「X.Org Foundation 製 X サーバ」におけるセキュリティ上の弱点（脆弱性）の注意喚起

　X.Org Foundation が提供する X サーバは、Linux等にマウスによるウィンドウ操作などのGUI^(*1)環境を提供する X Window System をオープンソースで実装したものです。

　X.Org Foundation製のXサーバには、PCF^(*2)形式のフォントファイルの取扱いに問題があり、バッファオーバーフローというセキュリティ上の弱点（脆弱性）が存在します。この弱点が悪用されると、X.Org Foundation 製のXサーバがインストールされたコンピュータ上で、任意のコードが実行されてしまう可能性があります。

　この弱点は、2008年1月18日にX.Org Foundationが次のURLで公開したものです。
http://lists.freedesktop.org/archives/xorg/2008-January/031918.html

　 最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001043.html

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2006年10月16日に次の報告者からIPAが届出を受け、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）が製品開発者と調整を行ない、2008年6月10日に公表したものです。
　 報告者： CODE blog （codeblog.org） 塩崎 拓也 氏

　Xサーバがインストールされたコンピュータにログインした攻撃者が、細工されたPCF形式のフォントファイルを攻撃対象のコンピュータに読みこませることで、Xサーバの権限で意図しないプログラムの実行やファイルの削除、ボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

　また、Xサーバがネットワーク越しにアクセスできるように設定されている場合、Xサーバの認証を通過した攻撃者が、細工されたPCF形式のフォントファイルを攻撃対象のコンピュータに読みこませることで、Xサーバの権限で意図しないプログラムの実行やファイルの削除、ボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

　対策方法は「製品開発者や各OS提供元が提供する最新バージョンにアップデートする」ことです。

(1)評価結果

(2)CVSS基本値の評価内容

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図5-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図5-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

『脚注』

(*1) Graphical User Interface。コンピュータグラフィックスで表示された画面をマウス等で操作する環境。

(*2) Portable Compiled Font。Xサーバが取り扱うフォントファイルの形式の一つ。

• プレスリリース全文

独立行政法人 情報処理推進機構 セキュリティ センター（IPA/ISEC） 山岸／渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail:

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山／大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: