セキュリティ関係(2/25)
■ ソニー製ネットワークカメラ SNC シリーズにおけるセキュリティ上の弱点(脆弱性)の注意喚起 (IPA, 2/23)
ソニーのネットワークカメラSNCシリーズのActiveXコントロールに、ヒープバッファオーバーフローの脆弱性ある。悪用されると、ウェブブラウザからActiveXコントロールを利用したコンピュータ上で、任意のコードが実行されてしまう可能性があるそうです。
ソニーのリリース:
■ JVNTA09-051A 緊急 Adobe Reader および Acrobat における脆弱性 (JVN, 2/23)
Adobe Reader/Acrobat 9 およびそれ以前にバッファオーバーフローの脆弱性。パッチはまだない。
関連:
■ SYM09-002 Symantec NetBackup の Communications Setup に特権昇格の脆弱性 (Symantec, 2/17)
修正プログラムがある。
■ JVNVU#435052 透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題 (JVN, 2/24)
透過型プロキシサーバはブラウザの設定に関わらず、ネットワーク接続の中継を行います。透過型プロキシサーバの中には Host ヘッダの値をもとに接続先を決定するものがあります。Flash や Java などのブラウザプラグインでは、ブラウザ上で実行される動的コンテンツによる通信を、そのコンテンツが置いてあったサイトやドメインへの通信のみに制限しています。攻撃者は動的コンテンツを利用し、HTTP Host ヘッダの値を細工することができます。プロキシサーバが接続先を Host ヘッダの値をもとに決定する場合、攻撃者は Host ヘッダを細工することで任意のサイトへの接続が可能となります。
攻撃者はユーザを悪意ある動的コンテンツが存在するサイトへ誘導または信頼できると思われるサイトに悪意ある動的コンテンツを埋め込むことで攻撃を行います。本問題は透過型プロキシサーバのみに影響があります。なお、ブラウザの Same Origin Policy により、攻撃者による認証情報 (cookie など) の再利用は不可能と考えられます。
■ マイクロソフト セキュリティ アドバイザリ (968272) Microsoft Office Excel の脆弱性により、リモートでコードが実行される (Microsoft, 2/24)
EXCELに0-Dayな脆弱性があるそうです。パッチはまだなし。
関連:
- Excelに新たなゼロデイ攻撃 (日経ITpro, 2/24)
追記2/27
- ■ Microsoft Excel に 0-day 欠陥か (various, 2009.02.24) (セキュリティホールmemo, 2/24) いろいろまとまってます。