS Ver1.11 およびそれ以前
  • Tor Board Ver1.3 およびそれ以前

対策は、ベンダの情報を参照して、アップデート。

JVNVU#817940 NetBSD の MLD query パケット処理にサービス運用妨害(DoS)の脆弱性 (JVN, 9/9)

細工された ICMPv6 MLD query パケットを適切に処理できない脆弱性があり、システムパニックを起こす可能性があるそうです。
影響を受けるのは、

  • NetBSD 4.0
  • NetBSD-current August 22, 2008 より前のバージョン

アップデートが出ている。

JVN#55010230 ハイ ノルマ (High Norm) 製 Sound Master 2nd におけるクロスサイトスクリプティングの脆弱性 (JVN, 9/9)

音楽データを配布するためのプログラムだそうで、 Sound Master 2nd Version 1.0.0 にXSS脆弱性。アップデートが出ている。

グーグル、「Google Chrome」の脆弱性を修正するセキュリティアップデートを公開 (CNET Japan, 9/9)

非公式アップデートだそうです。何がどう直ってるのか不明。

アップデートの入手方法


 アップデートを入手できるかどうかは、Chromeの右上にあるスパナのアイコンをクリックして、「Google Chromeについて」を選択する。そうすると、現在のバージョンナンバーと、アップデートを入手できるかどうかを示すメッセージが表示される。


 Googleによれば、マニュアル操作を行うことなく、Chromeは自動的に更新する機能を備えているという。「Google Chromeは、約5時間おきに、アップデートを自動的にチェックする。アップデートが入手可能ならば、自動的にダウンロードされ、次にブラウザを起動する時に適用される」と、Googleは説明している。


 アップデートを適用するかどうかをユーザーが選択できるのか、それとも適用後に通知が行われるのかは、現時点では定かではない。

自動アップデート機能もあるようだが、ユーザーが適用を選択出来るのか、適用後通知があるのか不明って・・・まぁ、ベータ版ですからねぇ。

追記9/11

 リリースノートによると、バージョン0.2.149.29では4件の脆弱性に対処した。このうちベトナムの研究者に指摘された「名前を付けてページを保存」機能のバッファオーバーフロー問題と、非公開で報告されたリンクターゲットの表示処理に関するバッファオーバーフロー問題の2件は、任意のコード実行が可能になる深刻な脆弱性だった。