PR

Hitach Incident Response Team

 2010年11月20日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Reader 9.4.1、Acrobat 9.4.1リリース:APSB10-28(2010/11/16)

 2010年10月28日、米アドビ システムズからFlash Playerのぜい弱性(CVE-2010-3654)が公開され、11月16日、このぜい弱性の影響をうけるauthplay.dllコンポーネントの問題を解決するため、Windows、Macintosh版Adobe Reader/Acrobat 9.4.1がリリースされました(図1)。

 これらのリリースでは、10月28日に明らかとなったFlash Playerのぜい弱性(CVE-2010-3654)、メモリー破損により任意のコード実行につながるぜい弱性(CVE-2010-4091)の計2件の対策を含んでいます。なお、Flash Playerのぜい弱性(CVE-2010-3654)は、Adobe Reader/Acrobat 8.xには影響ありません。CVE-2010-4091は、Adobe Reader 8.x、Adobe Reader 9.2ならびにそれ以降に影響し、Adobe Reader 8.xについては、次回リリースでの修正が予定されています。

図1●ぜい弱性(CVE-2010-3654)の対応経緯
図1●ぜい弱性(CVE-2010-3654)の対応経緯

[参考情報]

OpenSSL 1.0.0b/0.9.8pリリース(2010/11/16)

 OpenSSL 1.0.0b/0.9.8pがリリースされました。このリリースでは、OpenSSL 0.9.8f~0.9.8o、OpenSSL1.0.0~1.0.0aのTLSサーバー拡張の実装に存在するバッファオーバーフローのぜい弱性(CVE-2010-3864)を解決しています。この問題は、マルチスレッドでOpenSSLの内部キャッシュ機能を有効としている場合にのみ影響を受けます。また、Apache HTTPサーバーやStunnelは、この問題の影響を受けません。

[参考情報]

HP LaserJet MFP、HP Color LaserJet MFPプリンターにぜい弱性

(2010/11/15)

 HP LaserJet MFPプリンター、HP Color LaserJet MFPプリンターならびに、いくつかのHP LaserJetプリンターには、ディレクトリトラバーサルに関するぜい弱性(CVE-2010-4107)が存在します。この問題は、Printer Job Languageインタフェース処理に存在し、不正な要求を受信した場合、リモートから任意のファイルへのアクセスが可能となります。