PR
Hitach Incident Response Team

 2010年10月17日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

RealPlayerに複数のぜい弱性(2010/10/15)

 Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.4、RealPlayer Enterprise 2.1.2に任意のコード実行につながるぜい弱性が存在します。報告されたぜい弱性は、IVR(Internet Video Recording)ファイル処理、ActiveXの処理、QCP(Qualcomm Code Excited Linear Prediction)ファイル処理など計7件です。RealPlayer SP 1.1.5、RealPlayer Enterprise 2.1.3、Macintosh版RealPlayer、Linux版RealPlayer、およびLinux版Helix Playerには、ぜい弱性の影響はありません。

[参考情報]

オラクル2010年10月の四半期セキュリティアップデート(2010/10/12)

 Critical Patch Update - October 2010には、Oracle Database系7件、Oracle Fusion Middleware系8件、Oracle Enterprise Manager Grid Control系1件、Oracle E-Business Suite系6件、Oracle Supply Chain Products Suite系2件、Oracle PeopleSoft and JDEdwards Suite系21件、Oracle Siebel Suite系4件、Oracle Primavera Products Suite系1件、Oracle Sun Products Suite系26件、Oracle Open Office Suite系5件、Oracle VM系4件、計85件のセキュリティアップデートが含まれています。

[参考情報]

JDK/JRE 6 Update 22リリース(2010/10/12)

 計29件のぜい弱性を解決するJDK/JRE 6 Update 22がリリースされました。これらぜい弱性のうち28件は、ユーザー/パスワードのような認証操作が不要で、かつリモートからの攻撃が可能というものです。このリリースの中で対策されたネットワークコンポーネントのぜい弱性(CVE-2010-3560)については、動作制限を伴うため、ある条件下でJavaアプレットが停止すると報告されています。

 また、2009年11月上旬に確認されたSSL/TLSの再ネゴシエーション処理のぜい弱性(CVE-2009-3555)については、JDK/JRE 6 Update 19~Update 21において再ネゴシエーション処理が無効化され、JDK/JRE 6 Update 22においてRFC5746が実装されました。

[参考情報]

マイクロソフト2010年10月の月例セキュリティアップデート(2010/10/13)

 10月の月例セキュリティアップデートでは、16件のセキュリティ更新プログラムを公開し、49件のセキュリティ問題を解決しています。

 このうち、セキュリティ更新プログラム(MS10-073)は、マルウエアStuxnet(スタクスネット)が悪用する「キーボードのレイアウトのぜい弱性(CVE-2010-2743)」を解決します。Stuxnetは、更新プログラムが提供されている4件のぜい弱性と、まだ明らかとされていないぜい弱性1件を悪用しますので、セキュリティアップデートに合わせてウイルス定義ファイルを更新してください(図1)。

Serverサービスのぜい弱性の悪用=>MS08-067(CVE-2008-4250)
Windowsシェルのぜい弱性の悪用=>MS10-046(CVE-2010-2568)
印刷スプーラーサービスのぜい弱性の悪用=>MS10-061(CVE-2010-2729)
キーボードのレイアウトのぜい弱性の悪用=>MS10-073(CVE-2010-2743)
タスクスケジューラのぜい弱性の悪用=>対策版未リリース

図1●Stuxnetが悪用するぜい弱性への対応経緯
図1●Stuxnetが悪用するぜい弱性への対応経緯

[参考情報]

Cyber Security Bulletin SB10-284(2010/10/11)

 10月4日の週に報告されたぜい弱性の中からLinux環境での安全でないライブラリーの読み込みに関する問題、BINDのぜい弱性を取り上げます(Vulnerability Summary for the Week of October 4, 2010)。

■Linux環境での安全でないライブラリーの読み込みに関する問題(2010/10/04)

 Qt用のクロスプラットフォーム統合開発環境であるLinux版Qt Creator for desktop バージョン2.0.0ならびにそれ以前には、LD_LIBRARY_PATH環境変数が空の場合に、LD_LIBRARY_PATH環境変数に起因して安全でないライブラリーの読み込みが発生する問題(CVE-2010-3374)が存在します。

[参考情報]

■BIND 9.7.2-P2リリース(2010/10/05)

 BIND 9.7.2-P2がリリースされました。このリリースでは、BIND 9.7.2から9.7.2-P1に存在する、再帰的問い合わせを利用した場合に、アクセス制御リストで許可していないキャッシュへのアクセスを許してしまう問題(CVE-2010-0218)を解決しています。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。