Hitach Incident Response Team

 12月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品

■米アドビ システムズAdobe Reader XI(11.0.10)リリース:APSB14-28(2014/12/09)

 Adobe Reader並びにAcrobatのバージョンXI(11.0.10)では、計20件の脆弱性を解決しています。脆弱性は、メモリーの解放後使用(use-after-free)、ヒープ型バッファオーバーフロー、整数オーバーフロー、メモリー破損に起因して任意のコード実行を許してしまう問題15件、確認してから実行するまでの時間差の問題(Time of Check to Time of Use)に起因して任意のファイル書き込みを許してしまう問題、JavaScript APIの実装、XML外部エンティティー処理に関連して情報漏洩を許してしまう問題3件、セキュリティ機構の迂回を許してしまう問題です(図1)。

図1●Adobe Readerの脆弱性対策件数

■米アドビ システムズAdobe Flash Player 16.0.0.235リリース:APSB14-27(2014/12/09)

 Adobe Flash Player 16.0.0.235では、メモリー破損(CVE-2014-0587、CVE-2014-9164)、メモリーの解放後使用(use-after-free)(CVE-2014-8443)、スタック型バッファオーバーフロー(CVE-2014-9163)に起因して任意のコード実行を許してしまう脆弱性、情報漏洩を許してしまう脆弱性(CVE-2014-0580)、計6件を解決しています(図2)。

図2●Adobe Flash Playerの脆弱性対策件数

■ColdFusion:APSB14-29(2014/12/09)

 Windows、Mac、UNIX版ColdFusion 11および10のバージョンには、サービス拒否攻撃を許してしまう脆弱性(CVE-2014-9166)が存在します。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら