ストアへ
企業・法人向け中小企業向け個人向けパートナーシマンテックについて
SYM05-021
|
| リモート アクセス | できない |
| ローカル アクセス | できる |
| 認証の必要性 | あり |
| 公開されているエクスプロイト | なし |
解説
Symantec LiveUpdate for Macintosh は、一部が Java プログラミング言語で実装されています。Java インタプリタのインターフェースでは、LiveUpdate コンポーネントからの入力をコマンドライン引数として受け取って Java インタプリタに渡します。このインターフェースは、システム管理者権限(SUID)で実行するように設定されています。ローカルのユーザーは、この LiveUpdate Java インターフェースを使用することにより、システム管理者権限で Java コードの実行が可能になります。
影響を受けるコンポーネント
| 製品名 | バージョン | ビルド | 言語 | 解決策 |
| LiveUpdate for Macintosh | 3.0.0 | すべて | すべて | Live Update パッチ |
| 3.0.1 | すべて | すべて | ||
| 3.0.2 | すべて | すべて | ||
| 3.0.3 | 5 | 英語 | ||
| 3.0.3 | 11 | すべて | ||
| 3.5.0 | 47 | すべて | ||
| Norton AntiVirus | 9.0.x | すべて | すべて | |
| 10.0.0 | すべて | すべて | ||
| 10.0.1 | すべて | すべて | ||
| Norton Personal Firewall | 3.0.x | すべて | すべて | |
| 3.1.0 | すべて | すべて | ||
| Norton Internet Security | 3.0.x | すべて | すべて | |
| Norton Utilities | 8.0.x | すべて | すべて | |
| Norton SystemWorks | 3.0.x | すべて | すべて |
影響を受けないコンポーネント
| 製品名 | バージョン | ビルド | 言語 |
| Symantec AntiVirus for Macintosh | 10 | すべて | すべて |
弊社の対応
Symantec LiveUpdate では、影響を受ける製品のすべてのバージョンについて修正パッチが作成され、利用可能になっています。
Symantec LiveUpdate を使用して手動で更新を行うには、以下の操作を実行してください。
- インストールされているシマンテック製品を開きます。
- ツールバーから [LiveUpdate] をクリックします。
- LiveUpdate を実行して、すべてのシマンテック製品の更新をダウンロードおよびインストールします。
弊社は、本件の悪用についての報告または本件に起因したお客様からの被害報告は受けておりません。
通常のベスト・プラクティスの一環として、お使いのコンピュータにインストールしているすべてのオペレーティング・システムおよびアプリケーションに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。シマンテックでは、影響を受ける製品をお使いのお客様はこの種の脅威に対処するため、お使いの製品を直ちに更新するように強くお勧めします。
CVE
CVE(Common Vulnerabilities and Exposures)推進グループは、本件に対し CAN-2005-2759 という識別番号を付けました。
本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。
クレジット
本件の報告と問題の解決にあたりご協力いただいた iDefense に感謝いたします。
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety(OISafety)の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC(National Infrastructure Advisory Council :米国の国家インフラ諮問委員会)による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com(米国)までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。
弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process(製品脆弱性対応プロセス)ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。
脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com(米国)まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。
 |
Symantec Vulnerability Response Policy (英語) |
 |
シマンテック製品脆弱性 レスポンス用 PGP キー |
Copyright (c) 2005 by Symantec Corp.
このアドバイザリーの電子媒体による配信は、Symantec Product Security の許可なく改ざんを行わない場合に限り認められています。このアドバイザリーの一部または全部を電子媒体以外の媒体へ複製または印刷する場合は必ず事前にシマンテックの許可を受ける必要があります。
免責事項
このアドバイザリーは、発行時点で確認されていた情報を基に正確であると判断された情報で構成されています。記載情報の使用は、現状のまま使用することを条件に認められています。本書の記載内容について弊社は一切保証いたしておりません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本書の著者も発行者も一切責任を負いません。
Symantec、Symantec Product Security、VERITAS、およびシマンテックの各製品名は、Symantec Corp. およびその関連会社の米国および各国における登録商標です。その他の商品名・会社名等はすべて各社の商標または登録商標です。
米国サイト最終更新日: 2005年10月19日(水) 16:45:05
©1995 - 2009 Symantec Corporation