最終更新時刻：2008年7月9日(水) 20時19分

CNET Japanからのお知らせ

トップ » ニュース » セキュリティ

PNGのライブラリに脆弱性--Linux、Windows、Mac OS Xで影響も

Robert Lemos (CNET News.com)

2004/08/06 09:55

　オープンソースの画像フォーマットに6つの脆弱性が見つかった。これを悪用されると、侵入者がLinuxコンピュータを乗っ取ったり、Windows PCやOS Xが動作するMacに攻撃を仕掛けたりするおそれがある。

　これらの脆弱性は、PNG（portable network graphics）画像フォーマットをサポートするライブラリにある。PNGは、MozillaやOperaなどのブラウザや、各種メールクライアントなどのプログラムで広く利用されているもの。このなかで、最も重大なのはバッファオーバーフローと呼ばれるメモリ管理の問題で、アプリケーションが特別な細工を施したPNG画像をロードしようとすると、悪質なプログラムが実行されてしまう可能性がある。

　「libPNG」を使用するプログラムで、この問題の影響を受ける可能性が高いのは、Apple ComputerのMac OS X上のAppleMailと、Windows上のOperaおよびInternet Explorerブラウザ、それにSolaris上のMozillaおよびNetscapeブラウザだと、この問題を発見した独立系セキュリティ研究者のChris Evansは述べている。AppleとMicrosoftからはすぐにはコメントは得られなかった。Evansは、どの脆弱性が悪用され得るかを確認するために個々のプラットフォームを調べることはしていないと述べている。

　Evansによると、この最も重大な脆弱性によって、オープンソースの2つのブラウザがクラッシュしたという。「さらに怖いのは、グラフィカルなメールクライアントのユーザーに向けて悪質なPNG画像をメール送信し、この画像をデコードさせるという手口だ」とEvansは付け加えた。

　以前にもMicrosoftとLinuxのプログラムで、PNGフォーマットに起因するセキュリティ問題が見つかったことがある。Microsoftでは1年半前に、Internet ExplorerのPNG画像処理方法に見つかった欠陥を「緊急」レベルと評価している。一方、2年以上前には、Linuxのなかにある圧縮フォーマットの欠陥によって、PNG画像などのデータが稼動中のプログラムをクラッシュさせる問題が見つかったことがあった。

　「libPNG」と呼ばれるPNGライブラリで、この問題を解決したパッチ適用済みのものが、現在各Linuxオペレーティングシステム（OS）ディストリビュータやPNGのウェブサイトからダウンロードできるようになっている。

　セキュリティ情報サービスのSecuniaでは、これらの脆弱性の危険度について、同社の評価では2番目に高い「非常に危険」とし、コンピュータユーザーに警戒を呼びかけている。

　Secuniaはこの問題についての勧告のなかで、「これらの脆弱性は、騙されたコンピュータユーザーが悪質なウェブサイトにアクセスしたり、libpngにリンクされた脆弱なアプリケーションでメールを開いたりすることから悪用される可能性がある」と記している。

　米国の公式なコンピュータ監視組織US－CERT（U.S. Computer Emergency Readiness Team）もこのPNGの問題に関する勧告をリリースし、企業や個人に対しシステムをアップデートするよう推奨している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

トップ » ニュース » セキュリティ

この記事を読んだ人におすすめの読者ブログ

特集

feed

お金で買えないものが価値を持つ時代に必要なこと--新しい「成功」の定義を考える: デジタルガレージの伊藤穰一氏と慶應義塾大学教授の國領二郎氏が、「オープンネットワークにおけるビジネスの成功」をテーマに対談していく連載。伊藤氏は、「お金で買えないものに社会的な価値が出てきている」と指摘する。
FAQ：Flashを検索可能にする技術とは--アドビ、グーグル、米ヤフーの施策を検証: アドビは、Flashコンテンツのインデックス作成を可能にする、最適化された「Adobe Flash Player」テクノロジをグーグル、米ヤフーに提供する。

