PR

Hitach Incident Response Team

 2010年1月10日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Firefox 3.5.7ならびに3.0.17リリース(2010/01/06)

 Firefox 3.5.7、3.0.17がリリースされました。これらのバージョンでは、安定性に関わる問題修正だけで、セキュリティ問題の修正は含まれていません。Firefox 2系列の更新は2008年12月に終了しており、Firefox 3向けのセキュリティ更新の提供は2010年1月で終了します。Firefox 2ならびにFirefox 3ユーザーは、Firefox 3.5系に更新する必要があります。なお、メジャー・アップデートの案内表示が変更されており、アップデートで、[ヘルプ]メニューから[ソフトウエアの更新を確認]を選択すると、Firefox 3.5系への更新が簡単にできるようになっています(写真1)。

写真1●メジャー・アップデートの案内表示

MyJVN バージョン・チェッカでも、2010年1月7日にFirefox 3.5.7/3.0.17への対応が完了しています。MyJVN バージョン・チェッカでは、"http://jvndb.jvn.jp/myjvn? method=getOvalList"でバージョン・チェックするソフトウエア製品のリストを取得します。その後、"http://jvndb.jvn.jp/myjvn? method=getOvalData"で、レジストリHKEY_LOCAL_MACHINE \SOFTWARE \Mozilla \Mozilla Firefox \CurrentVersionに格納されているバージョン情報(写真2)をチェック対象とするMozilla Firefox 3系/3.5系用OVAL定義データを取得しています。

写真2●Mozilla Firefox 3系/3.5系用のOVAL定義データ(抜粋)
[画像のクリックで拡大表示]

[参考情報]

VMware ESXサービス・コンソールのセキュリティ・アップデート(2010/01/06)

 VMware ESXのセキュリティ・アップデート版がリリースされました。このアップデートでは、SSL、TLS、S/MIME、X.509証明書など、セキュリティ機能を組み込んだライブラリであるNetwork Security Services(NSS)とプラットフォーム共通のAPIなどを提供するNetScape Portable Runtime(NSPR)に存在する複数のぜい弱性を解決しています。

[参考情報]

Cyber Security Bulletin SB10-004(2010/01/04)

 12月28日の週に報告されたぜい弱性の中からIIS、MySQLとカスペルスキーのぜい弱性を取り上げます(Vulnerability Summary for the Week of December 28, 2009)。

■マイクロソフトIISの拡張子処理にぜい弱性(2009/12/25)

 マイクロソフトのWebサーバーであるIIS(Internet Information Services)にぜい弱性(CVE-2009-4444)が確認されました。このぜい弱性は、拡張子部分にセミコロン(;)を含む場合、適切な拡張子処理が行なわれないことに起因します。http://www.example.jp/malicious.jpgへのアクセスの場合、IISはmalicious.jpgを画像ファイルとして扱います。しかし、http://www.example.jp/malicious.asp;.jpgへのアクセスの場合、ぜい弱なIISは、このファイルをASPファイルとして扱ってしまいます。このため、ASPコンテンツを含むデータを画像ファイルmalicious.asp;.jpgのように見せかけアップロードした後、malicious.asp;.jpgにアクセスすることで、アップロードしたASPコンテンツを実行できる可能性があります。