PHP開発チームは8月22日、4日前に公開した最新版「PHP 5.3.7」で重大なバグを報告した。バージョン5.3.8公開までアップグレードを控えるよう警告している。5.3.8は、数日以内にリリースするとしている。
セキュリティ勧告
JPCERT/CC、Webサイト改ざんとGumblarウイルスの感染で注意喚起
JPCERTコーディネーションセンター(JPCERT/CC)は2010年1月7日、Webサイトを改ざんするウイルス「Gumblar」の感染が昨年末から拡大していることを受け、注意喚起を行った。 OSやソフトウェアに最新の修正プログラムが適用されているか、Webサイトが改ざんされていないか確認するよう求めている。
Mozilla、バグのある米Microsoftの「Firefox」プラグインを無効化
Mozillaの開発担当副社長、Mike Shaver氏は10月16日、セキュリティ欠陥が報告されている米Microsoftの「Firefox」アドオンを自動遮断することを発表した。深刻なセキュリティ問題があり、アドオンの削除が難しいことから遮断リストに加えることにしたという。
バッファオーバーランの脆弱性を修正した「Namazu 2.0.20」リリース
Namazu Projectは2009年9月23日、日本語全文検索システムの最新バージョン「Namazu 2.0.20」を公開した。バッファオーバーランを起こす可能性がある脆弱性を修正しており、ユーザーには早急に最新版へバージョンアップするよう呼びかけている。
IPA、旧バージョンの「OpenSSL」利用者に注意喚起
情報処理推進機構(IPA)は2009年9月8日、オープンソースの暗号化通信ソフト「OpenSSL」のユーザーに向け、脆弱性対策済みの新しいバージョンを使うよう「注意喚起」を発した。対策未適用のバージョンの報告が増加していることを受けたもので、迅速なバージョンアップを呼びかけている。
「Delphi」を汚染するウイルスが流行、作成ソフトをウイルス化
ボーランドの開発環境「Delphi」を“汚染”し、コンパイルしたソフトをウイルス化する新種ウイルス「TROJ_INDUC.AA」の感染事例が相次いでいる。トレンドマイクロ(本社:東京都渋谷区)によると、2009年8月24日現在、国内で1480台の感染報告があるという。
IPA、「Namazu」ユーザーに脆弱性対策済みバージョンを使うよう注意喚起
情報処理推進機構(IPA)は2009年8月20日、オープンソースの全文検索システム「Namazu」のユーザーに向け、新しいバージョンを使うよう「注意喚起」した。脆弱性を修正していない旧バージョンを使用しているWebサイトがあるとの届け出が増えていることを受けた。
IPA、「EC-CUBE」の旧バージョン使用サイトに「注意喚起」
情報処理推進機構(IPA)は2009年7月27日、オープンソースのECサイト構築パッケージ「EC-CUBE」で、脆弱性のある旧バージョンを使用しているサイト運営者に対し、迅速なバージョンアップの実施を求める「注意喚起」を行った。対策済みのバージョンが公表されているにもかかわらず未適用のWebサイトがあるとの届け出が増加したことを受けた。
IPA、ぜい弱性情報DB「JVN iPedia」で情報自動収集を試行、開発者側から登録可能に
独立行政法人情報処理推進機構(IPA)は2009年4月28日、運営しているぜい弱性対策情報データベース「JVN iPedia」で、製品開発者が発信するぜい弱性対策情報の自動収集を試行開始した。自動収集を利用することで、開発者は製品ユーザーに広く対策を促すことができるようになるという。
オープンソースのCMS「Drupal」に脆弱性、アップデート版をリリース
オープンソースのコンテンツ管理システム(CMS)を開発するDrupal.orgは8月13日(米国時間)、クロスサイトスクリプティングなど5件の脆弱性を修正するパッチをリリースした。脆弱性のレベルは「高(Highly critical)」で、パッチ適用か最新バージョンへのアップデートを呼びかけている。
米Google、オープンソースのセキュリティを推進するoCERTに出資
