Coverity Incorporated (JP): Press Release: Story 23

プレスリリース

COVERITY が 2000 年以降最大の X Window セキュリティホールを検出
米国国土安全保障省からの受託調査により、重要なソフトウェアシステムにおける最も深刻なセキュリティ脆弱性を迅速に修正

サンフランシスコ発 (2006 年 5 月 2 日) – 世界最先端のスケーラブルなソースコード解析ソリューションのメーカーである Coverity, Inc. は本日、米国国土安全保障省 (DHS) から受託した調査の結果、過去 6 年で最も深刻な X Window System セキュリティの脆弱性を見つけて修正したことを発表しました。

開発者は、Coverity Prevent を使用して、ほとんどの UNIX および Linux システムを含む数百万台ものコンピュータで使用されているグラフィカルインターフェイス "X Window System" に深刻なセキュリティの脆弱性があることを突き止めました。また X Window System は、Macintosh コンピュータのオプション GUI として Apple からも出荷されています。

X.Org Foundation のリリースマネージャである Daniel Stone 氏は、「この脆弱性は、最近の記憶の中でも最も深刻な脆弱性の 1 つで、3 ～ 6 年ごとに 1 回程度しか検出されず、セキュリティ面からいっても最悪のシナリオを引き起こす可能性が非常に高いものです。 Coverity によって、人間の目では決して見つけることができない脆弱性が検出されました。コードベース全体にわたって微妙な細部、すなわち目視では見過ごしてしまう細部に対する感度の高さを備えた Coverity Prevent はコードベース検査に不可欠のツールであり、X.Org Foundation に大きなメリットをもたらしました。」と述べています。

今回見つけた脆弱性は、DHS 主導の 31 の主要なオープンソースプロジェクトで Coverity が請け負ったセキュリティ解析の結果、X Window System の X11R6.9.0 および X11R7.0.0 バージョンで見つかりました。X Window System のこれら 2 つのバージョンは、2005 年 12 月のリリース当時、10 年ぶりに発表された X Window System の大規模アップデートとして大きな喝采をもって迎えられました。X.Org 開発チームが解析結果を受け取ってから 1 週間以内に脆弱性の問題は解決されました。このセキュリティホールは、ユーザーの ID を確認するプログラムの一部に丸かっこ "( )" が足りなかったことに起因するものでした。丸かっこがないといった、このように一見無害そうな問題によって引き起こされた欠陥によって、ローカルユーザーはルート権限でコードを実行し、その結果、システムファイルが上書きされたりサービス拒否攻撃が開始されたりする可能性があります。

Coverity の CTO である Ben Chelf は、「Coverity Prevent は、ソフトウェアの作成時にセキュリティの脆弱性などのソフトウェア欠陥をプログラマが自動的に検出して除去できるように設計されています。Coverity は、X Window System を定期的に解析して新たな欠陥がプロジェクトに紛れ込むのを防ぐ体制を整備しました。ソフトウェア品質の向上に成功した X.Org チームの即応力は素晴らしいものでした。」と述べています。

Coverity について
Coverity (www.coverity.com) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソースコード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学のコンピュータ科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストの大きい問題を解決するための画期的な技術が生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。Coverity のソリューションは現在、Juniper Networks、Symantec/VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 100 社以上の大手企業で利用されており、これらの企業のソフトウェアの品質およびセキュリティを大幅に向上させています。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。

広報担当
Craig Oda
Page One PR for Coverity
coda@pageonepr.com
+1 650 565 9800 x102

Russ Wood
企業マーケティング担当取締役
rwood@coverity.com
+1 415 694 5304

« プレスリリースメインに戻る