セキュリティ関係(9/10)
■ 2008 年 9 月のセキュリティ情報 (Microsoft, 9/10)
でました。予定通り、緊急4件。
- MS08-052 GDI+ の脆弱性により、リモートでコードが実行される (954593)
- MS08-053 Windows Media エンコーダー 9 の脆弱性により、リモートでコードが実行される (954156)
- MS08-054 Windows Media Player の脆弱性により、リモートでコードが実行される (954154)
- MS08-055 Microsoft Office の脆弱性により、リモートでコードが実行される (955047)
関連:
- JVNTA08-253A 緊急 Microsoft 製品における複数の脆弱性に対するアップデート (JVN, 9/10)
- <<< JPCERT/CC Alert 2008-09-10 >>> 2008年9月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 (JPCERT/CC, 9/10)
- マイクロソフト、9月の月例パッチを公開--緊急レベルのパッチが全4件 (CNET Japan, 9/10)
- Microsoftの9月定例アップデート,リモートからコードを実行される「緊急」4件を修正 (日経ITpro, 9/10)
追記9/11
MS08-052 の修正については、 GDI+ はサードパーティ製の製品でも再配布されているので、要注意。
- 2008年9月のセキュリティリリース (日本のセキュリティチーム, 9/10)
- 「GDI+」の脆弱性、Windows 2000環境がある企業などで要確認 (INTERNET Watch, 9/10)
■ アップル、「QuickTime 7.5.5」をリリース--9件の問題に対応 (CNET Japan, 9/10)
9つのセキュリティパッチが含まれているそうです。
■ 【注意喚起】ワンクリック不正請求に関する相談急増! パソコン利用者にとっての対策は、まずは手口を知ることから! (IPA, 9/9)
また被害が増えているようです。注意しましょう。
■ JVN#18616622 複数の Tor World 製 CGI スクリプトにおいて任意のスクリプトが実行される脆弱性
影響を受けるのは、
- Simple BBS Ver1.86 およびそれ以前
- Interactive BBS Ver1.57 およびそれ以前
- Topics BBS Ver1.11 およびそれ以前
- Tor Board Ver1.3 およびそれ以前
対策は、ベンダの情報を参照して、アップデート。
■ JVNVU#817940 NetBSD の MLD query パケット処理にサービス運用妨害(DoS)の脆弱性 (JVN, 9/9)
細工された ICMPv6 MLD query パケットを適切に処理できない脆弱性があり、システムパニックを起こす可能性があるそうです。
影響を受けるのは、
アップデートが出ている。
■ JVN#55010230 ハイ ノルマ (High Norm) 製 Sound Master 2nd におけるクロスサイトスクリプティングの脆弱性 (JVN, 9/9)
音楽データを配布するためのプログラムだそうで、 Sound Master 2nd Version 1.0.0 にXSSの脆弱性。アップデートが出ている。
■ グーグル、「Google Chrome」の脆弱性を修正するセキュリティアップデートを公開 (CNET Japan, 9/9)
非公式アップデートだそうです。何がどう直ってるのか不明。
アップデートの入手方法
アップデートを入手できるかどうかは、Chromeの右上にあるスパナのアイコンをクリックして、「Google Chromeについて」を選択する。そうすると、現在のバージョンナンバーと、アップデートを入手できるかどうかを示すメッセージが表示される。
Googleによれば、マニュアル操作を行うことなく、Chromeは自動的に更新する機能を備えているという。「Google Chromeは、約5時間おきに、アップデートを自動的にチェックする。アップデートが入手可能ならば、自動的にダウンロードされ、次にブラウザを起動する時に適用される」と、Googleは説明している。
アップデートを適用するかどうかをユーザーが選択できるのか、それとも適用後に通知が行われるのかは、現時点では定かではない。
自動アップデート機能もあるようだが、ユーザーが適用を選択出来るのか、適用後通知があるのか不明って・・・まぁ、ベータ版ですからねぇ。
- Chromeの「名前を付けてページを保存」機能に脆弱性 (CNET Japan, 9/8) これも含まれる?
- Google Chromeのアップデートがリリース、脆弱性に対処のもよう (ITmedia, 9/9)
追記9/11
- Google Chromeの脆弱性4件を修正 (ITmedia, 9/10)
リリースノートによると、バージョン0.2.149.29では4件の脆弱性に対処した。このうちベトナムの研究者に指摘された「名前を付けてページを保存」機能のバッファオーバーフロー問題と、非公開で報告されたリンクターゲットの表示処理に関するバッファオーバーフロー問題の2件は、任意のコード実行が可能になる深刻な脆弱性だった。