米Googleは5月5日、オープンソース版CERTである「oCERT(Open Source Computer Emergency Response Team)」に出資することを発表した。オープンソースソフトウェアの脆弱性報告、パッチの配信の中央機関として機能させることで、オープンソースソフトの安全性を強化するという。
Trend Micro製ソフトの脆弱性悪用が狙い?――TCP 5168番ポートのスキャンが急増――同社は修正パッチの早期適用を呼びかけ
米国Symantecは8月23日、Trend Micro製アンチウイルス・ソフトの脆弱性をターゲットにしていると見られるTCPポート・スキャンが急増していることを明らかにした。Symantecでは、同ソフトが稼働しているWindowsサーバが近く攻撃を受ける可能性もあるとして注意を呼びかけている。
Red HatのMark Cox氏、セキュリティについて語る
ITプロフェッショナルは、セキュリティに関する事項やできるだけ速やかにシステムにパッチを当てる方法を検討するのに多大な時間を費やしている。しかし、脆弱性に関する情報が彼らのもとに届く過程は、ほとんど謎に包まれたままだ。その辺りの事情を明らかにするため、我々はRed Hatのセキュリティ対応チームのディレクタMark Cox氏に会い、Linuxのセキュリティ動向のほか、誰が脆弱性を発見するのか、重要度はどのように判定されるのか、セキュリティの問題を最小限に抑えるために何が行われているのかについて話を伺った。
脆弱性把握からパッチ配布まで100日以上――アニメ・カーソル問題でMicrosoftが弁明「パッチの開発と検証に手間取った」
4月3日、Windowsのアニメーション・カーソル欠陥を修復するパッチがようやくリリースされた。昨年12月の時点で脆弱性の存在を把握していたにもかかわらず、Microsoftはパッチ提供までに100日以上も要した。
Windowsの基本処理で脆弱性が発覚――セキュリティ対策ベンダーは警戒レベルを引き上げ
米国Microsoftは3月29日、Vistaを含むWindows OSに脆弱性があることを公表した。この脆弱性はアニメーション・カーソル処理と関連しており、これが悪用されれば、PCの操作を攻撃者に乗っ取られる可能性もあるという。
Vista付属の「Windows Mail」に脆弱性――リモート・コード実行を許すおそれ、発見した専門家は脆弱性の実証コードを販売
3月23日、Windows Vistaに付属する電子メール・プログラム「Windows Mail」で脆弱性が見つかった。あるセキュリティ専門家は、悪意あるコードの実行に利用されるおそれがあると指摘している。ただし、この専門家は2週間前に、脆弱性実証コードの販売サービスを宣伝していた人物だった。
Firefox:ぜい弱性を修正した「2.0.0.2」公開
米Mozillaは23日(米国時間)、オープンソースのブラウザー「Firefox2」のアップデート版「Firefox2.0.0.2」をリリースした。ぜい弱性を修正したマイナーバージョンアップで、Windows、Mac OS X、Linuxの各OS用が無料ダウンロードできる。英語のほか日本語版もある。
オープンソースCRM「SugarCRM」にクロスサイトスクリプティングの脆弱性
独立行政法人情報処理推進機構(IPA)セキュリティセンターは2006年12月21日、オープンソースの顧客管理ソフト「SugarCRM」にクロスサイト・スクリプテイングの脆弱性がみつかったと発表した。影響を受けるシステムはSugarCRM 4.5.0f以前。
2006年に発見された脆弱性、今年8月時点で昨年を上回る
米インターネット・セキュリティ・システムズ(ISS)によると、今年1月から8月までに発見された新たな脆弱性の数は5,300件に達しており、2005年の5,195件をすでに上回っているという。
脆弱性ありながら人気のアプリ、トップはFirefox
セキュリティ企業の米ビット9は20日(米国時間)、「脆弱性が確認されていながら人気が高いアプリケーション」上位15種類のリストを発表した。企業内のパソコンに従業員が個人的にインストールした場合、IT管理者の対処が困難として、注意を呼びかけている。
