この脆弱性によりDoS攻撃によってDNSサーバが異常終了する可能性があるとのこと。詳細はhttp://www.niscc.gov.uk/niscc/docs/al-20050524-00433.htmlを参照。
http://www.mozilla-japan.org/releases/mozilla1.7.8/
いくつかの重要な脆弱性の修正版。くわしくはMozilla Foundation セキュリティアドバイザリを参照してください。
http://jvn.jp/jp/JVN%23465742E4/index.html
複数のWikiのクローン実装において、クロスサイトスクリプティングの脆弱性が存在することが発表されました。問題となるのはファイル添付機能で、任意のスクリプトを実行される可能性があるそうです。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:09.htt.asc
Hyper-Threadingが有効なシステムにおいて、実行中のスレッドのローカル情報が悪意のある他のスレッドから読み取られる危険性がある、とのことです。Hyper-Threadingを無効にすることでこの問題は回避できます。
http://www.mozilla.org/products/firefox/
先日発表された「極めて重大」な2件の脆弱性が修正された他、DHTMLのバグに対処した。詳しくはリリースノートを参照。なお現時点では英語版とフランス語版のみダウンロード可能となっており、日本語版は公開されていない。
追記:日本語版はhttp://www.mozilla.org/products/firefox/allからどうぞ。
高木先生によるクロスサイトリクエストフォージェリを防止するための正しい解決策の解説。要するに、セッション追跡情報はクッキー経由のものとフォーム経由のものを両方確認しなさいということ。ところで、最近になってCSRFが突然話題になり出したのはmixiの「はまちちゃん」トラップの影響ですかね。
google.comをタイプミスして「googkle.com」にアクセスしてしまうと、PCの悪意のあるプログラムが埋め込まれるので注意するように、という話。たしかにありがちなミスすね。昔、goo.co.jpに何度となくアクセスしてしまったことを思い出します。
FireFoxに悪質サイトにアクセスしないようにするような拡張があると便利かも。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:05.cvs.asc
CVSに複数の脆弱性。対象は4.xと5.4以前の5.x。
In one case, variable length strings are copied into a fixed length buffer without adequate checks being made; other errors include NULL pointer dereferences, possible use of uninitialized variables, and memory leaks.
うちはウィルスバスターではないので問題なかったのですが、どうも大騒ぎになっていたようですね。
http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html
法務省と岡山、山梨、大分の各県が去年から今年にかけて提供した電子申請用のソフトに欠陥があることがわかりました。
今年2月にIPAより注意喚起が行われた、Javaセキュリティポリシーの独自設定に関連した話のようです。セキュリティホール memoに少し詳しい情報が掲載されています。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/04.html#20050420_shinsei
修正された最新版が公開されています。要アップデート。
FireFoxは緊急レベル3つを含む計9個の脆弱性が、Mozillaは緊急レベル2つを含む計8個の脆弱性が修正されています。
日本語版は、FireFoxはソフトウェアアップデートか、ftpサイトから直接ダウンロード。
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/
MozillaはMozilla Firefox / Mozilla Suite 検索エンジンから。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:04.ifconf.asc
ifconf()システムコールによって最大12バイトのカーネルメモリの断片が読み取られる可能性があるとのこと。対象は4.x系と5.4-RELEASE以前の5.x系。要アップデート。
1.1.4以前と2.0βにヒープオーバーフローの脆弱性。パッチの正式リリースはまだだが、1.1.4向けの差し替えライブラリが公開されている。Windowsの場合はsot645mi.dllを、Linuxの場合はlibsot645li.soをDLし、OpenOffice.org1.1.4/program/にある同名のファイルを差し替える。
http://core.ring.gr.jp/archives/misc/openoffice/contrib/rc/1.1.4secpatch/
4月の月例パッチは、予告どおり「緊急」5件に「重要」3件の計8件。
加えてSP2の導入猶予が12日で期限切れなので、まだ導入していないPCはこれもアップデートする必要があります。
ITmedia エンタープライズ:Windows XP SP2の導入猶予が期限切れに
追記:Windows2000 SP3にMS05-019を適用すると、ネットワークのスループットが著しく低下する可能性があるそうです。
http://www.itmedia.co.jp/enterprise/articles/0504/13/news097.html