今月、Skypeは待望の脆弱性に対するパッチをリリースしました。この脆弱性は極めて危険で、攻撃者がリモートからシステムを制御できるようになる可能性があります。Adobeは今月初めにプライバシーコントロールをリリースし、プライバシーのレベルを制御できるようになりました。Microsoftも小規模なパッチを火曜日にリリースしました。
Skype、Macユーザー向けにSkypeのアップデートを公開
先月、SkypeとオーストラリアのハッカーグループPure Hackingは、Skype for Mac 5.xに脆弱性を発見しました。この脆弱性により、攻撃者が細工したメッセージを送信すると、Skypeがクラッシュする可能性があります。Pure Hackingによると、この脆弱性により、攻撃者はアプリケーションのインターフェース機能であるシェルをリモートから制御できるようになるとのことです。
Pure Hackingは、「要するに、攻撃者は被害者にメッセージを送るだけで、被害者のMacをリモートコントロールできるようになる。これは非常にワーム化しやすく、危険だ」と述べています。
Skype によると、この脆弱性は実際に悪用されているわけではないが、攻撃を回避するために最新バージョンの Skype for Mac (5.1.0.922 以降で修正済み) に更新することを強く勧めている。
さらに、Skypeは5月9日にSkype for Macユーザー向けに新たなアップデートをリリースしましたが、今回のアップデートで修正される問題については明らかにしておらず、アップデート前に脆弱性が広がるのを避けるため、相当数のユーザーがアップグレードを完了するまでは具体的なアップデート内容は明らかにしないとしています。これらのアップデートの詳細とダウンロードについては、Skypeセキュリティブログ(5月6日)、Skypeセキュリティブログ(5月9日)、Pure Hackingのブログをご覧ください。
Adobe、ユーザーによるプライバシー制御でセキュリティ脆弱性を修正
Adobeは今月、Adobe RoboHelp(ヘルプファイル作成用ソフトウェア)、Audition、Flash Media Server、Flash Playerに影響を及ぼす4つのセキュリティ情報と勧告を公開した。
最初のアップデートでは、RoboHelp 8および7、そしてRoboHelp Server 8および7における重大な脆弱性が修正されます。攻撃者がこの脆弱性を悪用した場合、セキュリティが侵害される可能性があります。この脆弱性を修正するには、Adobeは、こちらからアップデートをダウンロードして適用することを推奨します。
Adobe Audition 3.0.1 およびそれ以前のバージョンには、攻撃者がシステム上で悪意のあるコードを実行する可能性のある重大な脆弱性が確認されています。この脆弱性の影響を受けるには、攻撃者がユーザーに特別な悪意のあるバイナリ Audition セッション (.ses) ファイルを開くように仕向ける必要があります (これが何なのかわからない場合は、おそらく影響はありません)。Adobe Flash Media Server 4.0.1 およびそれ以前のバージョンには、データとメモリの破損を引き起こす別の脆弱性があります。これらの脆弱性はどちらも、システム上で任意のコードが実行される可能性があるため、通常どおり、できるだけ早くシステムを最新の状態に更新してください。
Adobe Flash Player 10.2.159.28 およびそれ以前のバージョンに、アプリケーションのクラッシュを引き起こす可能性のある複数の脆弱性が見つかりました。これらの脆弱性により、攻撃者がシステムを乗っ取る可能性があります。Adobe は、これらの脆弱性の 1 つを悪用しようとするマルウェアが存在すると報告していますが、攻撃が成功したという報告は受けていないと述べています。この問題を修正するため、Adobe はユーザーコントロールを強化し、プライバシー設定を独自に設定できる Flash Player 10.3 をリリースしました。この新しいアップデートにより、Flash を使用するすべてのブラウザで、Cookie を含むローカルストレージを消去できるようになります。これらの情報は、攻撃者がユーザーを追跡するなど、さまざまな目的に利用される可能性があります。新しいプライバシー設定を利用するには、Flash Player を最新バージョンにアップグレードする必要があります。
これらのアップデートの詳細とダウンロードについては、Adobe セキュリティ速報および勧告、および PC Word のセキュリティ警告をご覧ください。
マイクロソフト、火曜日に小規模なパッチをリリース
今月、マイクロソフトはセキュリティ情報を2件のみ公開しました(先月の大規模な公開と比較すると)。MS11-035とMS11-036はそれぞれ深刻度が「緊急」と「重要」です。どちらの脆弱性も、攻撃者が悪用した場合、リモートコード実行の恐れがあります。
脆弱性 MS11-035 は、Windows インターネット ネーム サービス (WINS) に影響を及ぼします。WINS は、NetBIOS と呼ばれる別のシステムのネーム サーバーおよびサービスです (これらのサービスが何であるかご存じない場合は、おそらく影響はありません)。攻撃者がこの脆弱性を悪用するには、WINS サービスを実行している影響を受けるシステムで、特別に細工された WINS レプリケーション パケットを受信する必要があります。WINS は影響を受けるオペレーティング システムにはプリインストールされておらず、手動でコンポーネントをインストールした場合にのみ影響を受けます。この脆弱性は、Windows Server 2003、Server 2008 (Itanium を除く)、および Server 2008 R2 (Itanium を除く) のすべてのサポートされているエディションを実行しているすべてのサーバーにおいて、深刻度が「緊急」です。
脆弱性 MS11-036 は Microsoft PowerPoint に影響を及ぼし、細工された PowerPoint ファイルを開いた場合、影響を受ける可能性があります。攻撃者がこれらの脆弱性を悪用した場合、ログオンユーザーと同じ権限を取得する可能性があります。MS11-036 は、Microsoft PowerPoint 2002、2003、2007、および Microsoft Office 2004 および 2008 for Mac のすべてのサポートされているエディションに影響します。この攻撃を防ぐには、Office ドキュメントで開く前に Office バイナリファイル形式をスキャンする Office ファイル検証 (OFV) をインストールして構成することをお勧めします。
「DLLロードハイジャック」または「バイナリプランティング」と呼ばれる別の攻撃は、Microsoftによって調査中ですが、セキュリティ研究機関であるAcros Securityによると、まだ完全なパッチがリリースされていません。アプリケーションはDLL(ダイナミックリンクライブラリ。複数のプログラムが同時に使用できるMicrosoftのライブラリ)のフルパス名ではなくファイル名のみを使用するため、攻撃者はシステムを騙して同じ名前の悪意のあるファイルをロードさせ、リモートコード実行を可能にします。Acrosによると、この脆弱性はWindows 7、Vista、XPに影響します。
さらに、システムは常に最新の状態に保ってください。各更新プログラムの詳細や手動でダウンロードするには、Microsoft セーフティ&セキュリティ センター、Microsoft セキュリティ アドバイザリ (2269637)、Across Security、Computer World のセキュリティ トピック センターをご覧ください。
Twitter と Stumble Upon で James Mulroy をフォローして、微生物、恐竜、デスレイに関する最新ニュースを入手してください。
