IPA、X.Org製サーバについてセキュリティ上の注意喚起〜フォントファイルで任意コード実行
エンタープライズ
その他
拡大写真
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は10日、「X.Org Foundation 製 X サーバ 」におけるセキュリティ上の弱点(脆弱性)について公表した。
Xサーバは、X Window Systemをオープンソースで実装したもの。PCF形式のフォントファイルの取扱いに問題があるため、細工されたフォントファイルを読みこんだ場合に、バッファオーバーフローにより、任意のコードが実行される。
悪用されると、コンピュータ上でユーザの意図しないプログラムの実行やファイルの削除、ボットツールがインストールされるなど、コンピュータが悪意ある第三者によって制御される可能性がある。
そのためIPAでは、製品開発者や各OS提供元が提供する最新バージョンにアップデートすることを呼びかけている。
なお本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2006年10月16日にCODE blogの塩崎拓也氏からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が製品開発者と調整を行ない、今回公表されたとのこと。
Xサーバは、X Window Systemをオープンソースで実装したもの。PCF形式のフォントファイルの取扱いに問題があるため、細工されたフォントファイルを読みこんだ場合に、バッファオーバーフローにより、任意のコードが実行される。
悪用されると、コンピュータ上でユーザの意図しないプログラムの実行やファイルの削除、ボットツールがインストールされるなど、コンピュータが悪意ある第三者によって制御される可能性がある。
そのためIPAでは、製品開発者や各OS提供元が提供する最新バージョンにアップデートすることを呼びかけている。
なお本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2006年10月16日にCODE blogの塩崎拓也氏からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が製品開発者と調整を行ない、今回公表されたとのこと。
《冨岡晶》
特集
この記事の写真
/