YANO's digital garage

JPCERT/CCからSendmailのprescan()関数にバッファオーバーフローによる脆弱性が指摘されている。

こちらもサーバーの乗っ取りが可能となる可能性がある事から非常に深刻な問題で、管理者は大至急修正版を適用する必要がある。

参照
●ITmedia news
　-「RealPlayer」「QuickTime Player」に相次いで発見されたセキュリティホール 2003年4月1日
　-Sendmailに再びセキュリティホール 2003年3月31日
　-Sendmailの新たな脆弱性、影響どこまで？ 2003年4月1日
●iDEFENSE
　-Buffer Overflow in Windows QuickTime Player March 31, 2003
●JPCERT/CC
　-新たな sendmail の脆弱性に関する注意喚起 2003年3月31日
●QuickTime
　- download >http://www.apple.com/quicktime/download/
　- version availability >http://www.apple.com/quicktime/download/version.html

明日から6日までパシフィコ横浜でROBODEX 2003が開催される。

3/31 浮羽町清水寺にて

「アトムが生まれた年の、人類のパートナーロボット博覧会」と銘打った今回だが、曜日の関係もあってアトムの誕生日である7日を待たずに閉幕してしまうのはちょっと残念。手塚治虫の夢に技術者がどういう答えを用意したのか…、楽しみだ。

参照
●ROBODEX 2003
●ITmedia News
　-アトム誕生なるか「ROBODEX 2003」 2002年12月6日
　-特集：ROBODEX 2002

Real Playerに続いて、iDEFENSEからQuickTime PlayerのWindows版にバッファオーバーフローの問題があり、攻撃者によって外部から任意のコードが実行される脆弱性が指摘されている。

appleからのアナウンスは見当たらないが、この脆弱性が確認されているのはVersion 5.xならびに6.0で、Version 6.1で修正されるとされているので、ユーザーは大至急アップデートする必要がある。

しかしVersion 6.1はまだEnglish版しか存在しないので、日本語版のユーザーはアップデートするまで注意が必要だ。不用意に動画を再生しないのはもちろんの事、Webアクセスでもブラウザのplug-inを経由して影響を受ける可能性があるので、実績の無い動画系サイトへのアクセスは当面避けるべし。

特に必要性でなければアンインストールしておきVersion 6.1が出るのを待つ事をオススメする。