Hitach Incident Response Team

 7月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品の脆弱性

■Adobe Flash Player 18.0.0.203リリース:APSB15-16(2015/07/08)

  Adobe Flash Player 18.0.0.203では、計36件の脆弱性を解決しています(図1)。脆弱性は、ヒープバッファオーバーフロー、メモリー破損、メモリーの解放後使用(use-after-free:CWE-416)、型の取り違え(type confusion:CWE-843)に起因して任意のコード実行を許してしまう問題27件(CVE-2015-5119 他)、情報漏洩を許してしまう問題、アドレス空間配置のランダム化に関連する問題、NULLポインター参照(NULL pointer dereference:CWE-476)問題です。

図1●Adobe Flash Playerの脆弱性対策件数

BIND 9.10.2-P2、9.9.7-P1リリース(2015/07/08)

 BIND 9.10.2-P2、9.9.7-P1では、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-4620)を解決しています。この問題は、DNSSEC検証処理の不具合により、不正なDNS要求を受信した場合にnamedが異常終了するというものです。BIND 9.7.1以降のBIND 9.xが稼働するDNSSEC検証を有効にしているキャッシュDNSサーバーに影響があります。

OpenSSL 1.0.2d、1.0.1pリリース(2015/07/09)

 OpenSSL 1.0.2d、1.0.1pでは、代替の証明書チェインを検証する処理に存在する脆弱性を(CVE-2015-1793)を解決しています。この脆弱性は、証明書のなりすましを許してしまう問題で、OpenSSL 1.0.2c、1.0.2b、1.0.1n、1.0.1oが影響を受けます。なお、OpenSSL 1.0.0系、0.9.8系は2015年12月末でEOL(End-Of-Life)に入ることから、アップグレードを推奨しています。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら