特に重要なセキュリティ欠陥・ウイルス情報

Linux カーネル 2.6.17 ～ 2.6.24.1 に重大な欠陥が発見されました。この欠陥を悪用すると、一般ユーザが root 権限を取得できてしまいます。既に攻略コードが広く公開されています。

• SA28835 - Linux Kernel "vmsplice()" System Call Vulnerabilities (Secunia)

この欠陥は Linux カーネル 2.6.23.16 および 2.6.24.2 で修正されています。また該当カーネルバージョンを利用している Linux ディストリビューションにおいて、修正プログラムを配布あるいは開発中です。

• DSA-1494-1 linux-2.6 -- missing access checks (Debian GNU/Linux)
• RHSA-2008:0129-5 - Important: kernel security update (Red Hat)
• [CentOS-announce] CESA-2008:0129 Important CentOS 5 x86_64 kernel (CentOS)
• [security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:007) (openSUSE)
• [SECURITY] Fedora 7 Update: kernel-2.6.23.15-80.fc7 (Fedora)
• [SECURITY] Fedora 8 Update: kernel-2.6.23.15-137.fc8 (Fedora)
• Turbolinux Security Advisory TLSA-2008-8 - kernel (Turbolinux)

各 Linux ディストリビュータから修正プログラムが配布された場合は、速やかに適用してください。

Linux カーネル 2.6.16 以前、あるいは 2.6.24.2 以降を利用している場合には、この欠陥は存在しません。そのため、修正プログラムが公開されない Linux ディストリビュータも存在することに注意してください。

Mac OS X 10.5.2 および Security Update 2008-001 (Mac OS X 10.4.11 用) が公開されています。複数のセキュリティ欠陥が修正されています。

• Mac OS X 10.5.2 のセキュリティコンテンツおよび Security Update 2008-001 について (Apple)

Mac OS X 10.5.x / 10.4.x 利用者は、ソフトウェア・アップデートなどを利用して適用してください。

Adobe Reader 8.1.2 にひきつづき、Acrobat 8.1.2 が公開されています。セキュリティ欠陥を含む複数の問題が修正されています。

• APSA08-01 - Security update available for Adobe Reader and Acrobat 8 (Adobe)
• APSA08-01 - Adobe ReaderとAcrobat 8のセキュリティアップデート公開 (Adobe)

Acrobat 8.x を利用している場合は 8.1.2 に更新してください。

• Adobe Acrobat 8.1.2 Professional and Standard update (Windows) - multiple languages (Adobe)
• Adobe Acrobat 8.1.2 Professional update (Mac OS X) - multiple languages (Adobe)
• Adobe Acrobat 3D 8.1.2 update - multiple languages (Adobe)

欠陥の詳細については以下を参照してください。

• Adobe Reader Security Provider Unsafe Libary Path Vulnerability (iDefense)
• Adobe Reader and Acrobat JavaScript Insecure Method Exposure Vulnerability (iDefense)
• Adobe Reader and Acrobat Multiple Stack-based Buffer Overflow Vulnerabilities (iDefense)

これらの欠陥は Adobe Reader 7.x / Acrobat 7.x にも影響しますが、Adobe Reader 7.x / Acrobat 7.x 用の修正プログラムはまだ公開されていません。Adobe はこれら用の修正プログラムを開発中だと説明していますが、いつまで待てばよいのかは全くわかりません。これらの欠陥を攻略する PDF ファイルが既に流通しているとの報告もあり、現時点における Adobe Reader 7.x / Acrobat 7.x の利用は全く推奨できません。

• Adobe Reader exploit in the wild (SANS ISC)

どうしても Adobe Reader 7.x / Acrobat 7.x を利用し続けざるを得ない場合は特に、PDF ファイルの出所には十分に注意してください。

Firefox 2.0.0.12 が公開されています。10 種類のセキュリティ欠陥が修正されています。

• Firefox 2.0.0.12 リリースノート (mozilla-japan.org)
• Mozilla 製品における既知の脆弱性 - Firefox 2.0.0.12 で修正済み (mozilla-japan.org)

Firefox を利用している場合は 2.0.0.12 へ更新してください。

• ダウンロード (mozilla-japan.org)

アップデート機能を使っても更新できます ([ヘルプ] → [ソフトウェアの更新を確認])。

Skype for Windows 3.6.0.248 が公開されています。重大なセキュリティ欠陥が修正されています。

• ぜい弱性修正含むアップデート版公開 (Skype 日本語ブログ)
• Skype for Windows ver. 3.6.0.248 変更ログ (Skype 日本語ブログ)
• SKYPE-SB/2008-001: Skype Cross Zone Scripting Vulnerability (update 2) (Skype)

Skype for Windows を利用している場合はバージョン 3.6.0.248 に更新してください。

• ダウンロード (Skype)