脆弱性に関する情報memo(3/12)
■ JVNVU#576029 libpng における圧縮された補助チャンクの処理に脆弱性 (JVN, 3/4)
libpng 1.4.0以前に脆弱性があるそうで、これを使っている製品はご注意をという話。
関連:
国内では、フェンリルが無償ペイントソフト「PictBear」に脆弱なバージョンのlibpngを使用していたとして、更新版のPictBear 2.01をリリースした。またLunascapeは、ブラウザのLunascape6でエンジンにGeckoもしくはWebKitを利用している場合に影響を受けるとして、Tridentエンジンへの切り替えや、画像を読み込まない設定を実施するなどの回避策を適用するよう呼び掛けている。
だそうです。
関連:
■ JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性 (JVN, 3/5)
OpenPNE は、オープンソースの SNS (ソーシャルネットワーキングサービス) 構築ソフトウェアです。OpenPNE には、携帯版ログイン画面へのアクセスを携帯電話からのみに制限するため、IP アドレス帯域制限機能があります。OpenPNE には、IP アドレス帯域制限機能の処理に問題があり、アクセス制限回避が可能な脆弱性が存在します。結果として、携帯電話向けのかんたんログイン機能において、なりすましによるログインをされる可能性があります。
アップデートが出ているそうです。
関連:
■ ■ SA-CORE-2010-001 - Drupal core - Multiple vulnerabilities (Drupal.org, 2010.03.03) (セキュリティホールmemo, 3/5)
■ Operaブラウザに深刻な脆弱性、パッチは未公開 (ITmedia, 3/5)
Operaブラウザに未修正の深刻な脆弱性が見つかったとして、セキュリティ企業のSecuniaやVUPENが3月4日、アドバイザリーを公開した。
両社のアドバイザリーによれば、脆弱性はHTTPで不正な「Content-Length:」ヘッダを処理する際のバッファオーバーフロー問題に起因する。悪質なWebページをユーザーに参照させるといった形で悪用された場合、リモートの攻撃者に任意のコードを実行され、システムを制御されてしまう恐れがある。
脆弱性はWindows版の現行バージョンであるOpera 10.50で確認されたが、ほかのバージョンも影響を受ける可能性があるという。現時点でこの問題を修正するための公式パッチはリリースされていない。
■ 2010 年 3 月のセキュリティ情報 (Microsoft, 3/10)
今月は2件でした。
- MS10-016 Windows ムービー メーカーの脆弱性により、リモートでコードが実行される (975561)
- MS10-017 Microsoft Office Excel の脆弱性により、リモートでコードが実行される (980150)
関連:
■ マイクロソフト セキュリティ アドバイザリ (981374) Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft, 3/10)
IE6 と IE7 が影響を受ける。パッチはまだない。IE8 にバージョンアップすのががいいのかな。
関連:
■ その他いろいろ
- チェックしておきたいぜい弱性情報<2010.03.10> (日経ITpro, 3/10)