オピニオン

feed

■インタビュー

Sony Electronicsプレジデント、OLEDやBlu-rayなどの今後を語る: ソニーの米子会社であるSony Electronicsのプレジデントが、有機ELディスプレイテレビ、Blu-ray、ミニノートPCの開発のうわさなどについて語った。
B・ゲイツ氏、MS常任会長退任インタビュー--創業期から今後まで（後編）: 米国時間6月27日をもってマイクロソフトの常任会長職から退いたB・ゲイツ氏。同氏はその直前、CNET News.comとのインタビューでマイクロソフトの初期の逸話などを語った。

■コラム

電子メールは衰退するのか--取り巻く現状と生き残る道: 電子メールに代わるコミュニケーション手段として、チャット、テキストメッセージなどが次々と登場しているが、本当に電子メールが不要となる日が来るのかどうかを検証する。
検索パターンから見るユーザー行動「Search Patterns」: 2008年4月、インフォメーションアーキテクトに特化したイベント「iA SUMMIT 2008」が開催された。そこでPeter Morville氏がプレゼンした「Search Patterns」は、ウェブサイトにおけるユーザー行動の1つである「検索」の利用方法を体系的にまとめたものだ。
電通、積極自社株買いで株価上昇に期待感: 電通は6月23日引け後に新たな自社株買い実施を発表したものの反応はいまひとつだが、中期的には株価の先高感が期待されている。

企画特集

DELL連載第4回～「Microsoft System Center」: PowerEdgeサーバに最適な運用管理ソリューション後編

「未来の、その先」をどう提言していくか: クラウドコンピューティングが導く新しいシステム

今知るべき仮想化情報: インフラからアプリケーションまで、これを知らずに仮想化は語れない

ブログネットワーク

アルファブロガー

ニコニコにみる日本発アライアンス型プラットフォームビジネスとは？　: 平野敦士カールのアライアンスInsight

はじめまして: 外資系エグゼクティブの日々

サミット、サミット、そして今こそ！公衆無線LAN: 末吉隆彦　ロケーションウェアの「空」と「実」

IBM Global CEO Study 2008からみえる世界: 渡辺聡・情報化社会の航海図

MVNOは永遠にVirtualなビジネスモデルなのか？　～Helioがたった$39MでVirginに買収～: 宮田拓弥の東西ケータイ見聞録

アップルストアでiPhoneは販売せず？--iPhoneをめぐる新たな噂: CNET Japan Staff BLOG

メディアアートの夜: クロサカタツヤの情報通信インサイト

月額8240円から使えるiPhone、既存プランで対応したSoftBank: ケータイ時代のスタンダード

「失われた１０年」からの回復は、どういう課題を残したか？: 村上敬亮情報産業の未来図

暗黙共同体へ－秋葉原事件で考える: 佐々木俊尚　ジャーナリストの視点

すべてのメディアをネットが囲む時代へ: 福徳俊弘のリッチ＆リーチメディア論

長瀬弘樹という作曲家のこと: 江島健太郎 / Kenn's Clairvoyance

パラレルワールドとしての電脳コイル: 鈴木健の天命反転生活日記

NINの最新アルバムはCCライセンス: Lessig Blog (JP)

検索結果の「鮮度」が変わる、Google "QDF"アルゴリズムの仕組み: 渡辺隆広のサーチエンジン情報館

読者ブロガー

某有楽町店でも売り切れHP mini...勢いで工人舎SR6KX06F（Windows XP Home Edition）購入: 朝之丞のTry and Tested

「mixi Radio」はipodの再来となるか？: 片岡麻実のWeb2.0サバイバル

【ニュース】 GettyImagesがFlickrに進出。: アート資本主義

プライバシーマーク取得のメリット・デメリット: Jacques's Log

今更だけどXPユーザーに必要なもの: Windowsラブなただの主婦

CMSとポータルサイト: Web更新ツールの行方（ビジネスサイトにおけるＣＭＳ）

技術者の労災認定と「くいだおれ太郎」の第２の人生: 知財Now

サーバ市場の状況(Q1'08) 修正: 将来のＰＣ業界パワーバランス

ホワイトペーパー

feed

ネットワークアクセスコントロール～すべてのエンドポイントからのアクセスを管理してセキュリティギャップを回避
画像のスパム～企業の受信トレイに対する最新の攻撃～
Green IT データセンター配電比較【　AC配電とDC配電　】
【ACCSソフトウェア自主調査ガイド準拠】ソフトウェア管理を簡単・確実に行う手法
常に最新版でサポート！SaaS型ERPパッケージ登場！

