Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Oracle Outside In」の脆弱性に注意 - 実装ソフトなどへも影響

Oracleが公開した10月の「クリティカルパッチアップデート(CPU)」で、「Oracle Outside In」の脆弱性が修正された。同ソフトを実装しているソフトも影響を受ける可能性があるため、注意が必要だ。

「Oracle Outside In」は、ファイルフォーマットを変換するためのSDKで、500種類以上のファイル形式に対応している。今回のアップデートでは、脆弱性「CVE-2013-5791」「CVE-2013-3624」の2件を修正した。

脆弱性ポータルサイトのJVNによれば、「CVE-2013-5791」は、「Microsoft Access 1.x」のデータベースファイルを解析処理する際に、バッファオーバーフローが発生する脆弱性。悪意あるファイルを処理するとコードを実行されるおそれがあるという。

「CVE-2013-5791」における脆弱性の「CVSS v2」によるスコアは、10点満点中「1.5」だが、実装している製品についても脆弱性の影響を受けるおそれがあり、ネットワーク経由でデータを受け取るソフトに実装されている場合は、スコアが「6.8」へと跳ね上がる。

今回のCPUで「Oracle Outside In」そのものの脆弱性は修正されたが、実装している製品では、あらたに実装しなおす必要が生じる可能性もあるため、影響を受けるアプリケーションの利用者は注意する必要がある。

JVNでは、脆弱性の緩和策として、マイクロソフトが提供する脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」や、「DEP」の有効化を案内している。

(Security NEXT - 2013/10/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome 71.0.3578.98」がリリース、UAFの脆弱性を解消
11月のMS月例パッチ修正された脆弱性、中東のゼロデイ攻撃で悪用済み
DB管理ツール「phpMyAdmin」に深刻な脆弱性 - 修正版が公開
「Firefox 64」がリリース - 深刻な脆弱性などを修正
MS、2018年最後の月例セキュリティ更新 - 一部脆弱性でゼロデイ攻撃も
「Adobe Acrobat/Reader」、脆弱性87件に対処 - 当初予定より高い重要度
「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
モバイルアプリの脆弱性診断サービス - インテック
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
「Symfony」のフォームコンポーネントに脆弱性 - アップデートがリリース