リサーチ

■リサーチコラム

クロスメディアに関する調査--「○○と検索」で最も利用する広告、実はフリーペーパー: クロスメディアに関する調査を実施した結果、「○○と検索してください」としてウェブへ誘導する手法としては、テレビCMが最も受け入れられていることが分かった。
10代男女の消費行動に関する調査--10代の消費意識にも不況の波が来ている？: 10代男女の消費行動に関する調査を実施したところ、男性は「アルバイトをする」や「ガマンする」など極端な意見が出たが、女性はコツコツと努力する傾向が強いことが明らかになった。
NBPCマーケティング通信 2008年7月1日発行: 「グリーンIT」への期待値は15％程度の節電効果約30カ月で投資回収できる現実的な提案を日経マーケット・アクセス「情報システム投資動態調査」から

■調査レポートダウンロード

ネットが結ぶ多様な縁
韓国インターネットポータルと固定・移動体通信事業者のコンバージェンス・サービス・トレンド（英文）

■調査発表

【8月6日（水）開催　セミナー】サイボウズ・メディアアンドテクノロジー、「オイシックスに学ぶ　　　　　Eコマース最新動向と売上直結のECWEB解析活用戦略」
Pioneer Consulting社、Emerging Wireless部門からモバイルコンテンツ配信分野でのディスラプティブな動向に注目した新たな調査報告書を発表
2013年、モバイルネットワークOPEXは22億ドルに急増

イベント情報

” 評価 ” の理解を深めるための特別有料セミナー『内部統制整備・運用評価の実践研修セミナー』～内部統制有効性評価の演習～: 主催：株式会社アトラクス
お客様の声集積に遅れないためのＶＯＣ実務講座: 主催：株式会社新社会システム総合研究所
いよいよ大阪開催！「顧客が見える！メディア戦略がつかむ顧客の心と売上UP～Web・携帯サービス＆コンタクトセンター活用セミナー～」: 主催：伊藤忠テクノソリューションズ株式会社

CNET Japan セレクション

プロがなぜ、二次創作を願うのか--Gacktが歌い、三浦建太郎が描く「がくっぽいど」: ミュージシャンのGacktさんと漫画家の三浦建太郎さんという2人のプロが参加しながらも、ユーザーが自由に作品を公開できるという歌声合成ソフト「がくっぽいど」。この開発経緯を開発元に聞いた。
iPhone、月額通信料金は7280円からに--ソフトバンクモバイルが発表: UPDATE　ソフトバンクモバイルはiPhoneの通信料金プランを発表した。月額980円のホワイトプランに、データ定額制プラン「パケット定額フル」、「S!ベーシックパック（i）」をあわせ、月額7280円からとなる。
ジョブズ氏引退後のアップルを考える: カリスマ的な創業者が社を去った後、会社の業績が低迷する事例は、ハイテクだけでなく、さまざまな業界で見られる。アップルは「ジョブズ氏後」に備えているのかどうか検討する。
iPhoneにFirefoxが載らない理由--Mozilla新CEOがAppleを批判: 「iPhoneにFirefoxを載せることをAppleが許してくれない」--米国Mozilla Corpの新CEO、John Lily氏は、AppleのiPhoneを巡るライセンスが排他的であると嘆く。MozillaはFirefoxをiPhoneに載せるためのSDKを未だに得られていないという。
フォトレポート：夏だ、水着だ、防水だ--富士通製ドコモ「F706i」: 夏といえば、海やプールでのレジャーだ。そんなときに故障を気にせず使える防水ケータイが人気を呼んでいる。6月20日発売の富士通製NTTドコモ端末「F706i」の防水機能を写真で紹介する。
ブラウザ比較：「Opera 9.5」対「Firefox 3」: 相次いで最新版がリリースされた、4大ブラウザのうちの2つについて、ベンチマーク、搭載されている機能を比べてみる。